PDF de programación - Seguridad en la transición a IPv6

A whole new protocol to exploit

Seguridad en la transición a IPv6

Indice

UN POCO DE HISTORIA

MITOS Y REALIDADES

SEGURIDAD EN IPv6

CONCLUSIONES

001

Un poco de historia…

Un poco de historia



“Creo que el mercado mundial de ordenadores puede ser de 5
unidades” – Thomas Watson, IBM, 1943

“640Kb de memoria tienen que ser suficientes para cualquier
usuario” – Bill Gates, Microsoft, 1981

“32 bits proporcionan un espacio de direccionamiento suficiente
para Internet “ – Vint Cerf, 1977

Welcome IPv4!

• IPv4 – 32 bits - (232) - 4.294.967.296 direcciones

– De las cuales

• 10.0.0.0/8 – 16,777,216

• 172.16.0.0/12 – 1,048,576

• 192.168.0.0/16 – 65,536

• Direcciones de red

• Broadcast

• Experimentales

According to Reserved IP addresses there
are 588,514,304 reserved addresses and
since there are 4,294,967,296 (2^32) IPv4
addressess in total, there
are 3,706,452,992 public addresses

Bien hecho

GENIAL!



UN MONTON DE DIRECCIONES IP



PERO…

Sin embargo…

¿Por qué se acaban las direcciones IP?

Además…

212.32.11.12

67.54.23.213

54.23.22.10

EL “INTERNET DE LAS COSAS”

Conclusión:

La IETF (Internet Engineering Task Force)

Así que…

Idea para afrontar el
agotamiento de direcciones
IPv4

Welcome IPv6!!

IPv6 permite actualmente que cada persona en la Tierra tenga

asignados varios millones de IPs, ya que puede implementarse con

IPv6 – 128 bits

2128

128 bits
= 340,282,366,920,938,463,463,374,607,431,768,211,456 nodos


En realidad son 264 subredes, de 264 posibles direcciones cada una
Los LIRs reciben por defecto /32 y los sitios /48

Pero con estos números… poco importa

OK, IPv6, ¿Y AHORA QUÉ?

Época de transición

¿Algún día funcionará todo con IPv6?

SÍ

Situación actual

Una nueva esperanza

Una nueva esperanza

Una nueva esperanza

002

Mitos y realidades

Problemas que se presentan

• Un nuevo protocolo a implantar

• “Desconocido” – No tenemos experiencia

• Se hace foco – Días IPv6

• ¿Qué se oye?



Mitos IPv6

+SECURE

E2E

NAT EoL

SCAN
M:I

Mitos IPv6

+SECURE

En realidad NO ES que sea más seguro,
sólo incluye la cabecera OPCIONAL de serie

E2E

En realidad IPv6 comportaría conexión de
cada dispositivo  Seguridad requiere
dispositivos intermedios

NAT EoL

En realidad los administradores prefieren
soluciones de NAT (origen conexión
desde dentro).

SCAN M:I

::1, Direcciones seguidas, Fáciles de
recordar, MAC/IPv4

003

Seguridad en IPv6

Conceptos básicos

NUEVOS TIPOS DE @

ARP – NEIGHBOR DISCOVERY – NS, NA

AUTOCONFIGURACIÓN

CABECERAS OPCIONALES (EH)

Razones para vulnerabilidades

• Análogas a IPv4

– Siniffing, Aplicación, Rogue Devices, MITM,

Fragmentación, DoS, Spoofing, L1&L2OSI



• Nuevas amenazas relativas a IPv6
– Reconocimiento, ICMPv6, NDP, DHCP,

Amplificación de broadcast, Routing, Mobile IPv6,
EH, Migración a IPv6, Implementaciones S.O.



1- Cabeceras

– QoS, Movilidad, Seguridad – Cualquiera de ellos

muy fácil en IPv4, pero dos a la vez ya es un poco
más complicado.



– Reglas de firewall controlando alguna de las

partes de la cabecera?

Cabeceras

Cabecera IPv6
S.=TCP

Cabecera TCP

DATOS

Cabecera IPv6
S.=Routing

C. Routing
S.=TCP

Cabecera TCP

DATOS

Cabecera IPv6
S.=Seguridad

C. Seguridad
S.=Fragmentación

C. Fragmentación
S.=TCP

Cabecera TCP

DATOS

Cabeceras

Cabecera IPv6
S.=TCP

Cabecera TCP

DATOS

Cabecera IPv6
S.=Routing

C. Routing
S.=TCP

Cabecera TCP

DATOS

Cabecera IPv6
S.=Seguridad

C. Seguridad
S.=Fragmentación

C. Fragmentación
S.=TCP

Cabecera TCP

DATOS

2- MITM

2- MITM

2- MITM

3- Reputación

¿Dónde creemos que está el mayor riesgo?

4- EN LA TRANSICIÓN

Ejemplo - Túneles



Puntos Clave: Saber dónde estamos

Auditoría
Puntos estratégicos  Elementos de seguridad:

– Auditorías – Inventarios, versiones, capacidades…

– Modificación políticas seguridad

– Nuevas reglas en equipos (FW, ADC, …) – replicación de reglas

• ¿Dimensionamiento?

– ¿Funcionalidades iguales en IPv4 que en IPv6?

• Lo hacen por SW? Rendimiento?

– Coexistencia de protocolos

– Aplicaciones

• Otros:

– Problemas de seguridad del protocolo

– Deshabilitar NATs

– Cabeceras “dinámicas”



¿Aplicaciones? ¿No es otra Layer?

A nivel de aplicación no debería pasar nada pero…

Cuantas aplicaciones dependen de la capa IP?

Debemos probar las aplicaciones en un entorno IPv6

Puntos Clave: DNS

Importancia del DNS en las redes IPv6:

- Direcciones muy largas (difíciles de memorizar)

- Clientes nuevos @IPv6

- Clientes ya existentes IPv4

¿Qué va a ocurrir?



DoS

Spoofing


BIND  65Kqueries/segundo

Peticiones de resolución no útiles (DoS)



DNS

DNS Client

1) What is the
address for
www.example.
com?

8) www.example.com resides
at IP address 1.2.3.4

Domain

Authoritative

DNS

9) www.example.com resides
at IP address 1.2.3.4

7) What is the address for www.example.com?

6) Talk to name server at IP xxx.xxx.xxx.xxx?

LDNS

5) Who is authoritative for example.com?

COM.

Root DNS

2) Is www.example.com
in my cache? No. Need
to find the answer

Origin authenticity
Data Integrity
Caching & Resolver
Cryptographic cards

3) Who is authoritative for
example.com?

4) Go ask the COM.
root servers.

Root
DNS

Puntos calve: Logs

ISP

• Los LOGS son de vital

importacia

• Debido a la falta de
direcciones  NAT

• Los ISPs deben guardar

LOGs

Puntos calve: Logs

Necesidad de interconexión de diferentes redes y
guardar logs de referentes a los Carrier-Grade NATs

IPv6

Handsets

IPv6

Devices

IPv4

Legacy
Devices

Firewalls

DNS

IPv4

Applications

DNS64


IPv6
GW

IPv4
GW

NAT64/NAT44

IPv6

Applications

Amenazas por conocer…

• Quedan muchas amenazas por conocer, no sólo a nivel

de protocolo, nuevos ataques, …

• Fabricantes de seguridad con funcionalidades IPv4 

rendimiento al activar dual-stack?

• Los parches desarrollados hasta ahora… ¿Se habrá

considerado también para IPv6?

• Fragmentación

• Problemas antiguos IPv4 – Resurgimiento

– Los mismos ataques, en el nuevo protocolo

• Primeros ataques DDoS a IPv6

•

IPv4 e IPv6 en SIEM (detección IP origen difícil)



Por otra parte

No sale a cuenta a los hackers estudiar
vulnerabilidades de IPv6 – Aún no está implantado
a suficiente profundidad

THC

SCAPY

RADVD

Pero hay que ir preparándose

Pero recordemos… ¿Cuándo será el momento?

004

Conclusiones

Conclusiones

• No hay que estar asustado de IPv6, pero no

tomárselo a la ligera

• IPv6 ofrece muchos beneficios, y muchos

desafíos

• Tardará muchos años en implantarse de manera

total

• Disponer de un plan de migración

INET v4

IPS

Web Mail

DNS

PC_A PC_B

INETv4

INETv6

Web Mail

DNS

GTM
APM
WOM

IPS

PC_A PC_B

INETv4

INETv6

Web Mail

DNS

LTM
ASM
WAM
APM

IPS

PC_A PC_B

INETv4

INETv6

IPS

Web Mail

DNS

PC_A PC_B

Y sobre todo nos tenemos que basar en…

• Inventario y mapa de red actualizado

• Plan de transición

• Educarse en IPv6

• Confiar en la experiencia de los demás

• Acotar IPv6 desde un principio



Gracias

Alejandro Campos
[email protected]