ipv6 en linux y algunos aspectos de...
TRANSCRIPT
IPv6 en Linux y algunos aspectos de seguridad
Ing. Claudia Córdova YamauchiDirección de Investigación y Desarrollo Tecnológico INICTELUNI
IPv6 Task Force Perú – Red Académica Peruana
Grupo de Trabajo de Videoconferencia de la Red CLARA
Linux Week 2008 – Pontificia Universidad Católica del Perú
Agenda IPv6 actualmente
En el mundo Latinoamérica Perú
Aplicaciones en Linux Algunas consideraciones de seguridad
IPv6
Espacio de direcciones IPv6
IPv6 Marzo 2008
• Anuncio de LACNIC• http://www.lacnic.net/ipv6/en/
• “... all the region’s networks will be adapted to the new version 6 of the protocol (IPv6) before January 1st, 2011”
IPv6
¿Dónde estamos?
IPv6 Marzo 2008
• Disposición del Gobierno Estadounidense– Deadline 2008, establecido en el 2003.
• Redes del Department of Defense, a excepción de la unidades de combate de Irán y Afganistán.
• Redes de todo el aparato estatal.
• NASA
IPv6 Marzo 2008
• Servidores Raíz DNS – Registros AAAA
– Transporte
–
–
–
–
IPv6 Marzo 2008
• Prioridad APEC– APEC TEL
IPv6 Marzo 2008• The Great IPv6 Experiment
– http://www.ipv6porn.com/
IPv6 Marzo 2008• IETF IPv6 Hour (2008)
– NANOG Hour (Febrero 2008) http://www.civiltongue.net/6and4/wiki/nanog42
– IETF 71 (Marzo 2008) http://wiki.tools.isoc.org/IETF71_IPv4_Outage
– RIPE 55 VIDEO
• IPv6 en Perú– RAAP (Dual stack)
– LACNIC X (prueba IPv6 y multicast)
– IPv6 Task Force (Primera cumbre de IPv6 2007)
Stack IPv6 en Linux• Proyecto KAME
– http://www.kame.net/
• Proyecto USAGI– http://www.linuxipv6.org/
Aplicaciones IPv6
• Las más interesantes
– Multicast IPv6
– Movilidad IPv6
– DNS BIND
– DVTS
– Access Grid
– Isabel
– VLC
– Perfsonar
– Lista completa
• Aplicaciones de red• http://www.deepspace6.net/docs/ipv6_status_pa
ge_apps.html
Aplicaciones IPv6• Movilidad IPv6
– http://www.mobileipv6.org/
– Universidad de Helsinki
– KAME/USAGI
–
–
–
• NEMO
– WIDE/IETF/Nautilus6.
– Personal Area Networks, Pervasive computing.
Aplicaciones IPv6• DNS BIND
– IPv4/IPv6
• DVTS
– Digital Video Transport over IP (Ahora High Definition Video)
– DV stream on IEEE1394 directamente sobre IP
– http://www.sfc.wide.ad.jp/DVTS/
Aplicaciones IPv6• Videoconferencia
– Access grid. Evo, Isabel
Aplicaciones IPv6• Perfsonar
– http://www.perfsonar.net/
Seguridad en IPv6 IPv6 NO es más seguro, por defecto.
Viruses, worms, igual Reconnaissance en IPv6 es más difícil
IPv4: tamaño de red 28 hosts de 5 a 30 seg. IPv6: tamaño red 264 hosts 500 millones de años [1] Pero, hay administradores que:
2001:1234:abcd::100, 2001:1234:abcd::1
DNS
En la transición a IPv6 No migración... por favor :) Dual Stack
A veces por defecto (casi todos los OS) Firewall IPv4... Pero firewall IPv6?
Túneles Configurados manualmente Recomendado Automáticos
Teredo, 6to4, 6over4, ISATAP, etc.
En la implementación del stack Algunos bugs en el stack
En todos los OS Stack reciente Algunas aplicaciones con bugs
Autoconfiguración Stateless
radvd PELIGRO Descubrimiento del vecino Maninthemiddle
Stateful DHCPv6
WIDE Dibbler Linux DHCPv6
Autoconfiguración Stateless
radvd PELIGRO Descubrimiento del vecino Maninthemiddle
Nuevo RFC SOLUCIÓN SEND Secure Neighbor Discovery (RFC 3971)
Firma y Criptografía Implementación Linux (Noviembre del 2003)
El soporte para el IOS Cisco saldrá en el 2008
Cabecera de encaminamiento 0• Tipos
– Tipo 0: similar al IPv4 source routing
– Tipo 2: para IPv6 móvil
• Fun with IPv6 routing header
– CanSecWest Vancouver 2007 [2]
Cabecera de encaminamiento 0• Tipos
– Tipo 0: similar al IPv4 source routing
– Tipo 2: para IPv6 móvil
• Fun with IPv6 routing header
– CanSecWest Vancouver 2007 [2]
• SOLUCIÓN
– Eliminar el soporte del tipo 0
– RFC 5095: Deprecation of Type 0 Routing Headers in IPv6. Diciembre del 2007
IPSec IPSec (RFC 4301 para IPv6)
Implementación obligatoria con el stack IPv6. IPv4 también tenía, pero ...
Extensiones de seguridad Authentication header Encapsulating security payload header
Cómo se intercambian las claves? ....
IPsec Modo
Transporte (AH, hash, entre hosts) Túnel (entre gateways de seguridad)
Implementaciones Kame IPSecTools para el kernel 2.6 Usagi
IPsec En conclusión
IPsec hace más difícil los ataques Maninthemiddle (aunque no los impide)
No silver bullet
DNSSec Especificación IETF
Autentificación del origen Integridad de datos
Problemas de interoperabilidad y compatibilidad hacia atrás.
Merece una exposición de más de una hora
Conclusiones La transición de las redes IPv4 a IPv6 es un hecho. Cuestión de
tiempo.
Hay muchas aplicaciones en Linux que soportan IPv6, casi todas las de red.
IPv6 no es por defecto más seguro que IPv4.
Los mecanismos de transición agregan un factor más que considerar en la seguridad de la red.
Hay que estar preparados, pues ya están apareciendo kits de ataque para IPv6 y cuando haya mayor despliegue de IPv6, también habrá mayor despliegue de ataques.
Referencias
1.Van Hauser. The hacker's choice. www.thc.org Attacking the IPv6 Protocol Suite.
2.Phillipe Biondi y Arnaud Ebalard IPv6 routing header security
3.Varios RFCs y drafts
4.IPv6 Portal http://www.ipv6tf.org/
Muchas Gracias