A whole new protocol to exploit
Seguridad en la transición a IPv6
Indice
UN POCO DE HISTORIA
MITOS Y REALIDADES
SEGURIDAD EN IPv6
CONCLUSIONES
001
Un poco de historia…
Un poco de historia
“Creo que el mercado mundial de ordenadores puede ser de 5
unidades” – Thomas Watson, IBM, 1943
“640Kb de memoria tienen que ser suficientes para cualquier
usuario” – Bill Gates, Microsoft, 1981
“32 bits proporcionan un espacio de direccionamiento suficiente
para Internet “ – Vint Cerf, 1977
Welcome IPv4!
• IPv4 – 32 bits - (232) - 4.294.967.296 direcciones
– De las cuales
• 10.0.0.0/8 – 16,777,216
• 172.16.0.0/12 – 1,048,576
• 192.168.0.0/16 – 65,536
• Direcciones de red
• Broadcast
• Experimentales
According to Reserved IP addresses there
are 588,514,304 reserved addresses and
since there are 4,294,967,296 (2^32) IPv4
addressess in total, there
are 3,706,452,992 public addresses
Bien hecho
GENIAL!
UN MONTON DE DIRECCIONES IP
PERO…
Sin embargo…
¿Por qué se acaban las direcciones IP?
Además…
212.32.11.12
67.54.23.213
54.23.22.10
EL “INTERNET DE LAS COSAS”
Conclusión:
La IETF (Internet Engineering Task Force)
Así que…
Idea para afrontar el
agotamiento de direcciones
IPv4
Welcome IPv6!!
IPv6 permite actualmente que cada persona en la Tierra tenga
asignados varios millones de IPs, ya que puede implementarse con
IPv6 – 128 bits
2128
128 bits
= 340,282,366,920,938,463,463,374,607,431,768,211,456 nodos
En realidad son 264 subredes, de 264 posibles direcciones cada una
Los LIRs reciben por defecto /32 y los sitios /48
Pero con estos números… poco importa
OK, IPv6, ¿Y AHORA QUÉ?
Época de transición
¿Algún día funcionará todo con IPv6?
SÍ
Situación actual
Una nueva esperanza
Una nueva esperanza
Una nueva esperanza
002
Mitos y realidades
Problemas que se presentan
• Un nuevo protocolo a implantar
• “Desconocido” – No tenemos experiencia
• Se hace foco – Días IPv6
• ¿Qué se oye?
Mitos IPv6
+SECURE
E2E
NAT EoL
SCAN
M:I
Mitos IPv6
+SECURE
En realidad NO ES que sea más seguro,
sólo incluye la cabecera OPCIONAL de serie
E2E
En realidad IPv6 comportaría conexión de
cada dispositivo Seguridad requiere
dispositivos intermedios
NAT EoL
En realidad los administradores prefieren
soluciones de NAT (origen conexión
desde dentro).
SCAN M:I
::1, Direcciones seguidas, Fáciles de
recordar, MAC/IPv4
003
Seguridad en IPv6
Conceptos básicos
NUEVOS TIPOS DE @
ARP – NEIGHBOR DISCOVERY – NS, NA
AUTOCONFIGURACIÓN
CABECERAS OPCIONALES (EH)
Razones para vulnerabilidades
• Análogas a IPv4
– Siniffing, Aplicación, Rogue Devices, MITM,
Fragmentación, DoS, Spoofing, L1&L2OSI
• Nuevas amenazas relativas a IPv6
– Reconocimiento, ICMPv6, NDP, DHCP,
Amplificación de broadcast, Routing, Mobile IPv6,
EH, Migración a IPv6, Implementaciones S.O.
1- Cabeceras
– QoS, Movilidad, Seguridad – Cualquiera de ellos
muy fácil en IPv4, pero dos a la vez ya es un poco
más complicado.
– Reglas de firewall controlando alguna de las
partes de la cabecera?
Cabeceras
Cabecera IPv6
S.=TCP
Cabecera TCP
DATOS
Cabecera IPv6
S.=Routing
C. Routing
S.=TCP
Cabecera TCP
DATOS
Cabecera IPv6
S.=Seguridad
C. Seguridad
S.=Fragmentación
C. Fragmentación
S.=TCP
Cabecera TCP
DATOS
Cabeceras
Cabecera IPv6
S.=TCP
Cabecera TCP
DATOS
Cabecera IPv6
S.=Routing
C. Routing
S.=TCP
Cabecera TCP
DATOS
Cabecera IPv6
S.=Seguridad
C. Seguridad
S.=Fragmentación
C. Fragmentación
S.=TCP
Cabecera TCP
DATOS
2- MITM
2- MITM
2- MITM
3- Reputación
¿Dónde creemos que está el mayor riesgo?
4- EN LA TRANSICIÓN
Ejemplo - Túneles
Puntos Clave: Saber dónde estamos
Auditoría
Puntos estratégicos Elementos de seguridad:
– Auditorías – Inventarios, versiones, capacidades…
– Modificación políticas seguridad
– Nuevas reglas en equipos (FW, ADC, …) – replicación de reglas
• ¿Dimensionamiento?
– ¿Funcionalidades iguales en IPv4 que en IPv6?
• Lo hacen por SW? Rendimiento?
– Coexistencia de protocolos
– Aplicaciones
• Otros:
– Problemas de seguridad del protocolo
– Deshabilitar NATs
– Cabeceras “dinámicas”
¿Aplicaciones? ¿No es otra Layer?
A nivel de aplicación no debería pasar nada pero…
Cuantas aplicaciones dependen de la capa IP?
Debemos probar las aplicaciones en un entorno IPv6
Puntos Clave: DNS
Importancia del DNS en las redes IPv6:
- Direcciones muy largas (difíciles de memorizar)
- Clientes nuevos @IPv6
- Clientes ya existentes IPv4
¿Qué va a ocurrir?
DoS
Spoofing
BIND 65Kqueries/segundo
Peticiones de resolución no útiles (DoS)
DNS
DNS Client
1) What is the
address for
www.example.
com?
8) www.example.com resides
at IP address 1.2.3.4
Domain
Authoritative
DNS
9) www.example.com resides
at IP address 1.2.3.4
7) What is the address for www.example.com?
6) Talk to name server at IP xxx.xxx.xxx.xxx?
LDNS
5) Who is authoritative for example.com?
COM.
Root DNS
2) Is www.example.com
in my cache? No. Need
to find the answer
Origin authenticity
Data Integrity
Caching & Resolver
Cryptographic cards
3) Who is authoritative for
example.com?
4) Go ask the COM.
root servers.
Root
DNS
Puntos calve: Logs
ISP
• Los LOGS son de vital
importacia
• Debido a la falta de
direcciones NAT
• Los ISPs deben guardar
LOGs
Puntos calve: Logs
Necesidad de interconexión de diferentes redes y
guardar logs de referentes a los Carrier-Grade NATs
IPv6
Handsets
IPv6
Devices
IPv4
Legacy
Devices
Firewalls
DNS
IPv4
Applications
DNS64
IPv6
GW
IPv4
GW
NAT64/NAT44
IPv6
Applications
Amenazas por conocer…
• Quedan muchas amenazas por conocer, no sólo a nivel
de protocolo, nuevos ataques, …
• Fabricantes de seguridad con funcionalidades IPv4
rendimiento al activar dual-stack?
• Los parches desarrollados hasta ahora… ¿Se habrá
considerado también para IPv6?
• Fragmentación
• Problemas antiguos IPv4 – Resurgimiento
– Los mismos ataques, en el nuevo protocolo
• Primeros ataques DDoS a IPv6
•
IPv4 e IPv6 en SIEM (detección IP origen difícil)
Por otra parte
No sale a cuenta a los hackers estudiar
vulnerabilidades de IPv6 – Aún no está implantado
a suficiente profundidad
THC
SCAPY
RADVD
Pero hay que ir preparándose
Pero recordemos… ¿Cuándo será el momento?
004
Conclusiones
Conclusiones
• No hay que estar asustado de IPv6, pero no
tomárselo a la ligera
• IPv6 ofrece muchos beneficios, y muchos
desafíos
• Tardará muchos años en implantarse de manera
total
• Disponer de un plan de migración
INET v4
IPS
Web Mail
DNS
PC_A PC_B
INETv4
INETv6
Web Mail
DNS
GTM
APM
WOM
IPS
PC_A PC_B
INETv4
INETv6
Web Mail
DNS
LTM
ASM
WAM
APM
IPS
PC_A PC_B
INETv4
INETv6
IPS
Web Mail
DNS
PC_A PC_B
Y sobre todo nos tenemos que basar en…
• Inventario y mapa de red actualizado
• Plan de transición
• Educarse en IPv6
• Confiar en la experiencia de los demás
• Acotar IPv6 desde un principio
Gracias
Alejandro Campos
[email protected]
Comentarios de: Seguridad en la transición a IPv6 (0)
No hay comentarios