IPv6 en Linux y algunos aspectos de seguridad

Ing. Claudia Córdova YamauchiDirección de Investigación y Desarrollo Tecnológico INICTEL­UNI

IPv6 Task Force Perú – Red Académica Peruana

 Grupo de Trabajo de Videoconferencia de la Red CLARA

Linux Week 2008 – Pontificia Universidad Católica del Perú 

Agenda IPv6 actualmente

En el mundo Latinoamérica Perú

Aplicaciones en Linux Algunas consideraciones de seguridad

IPv6

Espacio de direcciones IPv6

IPv6 Marzo 2008

• Anuncio de LACNIC• http://www.lacnic.net/ipv6/en/

• “... all the region’s networks will be adapted to the new version 6 of the protocol (IPv6) before January 1st, 2011”

         IPv6

¿Dónde estamos?

IPv6 Marzo 2008

• Disposición del Gobierno Estadounidense– Deadline 2008, establecido en el 2003.

• Redes del Department of Defense, a excepción de la unidades de combate de Irán y Afganistán.

• Redes de todo el aparato estatal.

• NASA

IPv6 Marzo 2008

• Servidores Raíz DNS – Registros AAAA

– Transporte

–

–

–

–

IPv6 Marzo 2008

• Prioridad APEC– APEC TEL

IPv6 Marzo 2008• The Great IPv6 Experiment

– http://www.ipv6porn.com/

IPv6 Marzo 2008• IETF IPv6 Hour (2008)

– NANOG Hour (Febrero 2008) http://www.civil­tongue.net/6and4/wiki/nanog42

– IETF 71 (Marzo 2008) http://wiki.tools.isoc.org/IETF71_IPv4_Outage

– RIPE 55         VIDEO

• IPv6 en Perú– RAAP (Dual stack)

– LACNIC X (prueba IPv6 y multicast)

– IPv6 Task Force (Primera cumbre de IPv6  2007)

Stack IPv6 en Linux• Proyecto KAME

– http://www.kame.net/

• Proyecto USAGI– http://www.linux­ipv6.org/

Aplicaciones IPv6

• Las más interesantes

– Multicast IPv6

– Movilidad IPv6

– DNS BIND

– DVTS

– Access Grid

– Isabel

– VLC

– Perfsonar

– Lista completa

• Aplicaciones  de red• http://www.deepspace6.net/docs/ipv6_status_pa

ge_apps.html

Aplicaciones IPv6• Movilidad IPv6

– http://www.mobile­ipv6.org/

– Universidad de Helsinki

– KAME/USAGI

–

–

–

• NEMO

– WIDE/IETF/Nautilus6. 

– Personal Area Networks, Pervasive computing.

Aplicaciones IPv6• DNS BIND

– IPv4/IPv6

• DVTS

– Digital Video Transport over IP (Ahora High Definition Video)

– DV stream on IEEE1394 directamente sobre IP

– http://www.sfc.wide.ad.jp/DVTS/

Aplicaciones IPv6• Videoconferencia

– Access grid. Evo, Isabel

Aplicaciones IPv6• Perfsonar

– http://www.perfsonar.net/

Seguridad en IPv6 IPv6 NO es más seguro, por defecto.

Viruses, worms, igual Reconnaissance en IPv6 es más difícil

IPv4: tamaño de red 28 hosts          de 5 a 30 seg. IPv6: tamaño red 264 hosts         500 millones de años [1] Pero, hay administradores que:

2001:1234:abcd::100, 2001:1234:abcd::1

DNS

En la transición a IPv6 No migración...  por favor :) Dual Stack

A veces por defecto (casi todos los OS) Firewall IPv4... Pero firewall IPv6?

Túneles Configurados manualmente              Recomendado Automáticos

Teredo, 6to4, 6over4, ISATAP, etc.

En la implementación del stack Algunos bugs en el stack

En todos los OS Stack reciente Algunas aplicaciones con bugs

Autoconfiguración Stateless

radvd                                                     PELIGRO Descubrimiento del vecino         Man­in­the­middle

Stateful DHCPv6

WIDE Dibbler Linux DHCPv6

Autoconfiguración Stateless

radvd                                                     PELIGRO Descubrimiento del vecino         Man­in­the­middle

Nuevo RFC                                    SOLUCIÓN SEND Secure Neighbor Discovery  (RFC 3971)

Firma y Criptografía Implementación Linux (Noviembre del 2003)

El soporte para el IOS Cisco saldrá en el 2008

Cabecera de encaminamiento 0• Tipos

– Tipo 0: similar al IPv4 source routing 

– Tipo 2: para IPv6 móvil

• Fun  with IPv6 routing header

– CanSecWest Vancouver 2007 [2]

Cabecera de encaminamiento 0• Tipos

– Tipo 0: similar al IPv4 source routing 

– Tipo 2: para IPv6 móvil

• Fun  with IPv6 routing header

– CanSecWest Vancouver 2007 [2]

• SOLUCIÓN

– Eliminar el soporte del tipo 0

– RFC 5095: Deprecation of Type 0 Routing Headers in IPv6.  Diciembre del 2007

IPSec IPSec (RFC 4301 para IPv6)

Implementación obligatoria con el stack IPv6. IPv4 también tenía, pero ...

Extensiones de seguridad Authentication header Encapsulating security payload header

Cómo se intercambian las claves? ....

IPsec Modo

Transporte (AH, hash, entre hosts) Túnel (entre gateways de seguridad)

Implementaciones Kame IPSec­Tools para el kernel 2.6  Usagi

IPsec En conclusión

IPsec hace más difícil los ataques Man­in­the­middle (aunque no los impide)

No silver bullet

DNSSec Especificación IETF

Autentificación del origen Integridad de datos

Problemas de interoperabilidad y compatibilidad hacia atrás.

Merece una exposición de más de una hora

Conclusiones La transición de las redes IPv4 a IPv6 es un hecho. Cuestión de 

tiempo.

Hay muchas aplicaciones en Linux que soportan IPv6, casi todas las de red.

IPv6 no es por defecto más seguro que IPv4.

Los mecanismos de transición agregan un factor más que considerar en la seguridad de la red.

Hay que estar preparados, pues ya están apareciendo kits de ataque para IPv6 y cuando haya mayor despliegue de IPv6, también habrá mayor despliegue de ataques.

Referencias

1.Van Hauser. The hacker's choice. www.thc.org Attacking the IPv6 Protocol Suite. 

2.Phillipe Biondi y Arnaud Ebalard IPv6 routing header security

3.Varios RFCs y drafts

4.IPv6 Portal http://www.ipv6tf.org/

Muchas Gracias

ccordova@inictel.gob.pe