¿Está IPv6 infiltrando su red? Probablemente. Esto es lo que usted necesita saber | NETSCOUT

¿Está IPv6 infiltrando su red? Probablemente. Esto es lo que usted necesita saber.

Por Mark Mullins

El crecimiento espectacular de dispositivos con acceso a Internet está disminuyendo rápidamente el abastecimiento de direcciones IPv4. Además de las ordenadores, servidores, enrutadores, etc, las direcciones se asignan al “Internet de cosas”, incluyendo cámaras, controles HVAC, sistemas de alarma y una constelación creciente de sensores conectados. Como consecuencia, en 2011, el Centro de información de redes de Asia y del Pacífico comenzó a racionar su bloque final de/8 direcciones IPv4. Otros registros regionales probablemente pronto seguirán.

Como si eso no fuera suficiente, el uso generalizado de la traducción de direcciones de redes IPv4 (NAT), que asigna varias direcciones privadas a una sola dirección IPv4 pública, en última instancia, podría dificultar la utilización de servicios de comunicaciones basadas en IP como VoIP e incluso red troncal el rendimiento de enrutadores de redes troncales de Internet a medida que se esfuerzan para hacer frente a las tablas de enrutamiento cada vez más masivas.

Así que no es sorprendente que la mayoría de los sistemas operativos modernos ahora son compatibles con arquitecturas IPv4 e IPv6 de doble pila, Windows 8, Windows Vista y Mac OS X 10,3 y posteriores poseen IPv6 habilitado predeterminadamente. Los dispositivos IPv6 configurarán automáticamente una dirección local de enlace para cada una de sus interfaces y utilizarán descubrimiento de enrutadores para determinar las direcciones de los enrutadores IPv6, obtener acceso a parámetros de configuración y a prefijos de direcciones globales. Incluso sin un protocolo de configuración con estado, como DHCPv6, un dispositivo con capacidad IPv6 puede configurar una dirección IPv6 para cada una de sus interfaces.

Si bien es posible que no enrute el tráfico IPv6 en su red, todavía tiene que preocuparse de los dispositivos finales habilitados para IPv6. Los túneles (los cuales son compatibles con todos los sistemas operativos y de forma automática habilitada con la pila IPv6) permiten el transporte IPv6 sobre conexiones IPv4 y viceversa. El transporte IPv6 puede ser cifrado y utilizado anónimamente (dirección privada), pero no utiliza el identificador de interfaz construido EIU-64 que le permitiría rastrear de nuevo la dirección MAC del host. Hay varios mecanismos de túnel (consulte: el documento técnico IPv6 de NETSCOUT para obtener más información acerca de ellos). La conclusión es que si usted tiene un túnel local dentro de su intranet, no necesita preocuparse. Pero si usted tiene un dispositivo local con un extremo del túnel fuera de su red, podría permitir el acceso a su red interna que probablemente esté desprotegida por servidores de seguridad o dispositivos de detección intrusos.

Existen otras posibles vulnerabilidades inherentes a IPv6, incluyendo:
 

  • Anuncios de enrutadores maliciosos: Los no enrutadores pueden anunciar las direcciones de subred que no deberían existir en la red. Esto podría simplemente ser el resultado de errores de configuración en enrutadores IPv6 o host, o, más preocupante aún, una indicación de actividad maliciosa. Al enviar anuncios falsos de enrutadores, un atacante podría engañar a otros host de enviarlos a tráfico (un ataque “hombre en medio”). La suplantación de DHCPv6 funciona de manera similar. Así que es importante detectar los dispositivos que ofrecen Direcciones de estado IPv6.

 

  • Puertos abiertos: Ya que es menos maduro que IPv4, los sistemas operativos tienden dejar más puertos IPv6 abiertos. Es una buena práctica realizar un escaneo de puertos IPv6 para encontrar puertos abiertos. Tenga en cuenta que la asistencia para IPSec es estándar en cualquier pila IPv6, así permite a dispositivos cifrar más fácilmente el tráfico de punta a punta, mientras que evita que los servidores de seguridad detecten el contenido del paquete.


Si bien el uso de tráfico malicioso para atacar una red no es algo nuevo, los dispositivos habilitados para IPv6 pueden hacer que sea posible para un atacante entrar a la red y extraer datos sin ser detectados utilizando métodos tradicionales a través de IPv6.

Hay un OptiView XG para eso

Así que ahora que usted está lo suficientemente aterrorizado, ¿qué puede hacer para minimizar los riesgos de dispositivos IPv6 en su red? Afortunadamente, puede contar con nosotros.

La tableta de análisis de redes portátil OptiView XG de NETSCOUT tiene la capacidad integrada de descubrir a pasiva y activamente dispositivos y servicios IPv6. Mientras que otros dispositivos de análisis de redes ofrecen solamente descubrimiento pasivo mediante la supervisión de tráfico IPv6 y capturando direcciones IP y MAC, no pueden categorizar los dispositivos basados en los protocolos identificados. En cambio, el OptiView XG transmite peticiones de solicitación de enrutadores para identificar todos los prefijos de IPv6 para la subred y transmite solicitaciones vecinas para proporcionar información en otros dispositivos IPv6. También proporciona visibilidad en las tablas de redes a medios del enrutador IPv6 (el equivalente de una tabla IPv4 ARP) para descubrir direcciones locales de enlace de la subred asociada. Y puede obtener acceso a las tablas de prefijo de enrutadores de Cisco que proporcionan información en otras subredes.

Por supuesto, el OptiView XG también ofrece muchas otras funciones avanzadas para detectar y diagnosticar los problemas de seguridad potenciales, tales como descargas de archivos y documentos restringidos, el uso de aplicaciones prohibidas y tráfico P2P arriesgado. También puede ayudar a identificar y a localizar dispositivos maliciosos o sin seguridad. Haga clic aquí para ver todo lo que OptiView XG ofrece.

Listo o no, IPv6 está en camino

Si bien es difícil decir exactamente cuándo IPv6 suplantará IPv4, es solamente una cuestión de tiempo. Pero por ahora, es necesario estar al tanto de los dispositivos habilitados para IPv6 en su red y los riesgos de seguridad potenciales que plantean. Abordar los riesgos de hoy le ayudará a estar listo cuando sea el momento de la inevitable migración de toda su red a IPv6.

Recursos de red de TI relacionados

Continúe a nuestro Blog The Decoder para obtener más información sobre la solución de problemas de redes

 
 
Powered By OneLink