Amenazas del IPv6

Ron Meyran, director de productos de seguridad de Radware, detalla en este artículo lo que se debe saber antes de adoptar IPv6, la nueva versión del protocolo de Internet

El IPv6 ha sido diseñado inicialmente para solucionar el espacio limitado de direccionamiento del IPv4 e incluye características de seguridad para proporcionar autentificación confidencial e integración de datos. Sin embargo, lo cierto es que no se ocupa de  los problemas de disponibilidad del servicio y de seguridad que pueden derivarse de la migración a IPv6, de vulnerabilidades inherentes y de debilidades que pueden ser explotadas por los cibercriminales.

Así, y aunque esta versión 6 del protocolo de Internet proporciona a priori mayor seguridad a través de IPSec, IPv6 también incluye otras mejoras que pueden ser aprovechadas de manera malintencionada por los atacantes. Por ejemplo, la función de configuración automática de direcciones puede ser utilizada por cibercriminales para introducir routers falsos. Además, algunos de los mecanismos de transición diseñados para permitir una fácil interacción entre redes IPv6 e IPv4 pueden ser utilizados de manera dañina por los atacantes. Las herramientas de transición hacen que se puedan conectar los servicios de las aplicaciones IPv4 a IPv6 y al revés.

Debido a la estandarización de los métodos de transición utilizados, tales como 6to4,  los túneles de la Transición Simple de Internet (SIT), así como IPv6 a través de UDP (tipo Teredo y Shipworm), el tráfico de la versión 6 puede entrar en las redes sin que los administradores adviertan su presencia. Por ejemplo, ya que muchos cortafuegos admiten el tráfico UDP, IPv6 sobre UDP puede atravesar esos cortafuegos sin que los administradores se den cuenta. Así, los atacantes utilizarán los túneles 6 sobre 4 para evitar el software de detección de Intrusión.

Por eso, es importante señalar que muchos cortafuegos y sistemas de prevención de intrusiones no soportan o no filtran bien el tráfico IPv6. Los criminales pueden explotarlo y conseguir meterse en la red con paquetes IPv6 si las compañías no implementan otras herramientas perimetrales y de seguridad.

El día mundial del IPv6 es un hito en el mundo de Internet. Este día, también conocido como “el día de la prueba”, es un evento patrocinado y organizado por Internet Society y unas cuantas empresas proveedoras de contenidos que prueban públicamente el desarrollo de IPv6. El objetivo es motivar a las organizaciones en la industria (como ISPs, fabricantes de hardware, empresas de sistemas operativos y compañías web) para que adapten sus servicios a la versión 6 de protocolo de Internet y asegurar así una exitosa migración desde IPv4.

Aunque la industria está preocupada por los posibles problemas  que se produzcan en esta migración, a veces también se descuida la seguridad. Estas son las amenazas que debemos considerar con la versión 6 del protocolo de Internet:

Equipos que no cumplen con los requisitos de seguridad. La mayoría de los vendedores tienen ya preparados sus productos para el IPv6. Pero, ¿es realmente así? Muchos ofrecen una versión especial que soporta IPv6 o requieren una licencia para operar. Pero incluso si el soporte de IPv6 está habilitado, tenemos que aprender cuidadosamente la forma en que operan. Por ejemplo:

Los cortafuegos pueden simplemente reenviar el tráfico IPv6 inesperado (en lugar de dejarlo caer como sucedería con una versión que no sea IPv6). El tráfico IPv6 puede omitir motores de paquetes profundos, que son componentes de hardware no compatibles con el tráfico IPv6, lo que produce una evasión de ataques; Las cabeceras IPv6 son cuatro veces más grandes que las de IPv4, lo que puede retrasar el procesamiento del tráfico de manera significativa.

IPv6  es complejo de administrar. ¿Ha visto alguna vez una dirección IPv6? ¿Ha configurado alguna vez un cortafuegos que permita o bloquee el tráfico IPv6? ¿Cómo se trata el tráfico IPv6 en un tunel sobre el tráfico IPv4? ¿Sabía que el Internet Control Message Protocol (ICMP) está integrado ahora en el IPv6? Estas son algunas de las preguntas que pueden determinar la capacidad de una compañía para proteger eficazmente a sus servidores de red.

Vulnerabilidades IPv6.
Los administradores de redes IPv6 deben ser conscientes de las vulnerabilidades del protocolo. Los diseñadores de IPv6 entendieron la necesidad de securizar la red e incluyeron IPSec en la definición básica del protocolo. Sin embargo, experiencias recientes con ataques de red han mostrado que IPSec no se ocupa de todas las vulnerabilidades de una red IPv6. Errores, flujos de diseño y debilidades del protocolo son inherentes a IPv6, que es mucho más compleja que IPv4. Pasará tiempo hasta que los proveedores de aplicaciones corrijan y parcheen las vulnerabilidades de IPv6, por lo que se necesita un proveedor IPS que no sólo soporte  el reenvío de tráfico IPv6, también que incluya firmas que revisen los sistemas basados IPv6.

Túneles IPv6. El tráfico IPv6 puede derivarse a través de túneles sobre IPv4 utilizando varios tipos de túneles (Teredo, 6to4, ISATAP). Los hackers pueden explotar los túneles IPv6 para infiltrarse en los ataques, a sabiendas de que los paquetes IPv6 pueden parecer tráfico normal IPv4. Hay que comprobar explícitamente con los vendedores del cortafuegos y los IPS que pueden realizar inspecciones profundas de paquetes en el túnel del tráfico IPv6. Y es que existe una gran brecha entre los IPS y los cortafuegos: por un lado, están aquellos que son compatibles con IPv6 y por otro lado, aquellos que realmente realizan inspecciones profundas de paquetes para examinar el contenido del tráfico IPv6.

Dispositivos IPv6. Las capacidades de configuración automática sin estado que están incorporadas en IPv6 permiten a un atacante definir un dispositivo que asigna una dirección IP a todos los otros dispositivos en la red. Los atacantes también pueden crear un dispositivo de red que actúa como un router IPv6 modificar o descartar tráfico, sin que el administrador del sistema lo sepa.

Encriptación IPv6. Parecida a la encriptación SSL, IPv6 incluye un mecanismo de encriptación. Aunque la encriptación ha sido diseñada para proporcionar autentificación y confidencialidad a las comunicaciones entre clientes y servidores, los atacantes van a poder utilizar túneles encriptados para realizar ataques directamente al servidor, dado que además los cortafuegos y IPSs, no van a poder inspeccionar el contenido del tráfico.

Ataques distribuidos de denegación de servicio (DDoS). Los ataques DDoS de red están diseñados para paralizar a los equipos y los servidores con volúmenes de tráfico que no pueden controlar. La cabecera IPv6 es cuatro veces más grande que la de IPv4 y el filtrado de tráfico está basado en las cabeceras IPv6; por lo que las direcciones incrementan la utilización del equipo de seguridad del CPU, redireccionando el tráfico de acuerdo a como las cabeceras IPv6 incrementan la utilización del equipo de red. El resultado es un menor volumen de tráfico que pueda saturar las redes.

Ron Meyran, director de productos de seguridad de Radware