Continuando con las recomendaciones de seguridad para IPv6, vamos a abordar el tema de la seguridad de los paquetes. IPv6 por definición implementa obligatoriamente IPSec lo cual nos brinda un gran avance en la seguridad respecto a IPv4 donde es opcional. IPSec usa criptografía para proporcionar seguridad de los datos e incluso las cabeceras (modo túnel) evitando con ello el spoofing o cambio de las direcciones IP de los paquetes. Es un estándar definido en los RFCs 4301-4303.
En este caso vulnerabilidad se localiza en las tecnologías de transición de IPv4 a IPv6, en concreto en los túneles que se usan para transmitir paquetes de versión 6 sobre redes IPv4. Las tecnologías de túneles que se contemplan son 6to4 que establece comunicación unicast a través de internet sobre IPv4, ISATAP o comunicación unicast dentro de una intranet IPv4 y Teredo (desarrollo de Microsoft, RFC 4380) donde la comunicación unicast es por internet IPv4 añadiendo soporte para redes con NAT.
En el caso de los túneles para IPv4 el paquete IPv6 se encapsula en un paquete IPv4 y por tanto con las mismas vulnerabilidades. Lo que debemos hacer es identificar los túneles y proteger su tráfico en IPv4 con IPSec:
- ISATAP fija el campo "IP Protocol" a 41------> Establecer IPSec para IPv4 si IP protocol=41 y proteger ese tráfico. Puede hacerse ya que al estar en una intranet podemos fijar la clave compartida por los extremos IPSec sobre ipv4
- 6to4 también marca IP protocol a 41 pero atraviesa internet. 6to4 se identifica porque las direcciones tienen el prefijo 2002::/16 y son direcciones IPv6 que se encaminarán a través de ipv4 hacia otro domino 6to4 , para ello el router cuando debe recibe este prefijo sabe que dentro hay un destino 6to4 que tiene que atravesar IPv4 y que debe entegarlo a otro router que maneje los prefijos 2002::/16 y que tenga conectividad ipv4 (llamado relay 6to4). El relay se encargará enrutar el paquete por internet bajo IPv4 encápsulandolo en un paquete marcado con "IP=41". En este caso solo podremos usar IPSec para proteger ipv4 si el router Ipv6 y el relay 6to4 se encuentran en el mismo dominio administrativo de de red y se supone que existe una confianza entre ambos como para compartir la configuración necesaria para establecer IPSec (autenticación). Si la organización no tuviese su propio relay 6to4 no podríamos usar IPSec (salvo que nuestro proovedor de relay nos diese confianza) . Sin IPSec, la seguridad debemos basarla en el filtrado del tráfico en el router de relay y establecer reglas para que solo se admitan paquetes IP 41 con el prefijo anycast de nuestra red. O quizás en una VPN....
- Teredo usa el puerto 3544 y encapsula el paquete IPv6 en un datagrama UDP----->Establecer IPSec para IPv4 si puerto origen o destino es UDP 3544 . Teredo no necesita una IP v4 pública en el destino para hacer llegar el paquete Ipv6 encapsulado ya que se basa en una solución cliente/servidor UDP
No hay comentarios:
Publicar un comentario