PDF de programación - La Internet6 ¿Un nuevo modelo de servicios y seguridad?

La
 Internet6
 

 
¿Un
 nuevo
 modelo
 de
 servicios
 
y
 seguridad?
 

Fran
 J.
 Gómez
 Rodríguez
 
 ([email protected])
 
Carlos
 Ralli
 Ucendo
 ([email protected])
 
 

 
25
 Abril
 2013
 

Telefónica
 I+D
 

 

Al
 final
 todo
 llega…
 

Observatorio
 IPv6
 en
 España
 

2013:
 Internet6
 llega
 a
 los
 usuarios
 

2013:
 Internet6
 llega
 a
 los
 usuarios
 

2013:
 Internet6
 llega
 a
 los
 usuarios
 

EsFmaciones
 personales,
 más
 Info:
 h[p://the-­‐internet6.blogspot.com.es
 
 

2013:
 Internet6
 llega
 a
 los
 usuarios
 

EsFmaciones
 personales,
 más
 Info:
 h[p://the-­‐internet6.blogspot.com.es
 
 

Contenidos
 en
 Internet6
 
 
-­‐  Se
 considera
 un
 despliegue
 suficiente
 a
 parFr
 de
 mediados
 de
 2012.
 
-­‐  24%
 del
 ranking
 Alexa-­‐500.
 
-­‐  Del
 Top6
 están
 todos
 excepto
 Twi[er.
 

Dos
 Internets
 y
 no
 una….
 

IPv4
 

INTERNET
 

NATs
 

-­‐
 SHORT
 SIZED
 
 
-­‐
 COMPLEX
 
-­‐
 CLIENT-­‐SERVER
 

INTERNET6
 

-­‐
 HUGE
 
-­‐
 SIMPLE
 
-­‐
 END2END
 

Dos
 Internets
 y
 no
 una….
 

Nuevo
 Modelo
 Servicios
 
 

Es
 importante
 invesFgar
 impacto
 y
 oportunidades:
 h[p://the-­‐internet6.blogspot.com.es
 
 

Nuevo
 Modelo
 Servicios:
 m2m
 

CoAP
 URI
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 "coap:”
 "//"
 host
 
 
 
 [
 ":"
 port
 ]
 path-­‐abempty
 [
 "?"
 query
 ]
 
CoAP
 MulFcast
 URI

 
 
 
 
 
 
 
 
 
 
 "coap:”
 "//”
 group
 [
 ":"
 port
 ]
 path-­‐abempty
 [
 "?"
 query
 ]
 
 
DTLS-­‐secured
 CoAP
 URI
 
 
 
 
 
 
 
 
 
 
 
 
 "coaps:"
 "//"
 host
 
 
 
 [
 ":"
 port
 ]
 path-­‐abempty
 [
 "?"
 query
 ]
 

Nuevo!
 

Aplicación$

CoAP$

HTTP<REST$

UDP$

TCP$

TCP/IP$

Capa$de$Enlace$

Embedded
 SW
 

@Device
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

6LowPAN
 Gateway
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  Plalorm/App
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Plataforma$REST$

Nuevo
 Modelo
 Servicios:
 m2m
 

Servidor
 WEB-­‐CoAP
 
Sensores/Actuadores
 


 6LowPAN
 

Red
 Radio
 
Mallada
 

Plataforma
 

M2M
 
Backend
 

REST-­‐HTTP
 API
 

INTERNET
 

Gateway
 
6LowPAN
 

Observaciones
 
(REST-­‐CoAP)
 

Creamos
 la
 ‘WEB
 de
 las
 cosas’
 
•  Los
 DisposiFvos
 son
 Internet
 WEB
 servers.
 
•  Registro
 y
 control
 en
 plalorma/BE
 m2m
 
•  Nuevo
 espacio
 para
 los
 Developers:
 disposiFvos
 
 
•  Transporte
 CoAP/UDP
 sobre
 6LowPAN/IPv6
 en
 la
 WSN
 y
 más
 allá.
 

Cliente
 Final
 o
 
 
Negocio
 B2B
 

Nuevo
 Modelo
 Servicios:
 m2m
 

Nuevo
 Modelo
 Servicios:
 m2m
 

Nuevo
 Modelo
 Seguridad
 

Nuevos
 nodos
 
 
en
 Internet
 

Dos
 Protocolos
 en
 las
 redes.
 
 
Nuevos
 mecanismos
 

Nodos
 y
 servicios
 en
 
la
 Internet
 Pública
 

Nuevos
 servicios
 
Mayores
 facilidades
 P2P
 

Phishing
 site
 

Ransomware
 

ReputaQon
 
hijacking
 

Fake
 AV
 

JNAT
 Botnet
 

Bots
 

BPS
 

Init
 Server
 

Requisitos
 

“Dynamical
 Evil
 Network”
 (D.E.N)
 

•  Init
 Server
 

– Servidores
 necesarios
 para
 iniciar
 la
 botnet
 

•  BPS:
 Bot
 PosiFon
 Server
 

•  Bots
 

– Host
 compromeFdo
 con
 conecFvidad
 imilitada
 

– Cada
 nuevo
 host
 compromeFdo
 pasa
 a
 formar
 
parte
 de
 la
 botnet
 y
 se
 conecta
 con
 varios
 bots.
 

Requisitos
 

{IPx,Px}
 

{IPx’,Px’}
 

{IPy,Py}
 

{IPy’,Py’}
 

{IPz,Pz}
 

{IPz’,Pz’}
 

{IPn,Pn}
 

NAT
 

Full
 cone
 

{IPn,Pn}
 

NAT
 

{IPn,Pn}
 

NAT
 

Restricted-­‐cone
 

Port-­‐restricted
 cone
 

J

I

U
M
P
N
G
-­‐
t
h
e
-­‐
N
A
T


 

BPS’
 

BPS
 

Public
 DNS
 

DNSQ
 

IPBPS
 

NAT
 

Host
 
 

compromeFdo
 
 

Descubrimiento
 
Y
 caracterización
 

J

I

U
M
P
N
G
-­‐
t
h
e
-­‐
N
A
T


 

BPS
 

{IPn’,Pn’}
 

{IPn,Pn}
 

{IPn’,Pn’}
 

NAT
 

NAT
 

NAT
 

Bot
 

Bot
 

Host
 
 

compromeFdo
 
 

J

I

U
M
P
N
G
-­‐
t
h
e
-­‐
N
A
T


 

BPS
 

{IPn,Pn}
 
{IPn’,Pn’}
 

NAT
 

Bot
 

NAT
 

Host
 
 

compromeFdo
 
 

J

I

U
M
P
N
G
-­‐
t
h
e
-­‐
N
A
T


 

BPS
 

Session
 

NAT
 

Bot
 

NAT
 

Bot’
 

J

I

U
M
P
N
G
-­‐
t
h
e
-­‐
N
A
T


 

UDP
 Punching
 hole:
 RFC5128
 

WebRTC
 

The
 future
 is
 now,
 Marty
 

h[p://tools.iel.org/html/drax-­‐v6ops-­‐vyncke-­‐balanced-­‐ipv6-­‐security-­‐00
 

 

•  Denegación
 de
 servicio
 

– Flooding
 
– ND
 cache
 exhausFon
 
– Service
 request
 
•  Vulnerabilidades
 
•  Uso
 desautorizado
 
•  DisposiFvo
 compromeFdo
 

S
w
i
s
s
c
o
m


 

Amenazas
 

•  Filtrado*
 

•  Basic
 SanitaFon
 
•  Stateless
 Filters
 

•  Protección
 en
 capa
 4
 

– DShield
 

•  Rate
 limit
 (DoS)*
 

– REC11,REC17,REC33
 

S
w
i
s
s
c
o
m


 

•  Recomendaciones
 de
 seguridad*
 

*
 RFC6092:
 Simple
 Security
 in
 IPv6
 Gateway
 CPE
 
 

PolíFcas
 

S
w
i
s
s
c
o
m


 

UX
 

Accesos
 no
 autorizados
 
Denegación
 de
 servicio
 del
 acceso
 
Malware
 

Reputación
 

Layer
 7
 

IDS
 

S
w
i
s
s
c
o
m

Comportamiento
 
Problemas
 conocidos
 


 

Conclusiones
 

Gracias por vuestra atención!

¿Preguntas?

• 
• 
• 
• 
• 
• 
• 

h[p://tools.iel.org/html/rfc6092
 
h[p://tools.iel.org/html/rfc5128
 
h[p://tools.iel.org/html/drax-­‐v6ops-­‐vyncke-­‐balanced-­‐ipv6-­‐security-­‐00
 
h[p://www.swissipv6council.ch/sites/default/files/images/ipv6-­‐residenFal-­‐swisscom.pdf
 
h[p://orange.eecs.iu-­‐bremen.de/www.eecs.jacobs-­‐university.de/seminar/talks/marinov.pdf
 
h[p://nzcsrsc08.canterbury.ac.nz/site/proceedings/Individual_Papers/pg242_NAT_Traversal_Techniques_in_Peer-­‐to-­‐Peer_Networks.pdf
 
h[p://www.facweb.iitkgp.ernet.in/ñiloy/COURSE/Autumn2010/UC/scribe/NAT-­‐p2p.pdf
 

Referencias