CINCO ASPECTOS DE SEGURIDAD A CONSIDERAR EN LA PREPARACIÓN A IPV6

CINCO ASPECTOS DE SEGURIDAD A CONSIDERAR EN LA PREPARACIÓN A IPV6

Colaboradores: Mike Chapple, SearchDataCenter, TechTarget y Unisys

Si todavía no ha pensado en los impactos que el nuevo protocoloIPv6 puede tener en la seguridad de su red, ¡ya es hora de hacerlo! La sustitución del venerable protocolo de Internet IPv4 está en marcha; no sólo eso, sino que quizás ya se haya realizado en su red sin que usted lo sepa. Veamos algunas de las implicaciones para la seguridad de IPv6.
Muy probablemente usted ya conozca la principal razón que impulsó la aparición de IPv6 (nos estamos quedando sin espacio de direcciones de IP). El esquema actual de direcciones con una arquitectura de 32 bits empleado en IPv4 permite crear 4,300 millones de direcciones únicas.
Aunque no deja de ser una cantidad exorbitante, piense que nuestro planeta tiene alrededor de 6,400 millones de habitantes. Evidentemente, no todo el mundo tiene una dirección IP, pero quien sí la tiene es posible que posea varias de ellas, contando los sistemas de los hogares y en las empresas, los teléfonos con acceso a internet y otros dispositivos conectados a redes.
La rápida explosión tecnológica en los mercados emergentes, especialmente en la región Asia-Pacífico, ha hecho necesaria la ampliación del espacio de direcciones.
IPv6 resuelve este problema porque utiliza un sistema de direcciones de 128 bits, el cual permite la creación de 3,4 x 1038direcciones, una cantidad que debería cubrir nuestras necesidades por mucho tiempo (¡aunque eso es lo que se decía cuando salió IPv4!).
Así pues, ¿qué supone la llegada de IPv6 para los profesionales de la seguridad?
Veamos cinco aspectos concretos de la seguridad en IPv6 que afectan nuestro trabajo:
1. Los profesionales de la seguridad necesitan formación/preparación en IPv6. IPv6 llegará a las redes que están bajo su control; es sólo cuestión de tiempo. Al igual que con cualquier tecnología de redes innovadora, es esencial que aprenda su funcionamiento básico, especialmente su esquema de direcciones y sus protocolos, a fin de facilitar el manejo de los incidentes y las actividades relacionadas.
2. Hay que actualizar las herramientas de seguridad. IPv6 no es compatible de forma retroactiva. Es decir, el hardware y software que se emplea actualmente para encaminar tráfico por las redes y llevar a cabo los análisis de seguridad no funcionará con el tráfico de IPv6 a menos que se actualice a versiones compatibles con el nuevo protocolo. Recordar esto es especialmente importante cuando se trata de dispositivos de protección perimetral. Es posible que los ruteadores, firewalls y sistemas de detección de intrusos requieran actualizar el hardware y el software a fin de poder “hablar” con el protocolo IPv6.
Muchos fabricantes ya disponen de estas actualizaciones. Por ejemplo, los dispositivos de redes de Cisco son compatibles con IPv6 desde el lanzamiento de IOS 12.0S.
3. Los equipos existentes pueden exigir una configuración adicional. Los dispositivos que ya soportan IPv6 normalmente lo tratan como un protocolo completamente separado (evidentemente). Por tanto, es posible que haya que reevaluar y traducir las listas de control de acceso, bases de reglas y otros parámetros de configuración para que puedan operar en entornos IPv6. Póngase en contacto con el fabricante pertinente para obtener instrucciones concretas.
4. Los protocolos de túnel crean nuevos riesgos. Las comunidades de redes y seguridad han invertido tiempo y energía en garantizar que IPv6 sea un protocolo seguro. Sin embargo, uno de los grandes riesgos inherentes a la migración es el uso de protocolos de tunelización (tunneling)para soportar la transición a IPv6. Estos protocolos permiten encapsular el tráfico de IPv6 en un flujo de datos de IPv4 para su encaminamiento a través de dispositivos no habilitados.
Por tanto, cabe la posibilidad de que los usuarios de su red puedan empezar a operar en IPv6 usando estos protocolos de túnel antes de que la organización esté lista para soportar el nuevo protocolo de forma oficial en su actividad productiva. Si esto le genera alguna ansiedad, bloquee los protocolos de tunelización de IPV6 (incluyendo SIT, ISATAP, 6to4 y otros) en su perímetro.
5. La autoconfiguración de IPv6 crea complejidad en el sistema de direcciones. La autoconfiguración, otro aspecto interesante de IPv6, permite a los sistemas adquirir automáticamente una dirección de red sin que tengan que intervenir los administradores. IPv6 soporta dos técnicas diferentes de autoconfiguración. La autoconfiguración con estado usa DHCPv6, una simple actualización del protocolo DHCP actual, y no supone una gran diferencia desde el punto de vista de la seguridad. Por otra parte, es preciso tener cuidado con la autoconfiguración sin estado. Esta técnica permite que los sistemas generen sus propias direcciones IP y, además, comprueba si hay direcciones duplicadas. Este enfoque descentralizado puede resultar más sencillo desde la perspectiva de administración de sistemas, pero presenta retos para aquellos de nosotros que tenemos la responsabilidad de controlar el uso (y abuso) de los recursos de la red.
Como se puede apreciar, el protocolo IPv6 es algo revolucionario. Nos permite preparar nuestras redes para la próxima década en un contexto que se anuncia de acceso ubicuo; por otro lado, como cualquier otra innovación, exige que prestemos una cuidadosa atención a la seguridad.