Llegamos a ustedes gracias a:



Columnas de opinión

7 puntos que su equipo de seguridad necesita saber sobre IPv6

Por: Scott Hogg, cofundador de HexaBuild.io

[17/07/2020] Si cree que su equipo de seguridad no tiene que saber sobre IPv6 porque aún no está desplegado en su organización, piénselo de nuevo. Sus empleados y redes dependen del Protocolo de Internet versión 6, el moderno protocolo de comunicaciones para computadoras y redes conectadas a Internet, ya sea que lo haya desplegado o no. Si no se entiende el IPv6 y cómo funciona con sus redes, podría hacerlas vulnerables y crear un riesgo para su organización.

Todo administrador de seguridad debe entender los siguientes siete puntos clave sobre IPv6:

1. IPv6 es más popular de lo que la mayoría cree

Los administradores de seguridad, y la mayoría del personal de TI para el caso, no se dan cuenta de la medida en que el IPv6 ya se ha desplegado en la Internet. En consecuencia, la mayoría de los administradores de seguridad creen que no necesitan abordar la seguridad de IPv6. Como no han habilitado IPv6 en su empresa, no ven la necesidad de tomar medidas para asegurarla.

IPv6 está incorporado y habilitado por defecto en todos los sistemas operativos modernos. Esto incluye los sistemas en el centro de datos de la empresa y los entornos de nube que deben cumplir con las regulaciones de seguridad. Si esos dispositivos con capacidad IPv6 se conectan a una red habilitada para IPv6, utilizarán IPv6 para realizar las conexiones.

El núcleo de Internet ya está habilitado para IPv6, y las redes de los operadores inalámbricos móviles usan IPv6 ampliamente. De hecho, es probable que su teléfono móvil utilice IPv6 y usted ni siquiera se de cuenta. Muchos servicios de Internet residenciales también usan IPv6, y los suscriptores con módems y enrutadores relativamente nuevos probablemente tengan IPv6 dentro de la LAN de su casa. Más del 30% de los principales sitios web utilizan IPv6, y Google observa que más del 30% de sus usuarios globales utilizan IPv6 (más alto en países como la India y los EE.UU.). Muchos lugares en Internet han sobrepasado el 50% de uso de IPv6, haciendo que IPv4 sea el protocolo minoritario allí.

2. Los empleados utilizan IPv6

Los administradores de seguridad no han abordado adecuadamente la seguridad IPv6 para sus usuarios conectados a Internet. Los empleados remotos utilizan IPv6. Los sistemas operativos que se ejecutan en los dispositivos móviles de los usuarios finales están habilitados para IPv6 por defecto, y utilizan IPv6 para realizar conexiones a través de Internet. Esto es aún más común hoy en día, ya que la pandemia de COVID-19 ha obligado a trabajar desde casa.

Las VPNs corporativas a menudo no tienen IPv6 configurado. Por lo tanto, el tráfico IPv6 del usuario final va de sus dispositivos directamente a Internet, pasando por alto cualquier control de seguridad corporativo. Esto se llama ruptura de VPN IPv6, que se conoce desde hace muchos años, pero que se ha perdido en muchos administradores de firewall.

Tal vez la organización percibió el cambio a la nube y adquirió un servicio de agente de seguridad de acceso a la nube (CASB) para hacer cumplir la política de seguridad corporativa. Sin embargo, no todos los proveedores de CASB soportan IPv6. Los usuarios finales conectados a IPv6 podrían ser capaces de eludir los controles de seguridad del CASB al utilizar IPv6 para conectarse a sitios populares.

3. IPv6 ya está en su empresa

La mayoría de los profesionales de la seguridad no han pasado mucho tiempo aprendiendo sobre IPv6. Los administradores de seguridad de las empresas podrían creer que el despliegue de IPv6 recae sobre los hombros de los administradores de la red. Los equipos de seguridad piensan que no tienen que aprender o asegurar IPv6 hasta que finalmente se implementa en la empresa.

Muchos administradores de seguridad no entienden cómo funciona el protocolo IPv6 en Internet, en la WAN corporativa o en las LAN. Por ejemplo, los sistemas operativos habilitados para IPv6 conectados a las redes de acceso alámbricas e inalámbricas de la empresa, están enviando paquetes IPv6 y pueden comunicarse entre sí mediante comunicaciones Link-Local IPv6 unicast y multicast. IPv6 ya está dentro de la empresa.

Los administradores de seguridad necesitan aprender sobre el protocolo IPv6 y anticipar el comportamiento de los atacantes. Sin embargo, los recursos de capacitación en IPv6 de buena calidad son limitados. Hay muchos libros sobre IPv6 (pero solo un libro sobre seguridad IPv6), algunos materiales de capacitación en línea y capacitación práctica en IPv6 para instructores en vivo de unos pocos proveedores. La mejor manera de ponerse al día es ser entrenado por un experto en IPv6 utilizando un entorno de laboratorio práctico de IPv6 para simular ataques IPv6 y aprender cómo protegerse contra ellos.

4. IPv6 no es ni más ni menos seguro que IPv4

Los beneficios de desplegar IPv6 se derivan de su enorme espacio de direcciones, que elimina la necesidad de una traducción de direcciones de red (NAT) similar a la de IPv4, y permite una mayor escalabilidad de la red que la de IPv4. La falta de NAT en IPv6 no hace que las redes sean más débiles (RFC 4864). De hecho, las fortalece al reducir el anonimato que resulta de modificar la dirección de origen en el encabezado del paquete. Los protocolos de enrutamiento nativos de extremo a extremo facilitan la investigación forense y pueden aumentar la autenticidad de las conexiones.

No se incorpora ninguna seguridad inherente en el protocolo IPv6, al igual que no se incorporan características de seguridad en el IPv4. Ambos protocolos pueden usar IPsec, pero es opcional y no obligatorio para todas las comunicaciones. Tanto IPv4 como IPv6 proporcionan la base del protocolo de enrutamiento para los protocolos seguros de nivel de aplicación como Seguridad de la Capa de Transporte (TLS) y Secure Shell (SSH).

5. Los productos de los proveedores carecen de las características de seguridad de IPv6

Todos podemos estar de acuerdo en que asegurar proactivamente el IPv6 antes de su despliegue es el enfoque adecuado. Sin embargo, es un problema si una empresa procede con el despliegue de IPv6, y más tarde se entera de que su proveedor de seguridad solo tiene características de IPv4. La empresa debe detener la implementación para esperar el calendario de desarrollo del producto del proveedor, reemplazar rápidamente el producto con uno que sea compatible con IPv6 o, peor aún, dejar que IPv6 funcione sin protección.

Estudie las medidas de protección de seguridad que están en uso para determinar su nivel de capacidad IPv6. Concéntrese inicialmente en los sistemas de seguridad del perímetro de Internet, como firewalls, sistemas de prevención de intrusiones (IPS), protecciones contra malware, gateways web seguros (SWG), servidores proxy, filtrado de reputación y fuentes de información sobre amenazas. Algunos proveedores pueden simplemente enumerar "IPv6" en la hoja de datos de sus productos, lo que requerirá una investigación más a fondo para determinar el nivel real de paridad entre sus características de IPv4 e IPv6.

Por ejemplo, es un riesgo si se utiliza un firewall de aplicaciones web (WAF) para protegerse contra el Top 10 del Open Web Application Security Project (OWASP) que solo tiene características IPv4, pero el servidor web es de doble protocolo. Si el WAF es necesario para el cumplimiento de la seguridad del PCI-DSS, entonces esto podría ser una violación de cumplimiento. Sería mejor conocer la deficiencia de IPv6 del WAF, y actualizarlo o reemplazarlo por uno de doble protocolo completo antes de habilitar el servidor web con IPv6.

Esfuércese por lograr la igualdad de protección para IPv6 y IPv4. Pregunte a los proveedores sobre la capacidad IPv6 detallada en sus productos y servicios, para que sepa en qué situación se encuentra y pueda planificar el despliegue seguro de IPv6.

6. Los equipos de seguridad no preparados pueden detener la implementación de IPv6

Si el equipo de seguridad no está listo para IPv6, entonces puede retrasar o detener el progreso de la adopción de IPv6 en la empresa. Existe un riesgo para la empresa si los equipos de seguridad no están involucrados en el eventual despliegue de IPv6. Imagine un escenario de sala de juntas en el que el CIO exprese una necesidad empresarial urgente de desplegar un sistema de IoT que ahorre costos usando IPv6 y que necesite ser seguro desde el principio. El CIO se dirige al CISO y le pregunta: "¿Qué estás haciendo con la seguridad IPv6?" El CISO responde con un "¡Nada!" o "Tendré que volver a hablar con usted sobre eso".

Un ejemplo de este escenario fue citado en un reciente informe de la Oficina de Responsabilidad del Gobierno de los EE.UU. (GAO) sobre el progreso de la implementación de IPv6 del Departamento de Defensa (DoD). El informe de la GAO mencionaba, "El departamento terminó el esfuerzo debido a los riesgos de seguridad y a la falta de personal entrenado en IPv6".

Las empresas no quieren que los equipos de seguridad obstaculicen los despliegues de IPv6. Los equipos de seguridad de la empresa son críticos para el despliegue exitoso de IPv6. Es esencial comprometerse con los equipos interdisciplinarios de implementación de IPv6 y hacer de la seguridad un actor clave en la implementación de IPv6.

7. IPv6 necesita ser asegurado desde el principio, no retroactivamente

El IPv6 es inevitable. Los administradores de seguridad de la empresa deben adoptarla más pronto que tarde. ¿Van a esperar los equipos de seguridad hasta que Internet alcance el 75% de utilización de IPv6 para empezar a aprender sobre IPv6 y asegurarla? IPv6 es la corriente principal y la mayoría de los equipos de seguridad de las empresas están detrás de la curva tecnológica.

Si los equipos de seguridad son proactivos, entonces pueden habilitar IPv6 y controlarlo en lugar de tener miedo de algo que no entienden y que es en gran parte invisible para ellos. En lugar de intentar deshabilitar IPv6 en todas partes (un esfuerzo completamente infructuoso), es mejor habilitar IPv6, obtener visibilidad de él y controlarlo según las políticas de seguridad de la empresa. Se alienta a los equipos de seguridad a planificar y desplegar IPv6 de forma segura desde el principio, en lugar de tratar de abordar la seguridad como una idea tardía.

Scott Hogg es cofundador de HexaBuild.io, una empresa de consultoría y formación en IPv6, y tiene más de 25 años de experiencia en nubes, redes y seguridad.