it-swarm-es.com

¿Cuáles son los riesgos de seguridad al habilitar ipv6?

Estamos considerando habilitar ipv6 en nuestros servidores web, de modo que seamos accesibles tanto con ipv4 como con ipv6. ¿Hay algún problema de seguridad que debamos tener en cuenta al habilitar ipv6?

27
Peter Smit

Solo IPv6:

  • El tamaño ilimitado de la cadena de encabezado puede dificultar el filtrado.
  • IPsec no es una panacea:
    • IPv6 exige la implementación de IPsec
    • IPv6 no requiere el uso de IPsec
    • Algunas organizaciones creen que IPsec debería utilizarse para proteger todos los flujos:
      • Interesante problema de escalabilidad
      • Necesita confiar en los puntos finales y los usuarios finales porque la red no puede asegurar el tráfico: sin IPS, sin ACL, sin firewall
      • La telemetría de red está cegada
      • Servicios de red obstaculizados
  • Recomiendo no utilizar IPsec de un extremo a otro en un dominio administrativo, sino para objetivos residenciales, hostiles o de alto perfil.

Ataques IPv6 con fuertes similitudes con IPv4:

  • Olfatear
    • Sin IPSec, IP Sin IPSec, IPv6 no es más o menos probable que sea víctima de un ataque de rastreo que IPv4
  • Ataques a la capa de aplicación
    • Incluso con IPSec, la mayoría de las vulnerabilidades en Internet hoy en día se encuentran en la capa de aplicación, algo que IPSec no hará nada para prevenir.
  • Dispositivos no autorizados
    • Los dispositivos no autorizados serán tan fáciles de insertar en una red IPv6 como en IPv4
  • Ataques de intermediario (MITM)
    • Sin IPSec, cualquier ataque que utilice MITM tendrá la misma probabilidad en IPv6 que en IPv4
  • Inundación
    • Los ataques de inundación son idénticos entre IPv4 e IPv6

Pila dual IPv4 e IPv6 (como mencionaste):

  • Las aplicaciones pueden estar sujetas a ataques tanto en IPv6 como en IPv4 (enlace más débil)
  • Los controles de seguridad deben bloquear e inspeccionar el tráfico de ambas versiones de IP
18
Jeff

Muchos sitios usan direcciones privadas dentro de su red, y el enrutador ejecuta NAT para que las conexiones salientes sean factibles. La cosa NAT implica, por construcción, el mismo efecto que un firewall que evitaría cualquier conexión entrante desde el mundo exterior a una de las máquinas de la red interior.

Cuando habilita IPv6, las máquinas internas se vuelven visibles externamente. Así que será mejor que configure las reglas de filtrado de línea base en el firewall antes habilitar IPv6. Piense en un viejo sistema Windows sin parches, lleno de agujeros explotables de forma remota, que era inofensivo siempre que simplemente se sentara en la red interna sin realizar ninguna actividad de red con Internet en general (por ejemplo, una estación de trabajo utilizada solo para conectarse a alguna intranet).

Esto no es realmente de IPv6 falla. Es que IPv6 fue diseñado para que no haya escasez de direcciones, por lo que NAT innecesario. Creo que la mayoría de los problemas de seguridad que ocurrirán con la implementación de IPv6 seguirán ese patrón: IPv6 anula el "firewall inherente "efecto de NAT, descubriendo muchos hosts vulnerables. Hasta cierto punto, esta es la misma historia que la llegada de WiFi, que anula la seguridad física inherente de los cables simples.

12
Thomas Pornin

Me encontré con un artículo reciente sobre el tema: PUNTO DE VISTA CPNI - IMPLICACIONES DE SEGURIDAD DE IPv6 - MARZO 2011 . Los puntos principales que destaca son los riesgos compartidos por muchas nuevas tecnologías:

  • menos maduro que IPv4, por lo que probablemente más errores
  • menos soporte en productos de seguridad
  • más complejo => mayor superficie de ataque, especialmente para entornos de doble pila
  • menos familiaridad por parte del personal de apoyo

Por lo tanto, antes de implementar IPv6, debe tomarse el tiempo para familiarizarse con la tecnología, trabajar con proveedores expertos y tener un plan para abordar estos problemas.

El informe analiza un poco más, por ejemplo, la opción sin NAT.

Parece que hay un buen mercado en desarrollo para los expertos en seguridad de IPv6. (Como si no hubiera otras oportunidades ahí fuera ...)

4
nealmcb