En la actualidad, para poder utilizar IPv6 también es necesario tener instalado IPv4. Las redes interconectadas TCP/IP son vulnerables a diversos ataques, desde ataques pasivos (como el espionaje) a ataques activos (como los ataques de denegación de servicio).
Cuando se utiliza IPv6 en una red, es importante seguir las prácticas recomendadas para la seguridad. Para
A continuación se incluye la información seguridad conocida para IPv6:
- La instalación de un enrutador no autorizado puede provocar la reconfiguración de los clientes y la desviación del tráfico IPv6
La configuración de direcciones IPv6 se basa en la recepción de mensajes de anuncio de enrutador procedentes de los enrutadores IPv6. Además, para comunicarse con nodos IPv6 de otros segmentos de la red, IPv6 debe utilizar un enrutador predeterminado. Se asigna automáticamente un enrutador predeterminado en función del anuncio de enrutador recibido.
Usuarios malintencionados con acceso físico a una red habilitada para IPv6 pueden realizar un ataque de denegación de servicio en los hosts IPv6 si instalan un enrutador IPv6 no autorizado en el segmento de red. Dicho enrutador podría reconfigurar los clientes IPv6, establecerse a si mismo como enrutador predeterminado, desviar el tráfico de vínculos e interrumpir otros servicios de red.
Recomendaciones:
- Asegúrese de que las personas no autorizadas no puedan obtener acceso físico o inalámbrico a la red.
- El Servidor de seguridad de conexión a Internet (ICF, <i>Internet Connection Firewall</i>) y el Servidor de seguridad básico no pueden filtrar ni bloquear el tráfico IPv6.
ICF, que está disponible en las ediciones de 32 bits de Microsoft® Windows Server® 2003, Standard Edition y Windows Server 2003, Enterprise Edition, se utiliza para restringir el tráfico de Internet que puede tener acceso a la red. ICF sólo puede filtrar tráfico IPv4, por lo que el tráfico IPv6 podría evitar el servidor de seguridad y tener acceso a la red.
El Servidor de seguridad básico es un componente de Enrutamiento y acceso remoto que se puede habilitar para cualquier interfaz pública en equipos que ejecutan Enrutamiento y acceso remoto y un sistema operativo de la familia Windows Server 2003. El Servidor de seguridad básico sólo puede filtrar tráfico IPv4, por lo que el tráfico IPv6 podría evitarlo y tener acceso a la red.
Recomendaciones:
- Si ejecuta IPv6 en la red utilice software de servidor de seguridad que pueda filtrar y bloquear el tráfico IPv6.
- Los equipos en vínculo pueden tomar el control de otra dirección IPv6, lo que podría hacer que los dispositivos en vínculo crearan una entrada incorrecta en la caché de vecinos
Los nodos incluidos en un vínculo IPv6 utilizan la resolución de direcciones para resolver resolver la dirección IPv6 de un nodo vecino en su dirección de nivel de vínculo (equivalente a ARP en IPv4). La dirección de nivel de vínculo resuelta se almacena como entrada en la caché de vecinos (equivalente a la caché ARP en IPv4) del nodo. Si un nodo IPv6 usa la dirección de otro nodo, puede hacer que otros equipos del vínculo agreguen una entrada falsa a su caché de vecinos. Todo el tráfico destinado al equipo original se dirige al equipo del atacante en su lugar, y parecerá que el atacante envía tráfico desde el equipo original.
Recomendaciones:
- Asegúrese de que las personas no autorizadas no puedan obtener acceso físico o inalámbrico a la red.
- El hecho de que no exista conectividad IPv6 nativa facilita la suplantación de direcciones IPv6 de origen fuera del vínculo
La defensa más frecuente contra la suplantación de direcciones IP de origen consiste en que los enrutadores filtren la entrada y salida de origen de los paquetes. El tráfico entre hosts del mismo vínculo no atraviesa ningún enrutador, por lo que este filtro de protección no se utiliza.
Aunque esta amenaza afecta a la conectividad nativa (tanto en IPv4 como en IPv6) en la que los hosts en vínculo pueden suplantar direcciones fuera de vínculo en comunicación con otros hosts del vínculo, todavía es mayor si no existe conectividad nativa. Si no existe conectividad IPv6 nativa, se utilizan tecnologías de encapsulación como ISATAP y 6to4.
Puesto que el vínculo virtual utilizado para la encapsulación de paquetes abarca una vasta área lógica de la red (por ejemplo, en el caso de 6to4, toda la red Internet IPv4), un atacante puede encontrase en cualquier ubicación de la red Internet IPv4 y suplantar direcciones fuera de vínculo.
Recomendaciones:
- Asegúrese de que existe conectividad IPv6 nativa.
No hay comentarios:
Publicar un comentario