Per què no està ja operant IPv6 al món?

Estat actual d’IPv6

En l’actualitat, Internet és un món de comunicació digital compost per fluxos massius d’informació, xarxes socials, notícies, blocs, correu electrònic, missatgeria instantània, etc. Internet té una mica més de 35 anys de vida, la qual cosa en Tecnologies de la Informació és moltíssim temps, i ja és part essencial de les nostres activitats quotidianes. Aquest és el temps aproximat que té d’haver-se definit el protocol base d’Internet: IP, o dit correctament, IPv4.

Durant la concepció d’IPv4, es coneixia el nombre limitat de dispositius a connectar (al voltant de 4 mil milions d’adreces), però es desconeixia el boom que veuríem particularment en els últims 10 anys. Això ha originat que el nombre d’adreces disponibles s’estigui acabant, i la tendència indica que aviat estaran esgotades per complet.

A l’1 de juliol de 2009, es considera un termini de 1000 dies més per poder assignar adreces IPv4. Després d’això, què segueix? Els plans futurs inclouen connectar pràcticament qualsevol dispositiu electrònic, mòbils i fins aparells electrodomèstics a la xarxa, permetent així obtenir serveis addicionals per això, com a suport remot, equips capaços d’informar falta d’inventari, informes de falles automàtiques, GPS, entre d’altres.

Per resoldre la problemàtica de la limitada quantitat d’adreces IPv4, IPv6 va néixer com a protocol sota el RFC 2460 de la IETF en 1996, permetent tenir aproximadament el 85% de 340,000,000,000,000,000,000,000,000,000,000,000,000 de adreces assignables (3.4 x 1038) d’adreces IPv6. A 13 anys de la seva concepció, poques organitzacions han migrat a IPv6, moltes d’elles han estat agències federals dels Estats Units per complir amb un lineamiento de l’Office of Management and Budget (OMB) de comptar amb connectivitat amb IPv6 com a molt tard al juny de 2008. la pregunta obligada és: Per què si sabem que les adreces IPv4 s’acabaran no s’ha adoptat el protocol IPv6 i no se li ha donat la importància que té?

Canvis bàsics en IPv6

Abans de contestar la pregunta, cal indicar els canvis més importants en IPv6 per entendre com varia pel que fa a IPv4. Els canvis més significatius són:

  • autoconfiguració de xarxa: Els hosts faran servir l’adreça MAC per obtenir una adreça vàlida de xarxa local i obtenir connectivitat ( no seran ruteables a Internet).
  • IPSec: IPSec (protocol orientat a proveir autenticació i xifrat) es va realitzar per IPv6, permetent la comunicació segura entre 2 entitats.
  • Eliminació de Broadcast: a causa de la gran quantitat d’adreces IPv6, es va eliminar el Broadcast i es deixen només adreces multicast per comunicació massiva.
  • fragmentació: en IPv4, la fragmentació de grans paquets es fa en els ruteadores. En IPv6, aquesta fragmentació es farà en l’equip transmissor.
  • Mida fix de la capçalera: En IPv4, hi havia un segment d’opcions que era variable. En IPv6, la mida és fix de 40 bytes amb camps ben definits per processar un paquet.
  • ruteo: Les taules de ruteo seran enormes , però el maneig dels paquets serà més eficient donada l’eliminació de la fragmentació en ruteadores i el Checksum en IPv6.
  • Possibilitat de tenir múltiples adreces IP en un sol equip.

Per què no se li ha donat la importància a IPv6?

La primera resposta ve dictada per un factor econòmic: Representa una despesa important per a les empreses, de què no es veuria necessàriament un retorn d’inversió atès que pràcticament ningú fa servir IPv6. A més, no proveeix un avantatge significatiu pel que fa a les estratègies de negocis (llevat que el negoci sigui la contínua publicació de serveis a Internet). Per si fos poc, el cost que té una migració d’IPv4 a IPv6 implica entrenament, equip nou amb majors capacitats de maquinari, inversió en adequacions de programari, per esmentar alguns. Finalment, tots els grans corporatius ja tenen adreces IPv4 assignades i no hi ha raó per migrar a IPv6.

El paràgraf anterior fa veure que financerament no hi ha raons per migrar a IPv6 , tenint en compte només el context actual i no considerant un futur intermedi.

Des d’un punt de vista tècnic, una migració implica consideracions com:

  • Canvi de paradigma tecnològic (codificació diferent, configuració diferent, notació diferent).
  • Canvi de tecnologies a aquelles que suporten IPv6.
  • Canvis en els esquemes de ruteo.
  • Taules enormes en els esquemes de ruteo.
  • Interoperabilitat entre IPv4 i IPv6 (que sí que està definit en el protocol).
  • Canvis en les aplicacions.
  • Canvis en els protocols base (ARP, ICMP, IGMP).
  • Major quantitat d’ample de banda (la capçalera d’IPv6 és gairebé el doble de gran que el d’IPv4).

Addicional a això, es impleme nt un tipus de pegat comunament anomenat NAT, el qual permet a una o més adreces IPv4 no ruteables a Internet sortir amb una sola direcció traduïda a el món. Això va postergar la idea de necessitar més adreces IP per un temps.

Futur d’IPv6

IPv6 només s’ha retardat perquè no hi ha una necessitat actual , el que no permet trobar una justificació econòmica. No obstant això la necessitat existirà aviat, i és cada vegada més evident. IPv6 ja es podrà usat; els que no estem preparats som els que farem servir aquest nou protocol.

Faig una atenta invitació a l’lector a revisar el seu sistema operatiu. Linux ho suporta des de 1996 (amb el nucli apropiat), Windows Vista el té activat per default, a l’igual que MAC OS X.

Grups independents i educatius dels Estats Units han fet investigacions respecte a l’ús real d’IPv4. Els estudis han mostrat que fins 40% de l’espai disponible a Internet està en desús. No obstant això, molts d’aquests estudis es basen en la idea de la resposta d’un host davant d’una petició d’un servei. Un Firewall podria no estar permetent aquesta resposta, donant un marge d’error significatiu i no mesurable. El que és un fet és que hi ha moltes IPv4 desaprofitades, i pot haver cert marge de maniobra mentre puguin recuperar-IPv4 en desús.

Com els consumidors finals, especialment els ISP , no han empès la implementació de l’IPv6, els productes de seguretat tampoc estarien llestos per IPv6. Això implicaria un problema molt més gran atès que la informació i les comunicacions quedarien vulnerables.

Només falta el canvi de paradigma en 2011 o 2012: quan la IANA (Internet Assigned Numbers Authority) anunciï que les adreces IPv4 ruteables mundialment s’han esgotat. Això és una realitat.

Llavors hi haurà 2 tipus d’accions a seguir:

  • Reenginyeria de la xarxa actual (pegat temporal amb les seves conseqüències).
  • IPv6.

Estem a temps d’entendre i adoptar IPv6, i fins i tot el grup de treball es va prendre la delicadesa de fer-ho interoperable amb IPv4. Preparar-serà el millor.

Seguretat en IPv6

IPv6 va ser definit en un període on ja existien diversos atacs de xarxa, més enllà d’un virus que es transmetés per un floppy, com ara robatori de sessions, paquets ocults en altres paquets, espionatge escoltant una conversa en text clar, etc. IPv6 es va dissenyar tenint en compte l’eradicació d’aspectes inútils d’IPv4 i enfortint l’aspecte confidencial integrant a IPSec en el protocol.

El fet d’incorporar IPSec en IPv6 no elimina la necessitat de segmentar les xarxes i col·locar detectors d’intrusos, com tampoc elimina el perill de robatori de sessions, negació de serveis, etc. Simplement el protocol permetrà un major nombre de dispositius connectats.

Però, què hem de considerar en l’aspecte de seguretat en IPv6 actualment?

IPv6 i NAT / PAT

IPv6 eliminarà el NAT, i amb això eliminarà una de les pràctiques més comunes de seguretat: seguretat per desconeixement. Això s’aconseguia mitjançant IPv4, usant adreces IP no visibles a Internet, i fent que un Firewall publiqués només els elements necessaris.

En un futur, l’únic que podrà amagar a tots els dispositius serà un Proxy. El NAT deixarà d’existir. La IP que tingui un dispositiu serà única per a tothom.

Els riscos actuals amb IPv6

– Tunneling

gran part de la por a IPv6 és perdre connectivitat en un món d’IPv4.Donada una adreça IPv6 es pot trucar a un equip amb IPv4, però el ruteo s’ha de encapsular (tunneling) atès que la forma d’administrar les rutes en IPv6 és diferent de com la coneixem avui dia.

Això ha propiciat que els atacants sàpiguen més d’IPv6 que la resta de la comunitat tecnològica. El problema que representa per a la resta de l’món és que els “dolents” en saben més que els “bons”, i això s’ha acrescut en els últims anys.

Cada vegada han crescut més els atacs en què IPv6 passa en un túnel d’IPv4. Moltes solucions de seguretat poden ja detectar aquest trànsit, però no entendre-ho. La cosa empitjora: moltes xarxes poden passar trànsit IPv6 encapsulat en IPv4 i ningú se n’adona.

– Configuracions amb IPv6

Com ja es va comentar , molts sistemes operatius ja estan preparats i activats amb IPv6. És normal lliurar un equip sense els menors paràmetres de configuració. Atès que moltes empreses no tenen ni tan sols plans per implementar IPv6, es recomanen les següents accions:

  • Si es tenen detectors de trànsit d’IPv6, prendre’ls i detenir si no s’usa aquest protocol.
  • Desactivar l’IPv6 a cada servidor i PC fins que no hi hagi una migració.
  • Detectar i detenir trànsit encapsulat d’IPv6 en IPv4.
  • Tenir un pla de migració d’IPv4 a IPv6.

Un altre problema real amb IPv6 és la quantitat d’adreces a administrar. Això té moltes implicacions des del punt de vista de rendiment en equips de seguretat i telecomunicacions. Alguns exemples són:

  • Infinitat d’objectes.
  • Llistes blanques o negres crescudes fora de tota proporció.
  • Taules de ruteo que sobrepassin les capacitats de 1 ruteador.
  • Segments de multicast molt amplis (es considera que una IP tingui al menys una màscara de 64 bits).
  • Tenir adreces úniques que permetin sempre identificar un dispositiu amb una entitat en particular (debilitament de la confidencialitat).
  • Major processament i registres als DNS.

la autoconfiguració de xarxa en IPv6 pot permetre obtenir accés local a un dispositiu de la xarxa, i com a conseqüència pot haver un accés no autoritzat a un segment de xarxa. Aquesta peculiaritat ha estat identificada i el recomanable és tenir deshabilitats els ports d’accés a la xarxa quan no es facin servir, o bé, buscar trànsit explícit d’IPv6 i donar-li un tractament especial o bé, definitivament negar-li l’accés.

Conclusions

El món no està, o més aviat no vol estar preparat, per IPv6. Una vegada més es posa de manifest una de les grans veritats de facto de la indústria: No hem de permetre equips preconfigurats accedir a la xarxa, o bé, no col·locar-los en producció.

el fet que l’IPv6 ja vingui activat obre severs buits de seguretat que fins i tot fa a l’trànsit invisible. Això ja és una realitat. Ara per ara, cal considerar que IPv6 existeix i no s’ha de menysprear el tràfic detectat d’aquest protocol.

Es necessita comprendre el protocol, entendre els beneficis i saber el context actual. Però sobretot, ens cal conèixer quan aquest protocol ha d’haver a les nostres empreses ia les nostres vides. Si no es fa servir IPv6, la recomanació és desactivar-lo i si es fes servir, col·locar els cadenats de seguretat i procediments efectius que un dispositiu ha de considerar per poder tenir a un equip determinat a la xarxa.

Algunes lligues d’interès es mostren a continuació

http://securityandthe.net/2009/07/15/ipv6-downsides-of-a-larger-address-space/

http://www.consulintel.es/html/ForoIPv6/RFCs.htm

http://www.isoc.org/pubs/2009-IPv6-OrgMember-Report.pdf

http://www.networkworld.com/news/2009/061709-federal-ipv6.html

https://www.ipv6tf.org

http://www.networkworld.com/news/2009/071309-ipv6-network-threat.html

http://penrose.uk6x.com/

http://www.thc.org/thc-ipv6

http://pacsec.jp/psj05/psj05-vanhauser-en.pdf

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *