PDF de programación - INFORME SOBRE LAS IMPLICACIONES DE SEGURIDAD EN LA IMPLANTACIÓN DE IPv6

INFORME SOBRE LAS
IMPLICACIONES DE
SEGURIDAD EN LA

IMPLANTACIÓN DE IPv6



INTECO-CERT



Junio 2010



AGRADECIMIENTOS
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) reconoce y agradece a
los siguientes colaboradores su inestimable ayuda en la realización del informe. Joao
Damas, de la empresa Bondis, Jesús Rodriguez, de la empresa Voztele, Juan Cerezo, de la
empresa BT, y Jordi Palet, César Olvera y Álvaro Vives, de la empresa Consulintel.



La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo
licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir
y comunicar públicamente esta obra bajo las condiciones siguientes:


•

Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros,
citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web:
www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho
tercero o apoya el uso que hace de su obra.



•

Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y
exhibidos mientras su uso no tenga fines comerciales.


Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en
esta licencia menoscaba o restringe los derechos morales de INTECO. Hhttp://creativecommons.org/licenses/by-nc-
sa/3.0/es/H

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format).
Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual,
marcado de idioma y orden de lectura adecuado.

Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible
en la sección Accesibilidad > Formación > Manuales y Guías de la página Hhttp://www.inteco.esH

Informe sobre la seguridad en IPv6

2

ÍNDICE

MOTIVACIÓN Y OBJETIVOS


INTRODUCCIÓN AL PROTOCOLO IP

2.1.

Necesidad del protocolo IPv6



MEJORAS DE SEGURIDAD DE IPV6
3.1.
3.2.
3.3.


Implementación de IPsec

Mayor fortaleza de la red

Otras mejoras



CONSIDERACIONES DE SEGURIDAD EN IPV6
4.1.



1.

2.

3.

4.

5.

6.

7.



4

5
5

7
7
9
9

16
16
16

18

19

3

Aspectos técnicos

4.1.1.
4.1.2.

11
11
11
Dispositivos de seguridad que no analizan el protocolo IPv6
Presencia de dispositivos de los que se desconoce que
11
pueden usar IPv6 y de túneles IPv6
12
Dejar de utilizar NAT
12
Necesidad de multicast e ICMP
13
Cambio en la monitorización de la red
13
Doble exposición IPv6 e IPv4
13
Actualización de protocolos y equipos a IPv6
13
13
14
14
Suplantación de identidad en la autoconfiguración de la
14

dirección IP
15
Privacidad


4.1.3.
4.1.4.
4.1.5.
4.1.6.
4.1.7.
Consideraciones de gestión
4.2.1.
4.2.2.
Estructura o características propias del protocolo
4.3.1.

Curva de aprendizaje


Implementación de sistemas de doble pila

4.3.2.



4.2.

4.3.

RECOMENDACIONES DE ACTUACIÓN

5.1.
Recomenciones generales
5.2.
Recomendaciones en el uso de IPv6



CONCLUSIONES



FUENTES DE INFORMACIÓN



Título de la Guía (campo editable)



1. MOTIVACIÓN Y OBJETIVOS

Para que Internet siga creciendo y evolucionando se ha revisado uno de sus elementos de
base: el protocolo IP. La nueva versión, IPv61, esta diseñado para ser el sucesor de IPv4 en
Internet solventando muchas de sus deficiencias. IPv6, entre otras ventajas, soluciona el
problema del agotamiento de las direcciones IP, aporta funcionalidades de seguridad para el
cifrado y autenticación en comunicaciones de extremo a extremo, y permite la creación de
nuevos servicios.

Este informe pretende servir de apoyo a responsables de seguridad, administradores de
sistemas y técnicos de seguridad, a la hora de plantearse la transición a esta nueva versión
del protocolo IP que tanta importancia tiene en los sistemas de información de las
organizaciones. Sus objetivos son informar sobre los siguientes aspectos:

• Describir su funcionalidad.

• Detallar los aspectos de seguridad a tener en cuenta.

• Dar un código de buenas prácticas o consejos de actuación.



1 http://tools.ietf.org/html/rfc2460

Informe sobre la seguridad en IPv6

4



2.

INTRODUCCIÓN AL PROTOCOLO IP

El protocolo IP es el protocolo más utilizado por los sistemas informáticos para comunicarse.
La mayoría de aplicaciones o protocolos de mayor nivel (HTTP, SMTP, P2P, etc.) se apoyan
en este protocolo para su funcionamiento.

Los equipos o dispositivos que utilizan el protocolo IP tienen asignado un identificador único
llamado dirección IP para encaminar el mensaje entre los distintos nodos de la red de
comunicaciones, desde el origen al destino. Este identificador es un número de 32 bits que
se suele representar, para su más fácil manejo, mediante 4 números, del 0 al 255,
separados por puntos.

2.1. NECESIDAD DEL PROTOCOLO IPv6
Dado que la dirección IP es de 32 bits, se pueden tener unos 4.300 millones de direcciones
distintas. Pero, debido principalmente al gran número de dispositivos o equipos que utilizan
el protocolo IP, y que por tanto necesitan una dirección IP, el número de direcciones
disponibles se está agotando. Aunque se ha tratado de mitigar con soluciones como NAT2 o
CIDR3, éstas no resuelven el problema de base y, además, introducen limitaciones como la
pérdida de conectividad extremo a extremo.

Para solucionar este problema se ha creado una nueva versión de este protocolo llamada
IPv6 que utiliza como dirección IP un número de 128 bits, de tal forma que IPv6 tiene 2 ^ 96
veces más direcciones que IPv4. Aunque en realidad, considerando que la subred mínima
de IPv6 es de 64 bits de longitud, en IPv6 es más correcto hablar de un espacio total de 2
elevado a 64 subredes con 2 elevado a 64 posibles direcciones en cada una. Además,
aprovechando la revisión del protocolo, se han introducido otras mejoras y nuevas
funcionalidades:

• Autoconfiguración y reconfiguración automáticas de la dirección IP sin necesidad de

servidores (sin estado).

• Soporte nativo y mejorado del direccionamiento multicast y creación del

direccionamiento anycast.

•

Implementación obligatoria de IPsec.

• Enrutado más eficiente.

• Soporte optimizado de movilidad IP.



2 Network Address Translation: http://tools.ietf.org/html/rfc3022
3 Classless Inter-Domain Routing: http://tools.ietf.org/html/rfc1519

Informe sobre la seguridad en IPv6

5

•

•

Implementación de etiquetas para QoS4.

Implementación de Jumbogramas.



Se espera que los dispositivos IPv4 convivan durante un largo tiempo (difícilmente
predecible, pero posiblemente de 10 a 20 años) con los dispositivos IPv6 mediante
mecanismos de
implementando ambos protocolos
simultáneamente o mediante túneles sobre IPv4.

coexistencia o

transición,

Este gran aumento en el número de direcciones IP disponibles hará posible que un número
prácticamente ilimitado de elementos tales como electrodomésticos, automóviles, sensores,
etc. se puedan interconectar para ofrecer nuevos servicios.

Ilustración 1 - Cabeceras IPv4 e IPv6



4 Quality of Service: http://tools.ietf.org/html/rfc2990

Informe sobre la seguridad en IPv6



6



3. MEJORAS DE SEGURIDAD DE IPv6

IMPLEMENTACIÓN DE IPSEC

3.1.
IPv6 incluye explícitamente la posibilidad de utilizar el modelo de seguridad IPsec (Internet
Protocol Security) que proporciona autenticidad, integridad y confidencialidad a las
comunicaciones de extremo a extremo.

IPsec es un conjunto de protocolos abiertos que tienen como fin proporcionar seguridad en
las comunicaciones de la capa de red del modelo OSI (a la que pertenece el protocolo IPv6),
y de ese modo, a todos los protocolos de capas superiores.

En IPv4 la implementación de IPsec se define en una especificación diferente a la del propio
protocolo IPv4, por lo que la inclusión del protocolo se hace con mecanismos definidos fuera
del mismo, mientras que en IPv6 la propia arquitectura "extensible" del protocolo permite
implementar IPsec de forma natural. Es importante reseñar que IPv6 habilita la posibilidad
de usar IPsec, y no los mecanismos de cifrado y autenticación propios de IPsec.

IPsec tiene dos modos de funcionamiento que proporcionan distintos niveles de seguridad:

• Modo Transporte: se cifra y/o autentica la carga útil, o payload, pero las cabeceras
no se tienen en cuenta. Tiene como ventaja que se puede utilizar de extremo a
extremo pero, por contra, la información de las cabeceras, como la dirección IP de
origen y destino, es visible.

• Modo Túnel: una plataforma, o pasarela, encapsula el paquete original en otro
paquete. Con ello se cifra y/o autentica el paquete original completo, pero se
necesita de una plataforma que realice el túnel.

Además, IPsec tiene dos modos o protocolos de transferencia, que a su vez pueden
funcionar en modo túnel o transporte:

• AH (Authentication Header): proporciona autenticación, integridad y un servicio de

anti-repetición opcional.

• ESP (Encapsulating Security Payload): además de

proporciona confidencialidad.

las ventajas anteriores



Informe sobre la seguridad en IPv6

7

Ilustración 2 -