Escenarios de riesgos de seguridad iniciales en IPv6

Por Msc. Helios Mier

hmier [arroba] ieee.org

I Antecendentes

El corazón del funcionamiento básico de internet radica en el Protocolo de Internet mejor conocido como protocolo IP, actualmente en uso en su versión 4 desde 1977 cuya capacidad de direccionamiento de 32 bits fue prevista desde 1995 que se agotaría en algún mediano plazo, lo cual oficialmente se reconoció ocurrió en 2011, quedando solo unas cuantas direcciones por repartir en los registros regionales con un estimado de disponibilidad sólo para unos pocos años más.

Desde que se visualizó este escenario de incapacidad de soportar un crecimiento sostenido del acceso de nuevos usuarios y dispositivos al internet, se trabajó en la creación de una siguiente versión del protocolo IP el cuál estubo preparado para finales de los noventas, teniendo casi 10 años de implementación y pruebas, siendo a partir del año 2005 cuando se impulsa de manera generalizada una exhortación global a iniciar la transición al nuevo protocolo denominado Protocolo de Internet versión 6 IPv6.

En diversas partes del mundo se han tomado variados esfuerzos para facilitar o acelerar la transición al nuevo protocolo pero sin embargo, se espera que al menos durante un periodo de 10 a 15 años se viva una experiencia bastante dispar en distintas regiones y distintos tipos de usuarios para adoptar o diseñar nuevas tecnologías compatibles con el nuevo protocolo, lo cual crea un escenario de seguridad peculiar para muchos debido a la varianza de preparativos adecuados y por el retraso en la implementación en comparación con la disponilidad y acceso a la nueva tecnología que ya se encuentra presente en diversos rubros de internet.

La transición al protocolo IPv6 se considera imperativa para todos, sin embargo muchos implementadores de tecnología y usuarios se encuentran con muy variantes grados de avance o retraso en los preparativos, creando una situación de riesgos de seguridad que no se ha visto desde que internet cambió del protocolo NCP a TCP/IP hace varias generaciones.

II Disponibilidad inesperada de IPv6

Casi todos los nuevos productos tecnológicos en hardware y software con conectividad a internet vienen preparados de fábrica para usar el protocolo IPv6, y muchos de ellos vienen con el protocolo habilitado aún cuando no haya una conectividad completa por parte del ISP, o en caso del que el ISP ya ofrezca el servicio, que adicionalmente a la conectividad IPv4, se tengan dispositivos y servicios conectados por IPv6 sin que el usuario se de cuenta.

Esto obliga que los planes y políticas de seguridad sean revisadas con prontitud para contemplar los riesgos de ya contar con la presencia del protocolo IPv6 y establecer mecanismos de seguridad adecuados para que lo regulen o en su defecto asegurarse de anular por el momento su presencia para reducir riesgos como los siguientes que mencionaremos.

III Convivencia simultánea de múltiples protocolos

IPv6 funciona de una manera distinta a IPv4, de forma que deben de tratarse como dos elementos aparte aunque se encuentren presentes en un mismo sistema, lo cual se espera que sea la situación predominante durante el periodo de transición hasta que la necesidad de contar aún con servicios a través de IPv4 sea abandonada.

Los mecanismos de protección que se basen en alguna forma de control o referencia por direccionamiento IPv4 no tendrán una funcionalidad idéntica si se realizan comunicaciones por IPv6, siendo el ejemplo más evidente el de los firewalls por ejemplo en un sistema unix/linux, donde IPtables funciona por separado de su contraparte IP6tables.

El origen o destino de una comunicación que se requiere sea regulada no será igual si se realiza por IPv6, aún cuando los servicios en capas superiores de OSI sean por protocolos conocidos, se podrían evitar los mecanismos de protección simplemente con buscar el acceso a traves de una dirección IPv6.

Si bien no será lo indicado suprimir el protocolo IPv6 de un sistema, los administradores tienen que aprender a considerar duplicar los mecanismos de protección para que se apliquen con la misma efectividad a todo lo que venga sobre IPv6.

IV Acceso directo por IPv6

Todo sistema y servicio que funcione con IPv6 se debe de considerar que se encuentra con acceso directo y público a internet, de manera que se requiere asegurarse que se cuenta con firewall de red o al menos con un firewall personal en cada sistema.

Aún cuando físicamente se tenga una red local y se manejen servicios locales, se debe de tener siempre presente que con una dirección IPv6 se encuentra uno de frente al internet público, y por lo tanto al alcance de cualquier agente externo.

Si bien a cada usuario se le delegará un segmento IPv6 con considerable cantidad de direcciones para disponer de ellas, dependiendo de la forma en que la autonfiguración y parámetros de DHCP que tenga predeterminados de fábrica su equipo de red, se pueden tomar algunas deducciones para encontrar otros equipos de red en un segmento perteneciente a un usuario.

V Tuneleo y canales furtivos

El protocolo IPv6 integra de forma nativa la facilidad para establecer canales y tuneles encubiertos de comunicación buscando seguridad y privacidad de las comunicaciones, así como también contar con funciones de tunneling destinadas a ayudar a organizaciones a dar conectividad IPv6 durante su periodo de transición. Así también existen servicios públicos gratuitos para ofrecer a un usuario la posibilidad de dar salida a un tunel IPv6 desde su terminal.

Esto puede permitir se establezcan formas de comunicación desde dentro de o hacia sitios restringidos externos a la red encapsulando protocolos entre paquetes IPv6 o usando tuneles de salida remotos aprovechando la omisión de controlar lo que entra y sale usando protocolo IPv6 o algún protocolo de tuneleo como 6en4, 6a4, teredo, etc.

VI Tecnología y servicios inpreparados

IPv6 corrige algunos errores de diseño de IPv4 que se traducian en vulnerabilidades de seguridad muy díficiles de enfrentar, para lo cual a lo largo del tiempo se desarrollaron estrategias y tecnologías que eran opcionales implementar, pero que al hacerlo se reducian en gran medida riesgos severos como el caso de IPsec.

Sin embargo, hay que recalcar que IPv6 en sí no es un protocolo orientado a la seguridad, de manera que su implementación de ninguna manera elimina riesgos por lo que hay que entender y aplicar todas las nuevas características que incorpora para ayudar a mejorar el nivel de seguridad de una red.

Esta necesidad de conocer y aplicar las nuevas funcionalidades técnicas afectan a los servicios de red y sistemas a todos los niveles, desde la arquitectura y funciones importantes de las redes de comunicaciones, la configuración de servicios en clientes y servidores, y en particular a los sistemas que se desarrollan ya que si bien pudieran funcionar de forma compatible con IPv6 gracias al modelo de capas, es posible que se introduzcan nuevos bugs y vulnerabilidades sólo por el hecho de convivir en un ambiente con ambos protocolos habilitados y por depender de mecanismos de protección externos basados exclusivamente en lo que se puede lograr con IPv4.

En pocas palabras, el diseño de la arquitectura de seguridad de un sistema tiene que contemplar que eventualmente funcionará también sobre redes y servidores con soporte IPv6 y las pruebas de calidad y seguridad del sistema deben de incluir casos de prueba contemplando el mismo escenario.

VII Saturación de recursos

Debido a que el protocolo IPv6 contempla 128 bits para designar el direccionamiento, se espera que a cada usuario y red local se le delegen una enorme cantidad de direcciones IP para su uso a discreción del administrador del segmento.

Estas increibles cantidades de direcciones que se ponen sobre la mesa a partir de este momento, puede llegar a generar una situación de negación de servicio para dispositivos de red o sistemas que levantan registros de las direcciones IP's ya que al existir tantas, si por coincidencia o maliciosamente se ingresan en una red paquetes IP que lleven al limite las bitácoras y memorias internas de los dispositivos que no serían capaces de almacenar tanta cantidad de registros.

De hecho este tipo de vulnerabilidad ha sido de las primeras que han sido documentadas y se comienza a descubrir se encuentra presente en muchos productos comerciales y sistemas de redes con IPv6 listo. [] http://www.networkworld.com/news/2011/050311-microsoft-juniper-ipv6.html

VIII Geolocalización y personalización de direcciones

Si bien la cantidad de direcciones IP disponible es inmensa, una combinación de funcionalidad técnica y políticas administrativas crean un escenario donde cada dirección IP pudiera llegar a quedar atada a una persona en particular:

• Las funcionalidades comunes de DHCP que logran en muchos casos asignar siempre una misma dirección al mismo dispositivo.

• Uno de los modos de autoconfiguración por default en muchos routers donde se toma la dirección MAC del dispositivo para conformar la dirección IPv6 que se le asignará.

• Si se omite habilitar el modo de privacidad para la autoconfiguración y ofuscación de la dirección IP usada por el dispositivo.

• Las políticas de cada NIC regional donde se asignan bloques de direcciones IP en base a una localización geográfica por país, carrier, ISP, estado, región o ciudad.

  Es esperado en algún momento que cada usuario y dispositivo llegue a tener una dirección IPv6 fija de forma permanente, de manera que tiene que considerarse las implicaciones en cuanto a privacidad y registrabilidad.

IX Tecnología naciente y vulnerabilidades por descubrir

Como en todo producto tecnológico de creación reciente, apenas está por iniciar su etapa de evaluación a gran escala por parte de los usuarios y entusiastas que la hackean hasta llevarla a sus límites, de manera que se tienen que tener durante un largo tiempo la expectativa del descubrimiento de vulnerabilidades en el diseño del nuevo protocolo así como de las implementaciones de este en todos los productos comerciales que se usen.

X Conclusiones

Una parte considerable de riesgos de seguridad asociados a IPv6 proviene de desinteresarse de su ya presencia actual y no ver reflejada su consideración en los planes y políticas de seguridad.

Siendo una tecnología relativamente nueva, se debe de tener preparación adecuada para su aplicación práctica y resolución de incidentes, siendo para muchos un área de expertise que tienen que desarrollar con urgencia debido a que antes de que se den cuenta ya estarán viendose en la necesidad de implementar servicios públicos de red por medio de este protocolo.

Poniendo en funciones un nodo IPv6 de prueba

Stay a while and listen..

Bueno estas son mis experiencias para poner un a red con acceso al protocolo IPv6 con lo que tenía a la mano o se pudiera  conseguir de una manera más o menos sencilla.

Tengo dos accesos a internet, uno con AXTEL en su servicio wimax y otro con la cablecom y su servicio a traves del cable de tv. Ambas redes no tienen IP publica, en caso de AXTEL tiene un nivel de NAT y en el cable se ven 3 niveles de NAT. Esto lo hago notar puesto que tiene un impacto en lo que describire posteriormente.

Lo primero que se necesita es tener equipo de red que tenga habilitado el protolo IPv6, en el caso de windows si es XP sp3 o anterior hay que añadirlo manualmente a la lista de protocolos de red, de vista en adelante ya viene activado de fábrica. En el caso de linux depende de la distribución que se use, ya vendrá añadido al kernel.

El equipo activo de red es importante, sobre todo routers, gateways y dhcp's ya que en caso de IPv6 el ICMPv6 cumple muchas funciones de configuracion y control de la red que en IPv4 se hacian en protocolos individuales.

En este caso, ningun ruteador de los que usabamos comunmente (linksys, 2wire, ansel, etc...) venia listo para manejar IPv6, de manera que buscamos un ruteador útil. Como una referencia, los ruteadores que están listos de una manera mas o menos transparente para recibir asignaciones de bloques IPv6 cuando tu ISP te las envíe vienen todos con una certificación llamada "IPv6 Ready" ya sea en versión plata u oro. De forma que es importante considerar esto si estas construyendos nuevas redes puesto que no todos los equipos que se venden ahorita tienen implementado IPv6. Es una buena inversión ver a futuro este factor en nuevas redes.

La diferencia principal entre los equipos certificados IPv6 plata y oro es la implementación de todas las modalidades y funciones que tiene IPv6, en el caso de los nivel plata son equipos diseñados para recibir un bloque IPv6 y repartir direcciones a su subred, sencillos y funcionales, en el caso de equipo de nivel oro vienen con una implementación completa de los metodos para dar conectividad IPv6 como tuneles 6a4, 4a6 y teredo, asi como muchas funciones más de control de IPv6.

De los routers caseros, me di a la busqueda con los proveedores de hardware, practicamente toda consulta que hacia en internet sobre recomendaciones me decian como primer lugar absoluto en preferencias el router D-Link DIR-655 Xtreme N Gigabit IPv6 Ready Gold, que es un router casero, red wifi tipo N de 300 mbits, 4 puertos de lan de gigabit, un puerto USB para compartir recursos de hardware por la red y una infinidad de funciones de administración de red como firewall, vpn, bloqueo de sitios, etc. Muy bueno el hardware, con un precio de entre 2,800 a 3,000 pesos.

Tambien la siguiente opción más recomendada era usar un router con el custom flash Open WRT que tenga compilado modulos para IPv6, pero despues de estudiar esta opción, no todos los routers que les puedes poner OpenWRT tienen la capacidad de manejar tuneles IPv6, de manera que te recomiendan que termines comprando un D-link como el anterior descrito.

Ahora la parte más importante, el acceso a IPv6.

En teoría, todos los ISPs del mundo tienen que cambiar a IPv6, el problema es cuando. Durante el IPv6 Day México del año pasado, el único que se ha pronunciado de forma oficial sobre su transición a IPv6 es telmex, quien prometió que para la primera mitad del 2012 desplegaría direccionamiento a los usuarios caseros, con una implicita declaración de que tendría que cambiarle los routers a mucha gente.

De los otros ISPs que conozco, AXTEL podría hacer lo mismo igualmente con solo ponerle routers adecuados a la gente, a lo cual me di cuenta en semanas recientes que a clientes nuevos que contratan les esta dando routers D-link de los que tienen certificación plata de IPv6, pero no puedo decir con certeza si es con esa intención.

De los ISPs de cablera olvidense, los modems que entregan a los usuarios no pueden manejar direcciones IPv6 y no veo ninguna señal de que ni siquiera con una actualización de firmware pudieran lograrlo. Me da la completa impresión de que serán una piedra en el zapato para la transición a IPv6.

De esta manera, con el router adecuado podría ser de forma transparente la transición a IPv6 en la casa u oficina puesto que ya estaría listo para recibir un bloque de direccionamiento. En el caso de Infinitum de Telmex, en teoria se puede sustituir en router que te dan por uno propio solo poniendo la clave de usuario que te dan y podrías tener IPv6 desde el instante que empiezen a repartir direcciones.

Pero por el momento, ningún ISP más que los servicios empresariales (los mas grandes y caros) entregan IPv6 a los usuarios caseros. De manera que mi implementación de IPv6 tuvo que ser por medio de la modalidad Tunnel Broker.

Existen 3 principales consorcios que ofrecen acceso a un tunel IPv6 de forma gratuita, todos con dos modalidades: una direccion única para dar acceso a IPv6 a una sola estación o un bloque de direcciones para que uno mismo las administre, lo cual si hay una diferencia muy grande para aplicarlas.

Hurrican Electric

Una persona puede sacar una cuenta y pedir que le asignen una direccion IPv6 a lo cual te dan los datos del punto de entrada y salida del tunel.

El único requisito técnico crítico es que debes de tener una dirección IPv4 pública que sea capáz de responderles un ping directo, lo cuál con las estructuras de redes NATeadas que tenemos en méxico es practicamente imposible tener una.

Las infinitums de telmex en teoría reciben una IPv4 pública, pero no todas dejan pasar un ping y por lo tanto no pueden configurarse con este tunel. En otros lugares vi que Infinitum ya está NATeando a sus usuarios.

Para configurar una sola estación, tiene que estar directamente de frente al internet como IP pública, de manera que hay que poner el router en modo de fowardeo completo de dirección IP a la PC que será la que tenga salida. En este caso, el windows tiene de fabrica una configuración de acceso a red IPv6 por tunnel broker, y en el sitio de Hurrican te dan paso a paso las instrucciones para crearla y alimentar los datos del tunel. Lo malo de este proceso es que por tener el fowardeo de una sola IP, pues solo puedes tener una estación en tu red con salida.

Para configurar una red completa, el router con IP pública se alimentaría  con los mismos datos de entrada y salida del tunel, asi como del segmento de red y direcciones a repartir.

De todos los métodos para dar acceso este tunel es el que menos esfuerzo requeriría siempre y cuando se cumpla con tener una IP pública.

Gogo6

Este es un tunel gratuito que se basa en descargar un cliente al sistema que configura el tunel cuando arranca el sistema, ya que tiene dos modalidades, tunes anonimo o registrado, y 3 diferentes tuneles por cada uno que el cliente selecciona si uno no esta disponible.

En el caso de usar un tunel anónimo, el cliente selecciona uno de tres posibles puntos de salida (ontario, amsterdam o sydney) y tratará de mantenerte la misma dirección siempre, la cuál cambiará dependiendo del tunel de salida.

En el tunel registrado, obtienes una cuenta donde te puedes conectar a un punto de salida manualmente, y siempre tendrás la misma dirección dondequiera que te encuentres puesto que el tunes se configura para darte siempre la misma IPv6 y ruta, bastante práctico cuando andas viajando. También es un requisito usar cuenta registrada para poder solicitar bloques de direcciones para tu red, a lo cual te dan un bloque ::/56 ¡¡para ti solo!!

Para configurar una sola estación, el cliente que se descarga se encarga completamente de configurar los accesos de red y de forma transparente recibes una dirección IPv6 con salida efectiva completa a IPv6 donde quiera que estes, se lo puedes poner a un servidor y conectarde a él desde donde quieras, sin VPNs, sin forwardear puertos, nada de ese tipo de cosas para pasar las NAT's.

Para configurar una red se pone complicado, como es el cliente el que mantiene el tunel abierto, tiene que haber una PC que siempre tenga el cliente en ejecución, en el momento que se apague la PC se cae el tunel y dejas de recibir ruteo. A través del mismo cliente se habilita una opción para que además de la dirección IPv6 que le dan a esa PC se te de un bloque de direcciones, y con la misma información del tunel que se tiene abierto, se ingresa la información al router de la red del punto de entrada y salida del tunel asi como del bloque de direcciones y subred, de esa manera el router entonces por DHCPv6 ya reparte direcciones a todas las PCs de la red y tendrán salida.

Hay que confesar que si es una lata darle salida a toda la red con este servicio, pero para ofrecer a una sola estación es lo más sencillo. Puedes sacar multiples cuentas y darle salida a cada PC, solo considera que técnicamente cada PC de tu red sería un sitio IPv6 independiente y cada comunicación tiene que irse a darle la vuelta al tunel aunque estén en la misma red.

SixXs

OK, este servicio a mi en lo personal se me hizo un dolor de cabeza puesto que tienes que registrarte y luego para poder solicitar una IPv6 y en especial para solicitar un bloque de direcciones tienes que enviar una petición con tus datos de contacto reales, una descripción del proyecto a realizar y en fin, te piden que los convenzas de que te den una dirección, y a estos días es momento que no les pude sacar un bloque de direcciones y los mande al carajo.

En teoría mucha gente lo recomienda puesto que ellos usan un cliente bastante más avanzado que es capaz de el mismo configurarotras PCs, pero pues no pude probarlo.

Detalles

Lo más importante a recordar es que son tuneles, todo tipo de comunicación va a ir primero a la salida del tunes, de manera que es mucho más lento, aunque la comunicación es sin pérdidas, la velocidad observada es de 350 a 500 ms de latencia. Todos los sitios visitados respondía bien, pero en sitios que envían más información si se notan extremadamente lento.

Todos los servicios de tunel usan el DNS público de google para localizar sitios IPv6, de manera en las estaciones cuando quieras entrar por ejemplo a un sitio de google, te enviaran primero a consultarlo por IPv6 preferente y en lugares como youtube o gmail, será muy lento debido a la velocidad del tunel.

Por seguridad hay que recordar sobre todas las cosas que en IPv6 todas las estaciones con una dirección son públicas (los pings pasan de extremo a extremo), se elimina el concepto de red privada a menos que tengas un firewall de por medio manualmente instalado y configurado a limitar el acceso a ciertas IPs o protocolos.