En la actualidad vemos que IPv4 funciona, y funciona bien. De no haber sido así, por seguro que se habría migrado masivamente a IPv6, y eso no ha sucedido. De todos modos IPv4 es un protocolo muy antiguo, y que tiene bastantes operativos ligados a su arquitectura:
- Ataques de denegación (distribuída) de servicios, DoS y DDoS. Las inundaciones de información en broadcasting y los ataques Smurf siguen estando ahí.
- La distribución de código malicioso automatizado, ya que el espacio IPv4 es corto y está saturado (más de dos terceras partes del espacio IPv4 está ya asignado).
- Los ataques Man in the Middle, ya que IPv4 no tiene características propias para proporcionar autenticación fuerte por sí mismo.
- Ataques de fragmentación, en los que se aprovecha lo mal que gestionan a veces las pilas de protocolo de algunos sistemas operativos la información fragmentada. Los más veteranos seguro que recuerdan los Nukes OOB (Out Of Band) y la legendaria pantalla azul de Windows.
- Ataques de reconocimiento y de escaneo de servicios. Escanear una clase C entera puede llevar bastante poco tiempo.
- Envenenamiento ARP y redirección de eco ICMP, o cómo desviar el tráfico a una dirección maliciosa.
IPv6 puede proporcionar mejoras no sólo para la seguridad, sino para el funcionamiento global de las comunicaciones.
¿Cómo?
- Proporcionando un espacio mayor. Pasamos de 2^32 a 2^128.
- Direccionamiento jerárquico. Desde el unicast (asignadas a un sólo nodo IPv6) al anycast (envíos segmentados a ciertos integrantes de un grupo determinado) (, pasando por el multicast (un grupo de nodos, la información llega a todos los integrantes). ¿En qué resulta esto? Tablas de enrutado mucho menores. Comunicaciones más optimizadas.
- Comunicaciones DHCPv6 que permiten configuraciones stateless y statefull.
- Calidad de servicio, QoS. Las cabeceras IPv6 contienen información específica que facilita la gestión del Quality of Service tanto para servicios diferenciados como integrados.
- Más rendimiento. Mejoran la gestión de paquetes y los tiempos de proceso.
- Pensado para la seguridad. IPSec en IPv6 es obligatorio, no opcional como sucede en IPv4.
- Extensibilidad. Las cabeceras IPv6 doblan en tamaño a las IPv4, pero sin embargo, las direcciones IPv6 son cuatro veces más largas. Las cabeceras IPv6 no contienen campos opcionales, lo que queramos enviar como opcional se hace vía cabeceras auxiliares. Esto reduce cómputo y tiempos, y simplifica la gestión.
- Movilidad. Trasladar nodos sin perder tiempo de operación es algo asumible en IPv6, mucho más fácil de lograr que en IPv4.
Una de las grandes ventajas de IPv6 es contemplar IPSec como algo obligatorio. Convertir IPSec en mandato obligatorio es harto interesante. Es una necesidad, diría yo. Mediante IPSec en IPv6 es posible reforzar la seguridad de las comunicaciones al menos desde las siguientes ópticas:
- Cabeceras y autenticación, que previenen la adulteración de las mismas (authentication header)
- Encapsulating Security Payload y la enorme ventaja que acarrea este encapsulado.
- Modo transporte (comunicaciones seguras entre extremos asegurando el payload de la comunicación) y modo túnel (no del todo necesario, ya que la autenticación de cabeceras y el Encapsulating Security Payload son suficientes para asegurar la comunicación)
- Negociación y gestion del intercambio de llaves, que se basa en que IPSec cumple con IKE.
¿dónde están los problemas de seguridad en IPv6?
La lista de posibles problemas podría ser:
- La coexistencia de IPv4 e IPv6. Mientras se traslada lo que hay en IPv4 a IPv6, es posible hallar problemas relacionados con la dualidad de pilas (dos infraestructuras, cada una con sus problemas propios)
- Manipulación de cabeceras. Pese a su diseño contra este tipo de actividad, no existe seguridad al 100%, como bien sabemos. No son descartables acciones futuras que burlen parte o la totalidad de los mecanismos de autenticación, especialmente en la fase de dualidad durante la migración.
- Ataques de inundación. El flood sólo se puede capear procesando la inundación y el tráfico, con lo que este tipo de ataques siempre estará ahí, si bien será más complicado para los atacantes.
- Movilidad. Al no existir este concepto en IPv4, nadie sabe a ciencia cierta cómo responderá realmente en IPv6. Todo un misterio pendiente de resolver.
¿Cómo está el panorama actualmente?
Como podran imaginar, bastante complicado. En pequeñas escalas y en redes locales se emplea bastante IPv6, ya que sistemas como Linux posibilitan su despliegue de una manera cómoda, rápida y segura, para servicios Intranet como SSH. Otros sistemas menos dados a innovar, como las plataformas Microsoft, admiten también IPv6, pero no gozan de la misma operatividad de servicios, muy poco consolidada en estos productos.
Tal y como dice la Wikipedia, ICANN anunció el 20 de julio de 2004 que los registros AAAA de IPv6 para Japón (.jp) y Corea (.kr) de código de país ya son visibles en los servidores raíz de DNS. El registro IPv6 para Francia fue añadido poco después. Poco esfuerzo adicional se ha hecho desde entonces.
....Espero que este post les se a de mucha utilidad, seguiremos dando mas alcances de IPV6 en el proximo post.....
Entradas
No hay comentarios:
Publicar un comentario