El hecho es que IPv6 puede estar corriendo en una red sin conocimiento de la organización, puede utilizarse como un canal encubierto por botnets y hackers; es importante que la infraestructura de seguridad esté alerta del tráfico IPv6.
El lanzamiento mundial de IPv6 ya pasó pero ese día logró la meta de tener a proveedores de acceso y gran contenido habilitándolo permanentemente, lo cual resultó en el tráfico IPv6 nativo agregado durante ese día, al igual que el tráfico mediante protocolos de túneles como 6in4 y Teredo. Desde el punto de vista del mayor uso de IPv6 el evento fue un éxito significativo. Pero aunque el día del lanzamiento ya pasó, las implicaciones de seguridad de manejar el tráfico en este nuevo protocolo no han pasado.
Lo principal entre los problemas de seguridad es que los túneles no autorizados pueden hacer invisible el tráfico IPv6 creando un sendero desprotegido dentro y fuera de la red corporativa. Desmantelar estas rutas exige visibilidad y comprensión del funcionamiento de los mecanismos de transición IPv6.
Es fácil entender por qué las organizaciones necesitan migrar a IPv6. Para empezar a IPv4 simplemente se le está acabando el espacio. Cada dispositivo que se conecta a la Internet está asignado con lo que es conocido como una dirección IP. El protocolo IPv4 permite 32 bits para una dirección IP o dos direcciones posibles. IPv6 incrementa esa cantidad a dos. Mientras que IPv4 le ha servido al mundo el número creciente de dispositivos que se conectan a la Internet significa que el tiempo del protocolo se está agotando. IPv6 tiene otros aspectos hechos como mejoras sobre IPv4 también incluyendo la simplificación de la asignación de las direcciones.
Pero existen otras implicaciones para las operadoras de redes de convertirse a IPv6. Así como las organizaciones tienen un enfoque robusto en proteger el lado de IPv4 de la red igualmente deben tener un enfoque fuerte en IPv6. Los profesionales de seguridad necesitan aprender lo básico del protocolo nuevo con el fin de manejar el cambio. Para ayudar en este aspecto se han publicado en la Web las mejores prácticas.
Si los dispositivos de seguridad soportan IPv6 ahora es el momento de encenderlos. Algunos sistemas operativos como Windows Vista y Windows 7 permiten los mecanismos de transición IPv6 por omisión. Esto significa que estas capacidades podrían utilizarse sin que su departamento de TI lo sepa – permitiendo a los usuarios pasar por encima de los firewalls y de los sistemas de prevención de intrusiones.
Estos túneles funcionan al habilitar a los anfitriones IPv6 y a los ruteadores para que se conecten con otros dispositivos IPv6 sobre la Internet IPv4. El problema con los túneles es que pueden pasar por su firewall – permitiendo a los atacantes rodear potencialmente sus controles de seguridad y conectarse a recursos dentro de la red. Por esta razón el uso de protocolos de túneles como 6a4 para soportar la transición a IPv6 necesita considerarse cuidadosamente y probablemente debe mantenerse al mínimo.
El hecho es que IPv6 puede estar ya corriendo en una red de una organización sin su conocimiento y puede utilizarse como un canal encubierto por botnets y hackers. Aunque puede que una organización no esté corriendo activamente IPv6 en la red corporativa es importante que su infraestructura de seguridad esté alerta del tráfico IPv6. Después de todo, no puede detener lo que no puede ver.
Cuando se trata de la implementación segura de IPv6 la palabra del día es visibilidad. Las organizaciones necesitan los productos de seguridad que utilizan para ser capaces de soportar IPv6 y habilitarlo operacionalmente. En algunos casos, esto puede requerir actualizaciones, pues los sistemas de prevención de intrusiones (IPS) y los firewalls antiguos, por ejemplo, tal vez no puedan inspeccionar el tráfico de este protocolo.
Afortunadamente muchos de los principales proveedores de seguridad de red y de firewall han añadido soporte IPv6 durante los últimos años. Aún así las compañías deben hablar con los proveedores para asegurarse de que sus productos ofrecen toda la funcionalidad que necesitan y comenzar a aplicarla en su ambiente. Existen iniciativas de pruebas IPv6 acreditadas para ayudar con esto tales como el perfil USGv6 y el programa de pruebas de NIST.
A medida que más organizaciones continúan instalando IPv6 los administradores necesitan prestar atención especial a los mecanismos de transición y a las configuraciones del dispositivo para evitar abrir senderos no autorizados a la red. Es un deber monitorear todo el tráfico de la red y si se encuentran túneles no autorizados deben cerrarse antes de que sean aprovechados por el tráfico de ataques. La adopción de IPv6 significa que las organizaciones necesitan empezar a tomar pasos para soportarlo con seguridad.