Queramos o no, IPv6 ya está aquí

Los proveedores de routers y de sistemas de prevención y detección de intrusos son los obstáculos que impiden a Bechtel, una de las mayores compañías de construcción norteamericanas, migrar a la siguiente generación de Internet.

"Actualmente, trabajamos con ambos (IPv4 e IPv6) y así continuaremos en los próximos años", dice Fred Wettling, asociado de Bechtel que gestiona los estándares de tecnología y que soporta la implementación de IPv6 en la compañía. "Esto crea un desafío desde el punto de vista de la seguridad ya que tenemos que asegurar la monitorización y protección en ambos protocolos, de forma simultánea".

El problema, según él, es que "algunos proveedores de seguridad aún no se han subido al carro", refiriéndose al soporte de conectividad IPv6.

Pero ¿por qué razón es tan importante IPv6 para Bechtel? Imagínense el despliegue de empleados de la compañía durante la reconstrucción de Nueva Orleáns, después del desastre del Katrina. Con el gran aumento de direcciones IP que la versión 6 conlleva (su mayor atractivo) y su capacidad de convertir cada portátil, teléfono móvil, PDA o cualquier otro dispositivo IP en un servidor P2P que la arquitectura extremo-a-extremo de IPv6 otorga, el proceso de recuperación de esta ciudad, tras Katrina, hubiese sido muy distinto. Por ejemplo, las distintas unidades de rescate podrían haberse conectado directamente y dinámicamente una vez establecida la red, sin ningún tipo de intervención del personal de TI de Bechtel.

Un escenario distinto y que ya es una realidad. IPv6 ya está aquí y "Europa y Asia disponen de un cierto número de direcciones IPv6 per cápita", explica Wettling, director ejecutivo del Consejo de Negocio de IPv6. Asimismo, la Oficina de Gestión del Presupuesto de EEUU ha establecido que el Gobierno Federal, incluídas todas las agencias y contratistas que trabajan con él, realicen la transición al nuevo protocolo antes de junio de 2008.

Quizá lo más curioso para las empresas americanas que aún no han experimentado con IPv6 es que Microsoft ofrece la tecnología en Windows Vista y Longhorn, a través de un túnel que consigue pasar el tráfico de la versión 6 a IPv4. Según Microsoft, es una tecnología de transición que compensa la demora de adopción del nuevo protocolo por parte de los proveedores de seguridad.

Y es que con IPv6 son muchos los temores que han aparecido. "Para cualquier director de seguridad, el nuevo protocolo representa una auténtica pesadilla", afirma Charles Lee, CTO de Verizon Federal, la división de Verizon Business dedicada a clientes gubernamentales.

"Creo que hemos llegado a un punto de no retorno", afirma Lee. "Opino que la VoIP es la aplicación que ha inclinado la balanza. Existe un enorme mercado centrado en los servicios de voz no sujetos a una infraestructura de control, como los dispositivos PDA. Estos activos no vinculados son una fuerza real de mercado.

Para que estas aplicaciones funcionen bien en un entorno extendido, necesitan la capacidad de IPv6. Los proveedores de móviles ya han solicitado sus direcciones. Nokia, por ejemplo, ha reservado 500.000 direcciones para su uso propio y ya ha introducido los procesadores que habilitarán la próxima generación de servicios".

Es decir, "los consumidores ya lo están usando o empezarán a utilizarlo dentro de los próximos 18 meses", explica Lee, una nueva etapa que implicará varias cambios para la red. "Las transferencias de datos y archivos P2P se realizarán con mucha más facilidad. En lugar de tener que pasar por un repositorio central de servidores, podría enviar información directamente desde mi móvil al suyo, sin la necesidad de tener que pasar por sistemas intermediarios de red de monitorización y almacenamiento. Y esto significa control y seguridad en la transferencia de datos", apunta Lee.

Realmente, IPv6 aporta la seguridad necesaria en la transferencia de información. Una función destacada de IPv6 es que pone la encriptación en manos del usuario. Si un usuario de IPv6 fuera a recibir información ilícita o ilegal, el mismo podría retransmitir estos datos, sin que ningún dispositivo comprobase el contenido encriptado, a otro usuario de IPv6 que podría estar en cualquier lugar. "Acabo de describir el escenario más temido para un director de seguridad", dice Lee.

Pero según Lee, la industria ya está resolviendo estos problemas. "Es normal que el personal de seguridad se preocupe de la integridad de datos y que desee conservar la propiedad intelectual en una caja fuerte. Pero a menudo, se nos escapa el hecho de que la persona que acaba de entrar en el edificio tiene una cámara en su teléfono móvil", continúa el directivo.

Los desafíos de seguridad de los intercambios P2P existen actualmente, pero estos serán más obvios aún cuando IPv6 se convierta en la tecnología de facto por "la inmensa capacidad que pondrá al alcance de los usuarios", afirma Lee.

El efecto túnel es otro desafío para la seguridad. Symantec fue la primera compañía, el pasado mes de noviembre, en resaltar los problemas que el efecto túnel, la transición de tráfico IPv6 a IPv4 a través del protocolo Teredo, puede causar en Vista y Longhorn. De nuevo, la preocupación por el uso de Teredo se centra en el hecho de que los dispositivos de seguridad no son capaces de examinar el contenido de los paquetes de datos.

En general, los IDS (sistemas de detección de intrusos) son buenos inspeccionando el tráfico TCP y UDP, los protocolos tradicionales que transportan los correos electrónicos y los datos sobre la Web. Sin embargo, los ataques de sistemas por el túnel resultarían invisibles para los IDS.

"Cualquier dispositivo de seguridad habría de incorporar Teredo para poder analizar el tráfico que pasa por el túnel", explica Oliver Friedrichs, director de Symantec Security Response. "Obviamente, para los usuarios empresariales ésta es una situación complicada, ya que los atacantes pueden utilizar el efecto túnel para esquivar los dispositivos de seguridad instalados en el perímetro y quedar ocultos en la red a través de Teredo".

Estos dispositivos perimetrales incluyen los cortafuegos y routers, como los de Linksys. "Tradicionalmente, los firewalls ejercen la función de filtrado del tráfico pero, con Teredo, éstos se vuelven totalmente ineficaces", afirma Friedrichs.

Para Bechtel, que implementará la versión 6 el año que viene, Teredo no representa ningún problema. Y no es porque la compañía considere que Teredo es seguro, sino porque ni siquiera lo utilizará.

"Teredo no forma parte de nuestra estrategia", asegura Wettling. "No vamos a perder el tiempo con tecnologías de transición que no aportan la configuración que deseamos, que es el despliegue de IPv6 de principio a fin".

La razón del efecto túnel es que la versión 4 no va a desaparecer de forma inmediata y, de hecho, ambas versiones coexistirán durante muchos años. Por un lado, porque aún hay enormes cantidades de dinero que se han invertido en IPv4 y que tienen que amortizarse. Por otra parte, porque aquellas empresas que utilicen IPv6 tendrán que comunicarse también con otras que continuarán con la versión 4.

Como consecuencia, Bechtel dispondrá de dos stacks, ejecutándose simultáneamente: uno con IPv4 y otro con IPv6. Según Wettling, esto no significará un mayor gasto de gestión ya que la próxima generación de Internet es más sencilla que la versión 4. "Es increíble", señala Wettling. "Somos una gran empresa y tenemos una mezcla de direcciones públicas y privadas.

Nuestro tamaño varía en función del personal que tenemos en un lugar, en cualquier momento dado. El negocio de Bechtel es dinámico y estamos continuamente añadiendo y eliminando direcciones IP".

"Estos constantes cambios han producido direcciones fragmentadas. Los bloques de direcciones en IPv4 no son contiguos, pero con IPv6, todo es dinámico, todo se simplifica.

En la versión 6 los prefijos se obtienen de un router de origen, crea su propia dirección IPv6, y voilá, listo. Puedes reiniciar el sistema cien veces y cada vez, éste te dará la misma dirección. Ésta es la gran ventaja", explica Wettling.

Otra razón para no adoptar Teredo en la infraestructura de Bechtel es que la compañía desea construir una estructura de innovación sólida y segura, según Wettling. "La compañía ha estado consultando con distintos usuarios, tanto internos como externos y todos nos dicen que ven claras oportunidades de mejora de los métodos de trabajo con IPv6".

Wettling advierte de que una compañía que desee utilizar Teredo ha de entender, en primer lugar, las implicaciones que esto tiene. "Lo primero que tiene que hacer es asegurarse de que algún tipo de firewall IPv6 está filtrando el tráfico".

Bechtel utiliza firewalls Cisco PIX que soportan IPv6 para proteger la red de la versión 6. Ahora, la compañía está actualizando el hardware y software de los IPS/IDS a la nueva versión. Otro aspecto importante son los registros logs, capaces de funcionar con la versión 6 y mantener un historial del flujo de tráfico sobre la red.

Con los logs configurados, Bechtel podrá ver las direcciones de origen y destino del tráfico que circula por la red. Actualmente, la compañía analiza tanto el hardware desde el que se origina una transacción, como al usuario que utiliza esa máquina.

Con la capacidad de ocultarse que IPv6 proporciona, ¿cómo puede Bechtel monitorizar el tráfico? Wettling asegura que el tráfico en IPv6 es distinto al tráfico de VoIP, que utiliza un gestor para iniciar las llamadas pero que, sin embargo, gestiona la comunicación directamente desde el P2P. IPv6 es similar al tráfico de un proceso P2P, una tecnología que ya se está implementando en muchas compañías.

Resumiendo, IPv6 e IPv4 son, al fin y al cabo, protocolos. Lo que realmente importa son los paquetes de comunicación que transportan". Y es aquí donde el personal ha de enfocar la seguridad: en lo que se necesita proteger", asegura Wettling. "Para mí, la protección del tráfico no es tan importante como la protección de la fuente".

Lecciones que todavía hay que aprender

Todos sabemos que las cabeceras de routing Tipo 0 proporcionan una gran flexibilidad en la transmisión de paquetes de datos en IPv4 y tienen el potencial además de causar la denegación de servicio (DoS).

Entonces, ¿por qué las volvemos a ver en IPv6?

"No hemos aprendido la lección", según Nicholas Fischbach, responsable de seguridad de ingeniería de red de Colt Telecom. "Si nos fijamos en IPv4, las cabeceras Tipo 0 causaron muchos problemas de seguridad y se tuvieron que bloquear hace mucho tiempo", afirma, dirigiéndose a los diseñadores que están planificando los protocolos de la nueva versión de Internet.

Fischbach habló con eWEEK después de la conferencia CanSecWest, celebrada en Suiza y en la que dos investigadores demostraron cómo el Tipo 0 en IPv6 puede causar una DDoS (denegación distribuida de servicio). La pareja, Philippe Biondi y Arnuad Ebalard, del Centro de Investigación de EADS, mostró que cuando se especifican los nodos de la ruta de los paquetes, es posible crear un bucle entre dos puntos que aumenta exponencialmente el tráfico en Internet.

Esta capacidad otorgada a los usuarios de IPv6, un procedimiento automático y optimizado en IPv4, no sólo implica la posibilidad de una DDoS, sino también la capacidad de saltarse los mecanismos de seguridad. Este problema ha sido desactivado en IPv4; de hecho, todos los motores de routing lo tienen desactivado. Esta vulnerabilidad es fácil de arreglar con filtros de cabeceras. Esa es la buena noticia, pero su descubrimiento indica que, con esta nueva versión, habrá que pasar por un periodo de depuración. Según Fischbach, "es un ejemplo de lecciones no aprendidas. Han creado el mismo problema en IPv6 que ya se había resuelto en IPv4".

Pero Bob Hinden, presidente de IETF, dice que el grupo no ve ningún problema. "El problema sólo existe con PowerPoint. Aún así, la comunidad se ha puesto manos a la obra y está resolviendo el problema", afirma.

Hinden dice que la diferencia entre ambas versiones es que IPv6 presenta nuevas maneras de explotar las cabeceras que no estaban presentes en la versión 4. A corto plazo, la vulnerabilidad se está deshabilitando a través de códigos. El grupo también debate el tema de eliminarlo por completo para que los usuarios no caigan en la tentación de explotar la vulnerabilidad.Según Biondi, los diseñadores de IPv6 se centraron en funcionalidades sin sentido. Las amenazas que suponen las cabeceras Tipo 0 no se han considerado en IPv6. Estas cabeceras no tienen ninguna utilidad salvo para los atacantes.

Los investigadores han señalado una preferencia por la filtración lógica basada en el tipo de cabecera; la desactivación de la cabecera por defecto; y la distinción entre paquetes que se reenvían que deben ser sometidos a una inspección y los paquetes temporales que utilizan una red como un punto intermedio.Biondi y Ebalard sugieren la protección de la red a través del bloqueo de las cabeceras Tipo 0; impidiendo el proceso de las cabeceras, y siendo de tipo MIPv6 solamente (cabeceras Tipo 2).