La Agencia de Seguridad Nacional de Estados Unidos (NSA) ha publicado un documento de orientación para administradores de sistemas con el fin de ayudarles a mitigar posibles problemas de seguridad en la transición de sus organizaciones a la versión 6 del Protocolo de Internet (IPv6).
El documento, de nombre «IPv6 Security Guidance«, se ha elaborado para los administradores del Departamento de Defensa, pero es probable que resulte útil como referencia rápida para cualquiera que gestione la transición de IPv4 a IPv6, que podría resultar una experiencia más larga de lo previsto.
«El Departamento de Defensa realizará una transición gradual de IPv4 a IPv6 en los próximos años y muchas de sus redes serán trabajaran en paralelo», declaró Neal Ziring, Director Técnico de Ciberseguridad de la NSA, en un comunicado que acompañaba a la publicación del documento.
«Es importante que los administradores de sistemas del DoD utilicen esta guía para identificar y mitigar los posibles problemas de seguridad a medida que despliegan el soporte IPv6 en sus redes».
Una de las recomendaciones es bastante básica: la educación. Asegurar con éxito una red IPv6 requiere, como mínimo, un conocimiento fundamental de las diferencias entre los protocolos IPv4 e IPv6 y su funcionamiento, afirma la NSA, por lo que todos los administradores de red deben recibir la formación adecuada.
Aconseja que los métodos de seguridad utilizados en las redes IPv4 se utilicen también en gran medida con IPv6, pero con adaptaciones para abordar las diferencias.
Los problemas de seguridad asociados a la implantación de IPv6 suelen surgir en redes que son nuevas en IPv6 o que se encuentran en las primeras fases de la transición. Esto se debe a que dichas redes carecerán de madurez en la configuración de IPv6, así como a la probable falta de experiencia en IPv6 por parte de los administradores.
El documento advierte de que las organizaciones que utilicen simultáneamente IPv4 e IPv6 correrán riesgos de seguridad adicionales y necesitarán más contramedidas para mitigarlos, debido a la mayor superficie de ataque que supone tener tanto IPv4 como IPv6.
No hay grandes revelaciones de la NSA, sino consejos que probablemente ya conozcan muchos administradores, como la recomendación de asignar direcciones IP en la red a través de un servidor DHCPv6 en lugar de confiar en la autoconfiguración de direcciones sin estado (SLAAC).
Esta última utiliza una dirección IPv6 autoasignada que incorpora la dirección MAC fija de la NIC, lo que hace temer que el tráfico de datos pueda vincularse a un dispositivo concreto y, potencialmente, a una persona asociada a ese equipo. Otra cosa es, por supuesto, si esto preocupa a alguien ajeno a la defensa o la administración.
La NSA también recomienda evitar el uso de túneles IPv6, a menudo utilizados para transportar paquetes IPv6 dentro de paquetes IPv4 a través de la infraestructura de red existente, de nuevo para reducir la superficie potencial de ataque y disminuir la complejidad. Aconseja que los protocolos de tunelización pueden permitirse si son necesarios durante una transición, pero deben limitarse a sistemas aprobados en los que se conozca bien su uso y en los que estén explícitamente configurados.
Asimismo, los entornos de doble pila tienden a aumentar la superficie de ataque y resultan más caros de operar, según el documento. Sin embargo, dado que se trata de un método de transición muy utilizado, la NSA afirma que estas configuraciones de red deben implantar mecanismos de ciberseguridad IPv6 que igualen o superen los mecanismos IPv4. Por ejemplo, las reglas de cortafuegos que filtran protocolos de nivel superior como TCP o UDP deben aplicarse tanto a IPv6 como a IPv4.
Dado que las NIC pueden tener asignadas varias direcciones IPv6, la NSA aconseja que los administradores revisen cuidadosamente las listas de control de acceso (ACL) para permitir únicamente el tráfico procedente de direcciones autorizadas a través de cortafuegos y otros dispositivos de seguridad.
Otras consideraciones a tener en cuenta son el viejo amigo del administrador de red, la traducción de direcciones de red (NAT), que la NSA no ve con buenos ojos. Aparte del uso de NAT64/DNS64, o 464XLAT en redes sólo IPv6, la traducción de direcciones debe evitarse en general, aconseja.
«En su lugar, las redes IPv6 deberían utilizar direcciones globales en todos los sistemas que requieran comunicaciones externas y direcciones no enrutables dentro de la red. Si se utilizan direcciones locales únicas en los sistemas internos, todo sistema que requiera comunicaciones externas debe tener también una dirección global», afirma el documento.
La NSA reconoce, por supuesto, que inevitablemente surgirán problemas imprevistos, por lo que el último consejo parece ser el siguiente: hay que estar preparado.
«Abordar los problemas de antemano en los planes de implantación de IPv6, las directrices de configuración y la formación adecuada de los administradores ayudará a las organizaciones a evitar escollos de seguridad durante la transición y a aprovechar adecuadamente las ventajas de IPv6», afirma.
Fuente WEB | Editado por CambioDigital OnLine
