gosphotodesign - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Qué hacer cuando las políticas de IPv4 e IPv6 discrepan

Desafortunadamente para las empresas, las políticas de IPv4 e IPv6 no siempre están de acuerdo. Fernando Gont examina las diferencias entre estas dos políticas de seguridad, así como algunas reglas de filtrado.

La estrategia de implementación de IPv6 más común para servidores de red es la denominada pila dual, en la que IPv6 se implementa junto con IPv4 y los servidores están disponibles tanto en IPv4 como en IPv6.

Operar una red que emplea dos protocolos de Internet, IPv4 e IPv6, generalmente implica que la configuración de red necesita ser replicada para el IPv6 recién implementado, es decir, la red debe configurarse para que IPv6 pueda operar como IPv4. Esta configuración de red no solo incluye aspectos como la habilitación del enrutamiento IPv6 y la incorporación de información IPv6 en el sistema de nombres de dominio, sino también el cumplimiento de las políticas de seguridad de la red a través del filtrado de paquetes.

En los escenarios más comunes, las políticas de seguridad de IPv6 reflejan sus contrapartes de IPv4. Después de todo, tanto IPv4 como IPv6 son solo protocolos de internet.

Por lo tanto, incluyen algunos problemas específicos del protocolo y políticas de seguridad, como los que especifican qué servicios de red están expuestos en la red pública, y tienden a ser independientes del protocolo subyacente de la capa de red. En general, no hay razón para que un servidor de red ofrezca un servicio sobre un protocolo de internet y no sobre el otro.

Configuración de políticas de seguridad

Uno podría esperar que las políticas de seguridad aplicadas a través de reglas de filtrado de paquetes basadas en la información de la capa de transporte, como permitir paquetes entrantes destinados al puerto 80, se especifiquen de manera de red independiente de la capa. Sin embargo, muchos dispositivos de red, incluidos dispositivos de seguridad, generalmente requieren que una regla de filtrado no solo especifique la información relevante de la capa de transporte, como los números de puerto de protocolo de transporte, sino también el protocolo de capa de red específico para el cual se debe aplicar la regla, como IPv4 o IPv6.

Esto significa que en los escenarios de doble pila más comunes, cada política de filtrado para un número de puerto específico dará como resultado dos reglas de filtrado separadas: una para el caso de IPv4 y otra para el caso de IPv6. Como resultado, no sería difícil esperar que, en ocasiones, los administradores simplemente no logren duplicar dichas reglas; por lo tanto, pueden producirse desajustes en las políticas de filtrado de paquetes para IPv4 e IPv6.

Se puede esperar que las políticas de seguridad se apliquen más a fondo en el mundo IPv4 como resultado de que los sitios no duplican/reflejan las reglas de filtrado de paquetes para IPv6 cuando se implementa el protocolo. Sin embargo, presenté una investigación en la conferencia de seguridad Hack In Paris 2018 que indica que las suposiciones y la lógica antes mencionadas no se aplican en el mundo real.

Políticas de seguridad para IPv4 e IPv6

El estudio evaluó esencialmente las políticas de seguridad IPv4 e IPv6 de una gran cantidad de servidores web con el objetivo de identificar posibles desajustes entre los dos. Cada uno de los servidores web se escaneó en puertos en cada una de sus direcciones IPv4 e IPv6 y se compararon los resultados de los escaneos de puertos.

La siguiente figura ilustra el porcentaje de sitios que exhibieron diferentes políticas de seguridad sobre IPv4 e IPv6 considerando el número de puertos que se encontraron en diferentes estados a través de los dos protocolos de internet.

La figura muestra que aproximadamente el 85% de los sitios web exhibieron las mismas políticas de seguridad sobre IPv4 e IPv6. Por otro lado, el 15% de los sitios web exhibieron diferentes políticas de seguridad sobre los dos protocolos de red, y la mayoría de ellos mostraba un desajuste de hasta cinco números de puerto diferentes, es decir, para ese 15% de servidores web, se encontraron entre uno y cinco puertos en diferentes estados dependiendo del protocolo de internet subyacente.

La figura también ilustra la frecuencia con la que se encontraron diferentes números de puertos abiertos en los sitios web escaneados por el puerto.

Los resultados del escaneo del puerto se ilustran en el gráfico de barras anterior e indican, para cada puerto abierto, si el número de puerto se abrió solo a través de IPv4, solo a través de IPv6 o en ambos, IPv4 e IPv6.

Para hacer más evidentes las diferencias en las políticas de filtrado, la siguiente figura ilustra la frecuencia de discrepancias de políticas para cada número de puerto; es decir, el porcentaje de sitios escaneados por puerto que exhibieron un puerto abierto solo a través de IPv4 o IPv6, pero no en ambos protocolos de internet.

Lo interesante de los resultados del escaneo de puertos es que, si bien hay discrepancias evidentes en las políticas de seguridad aplicadas para IPv4 frente a las políticas aplicadas para IPv6, no se puede argumentar realmente que las políticas de uno de los protocolos de internet sean más permisivas que las aplicadas al otro. De hecho, el estudio muestra que las políticas parecen depender de los números de puertos en cuestión, con algunos puertos que son más abiertos a través de IPv4, mientras que otros son más abiertos a través de IPv6.

Finalmente, para los servidores que estaban disponibles en múltiples direcciones IPv4 y múltiples direcciones IPv6, el estudio también encontró que, si bien prácticamente no existían discrepancias de política para diferentes direcciones IPv4 en el mismo servidor, había un pequeño porcentaje de desajustes entre las diferentes direcciones IPv6 del mismo sitio web

Implicaciones para los pen testers

Al evaluar qué servicios ofrece un servidor determinado, no es inusual que los pen testers escaneen un servidor a través de cualquiera de las direcciones, pero no sobre todas ellas.

En función de los desajustes de política encontrados para IPv4 e IPv6, y para diferentes direcciones IPv6 en los mismos servidores, está claro que al evaluar qué servicios ofrece un servidor, el servidor en cuestión debe escanearse por puertos en todas las direcciones IPv4 e IPv6 disponibles.

Políticas de seguridad más homogéneas

Una conclusión obvia para los administradores de red y seguridad es que las políticas de seguridad deberían aplicarse de forma más homogénea a IPv4 e IPv6, y que la aplicación de políticas de seguridad en ambos protocolos de internet debería formar parte de los procedimientos normales de operación y administración.

También es recomendable que los sitios que actualmente no son compatibles con IPv6 apliquen políticas de filtrado de paquetes IPv6 que sean similares a las aplicadas a las contrapartes de IPv4. De esta manera, cuando IPv6 finalmente se implemente en esos sitios, los servidores y otros elementos de la red no serán tomados por sorpresa.

Conclusión

Estudios recientes han indicado que las discrepancias entre las políticas de seguridad IPv4 e IPv6 son bastante comunes. Los administradores de redes y seguridad deben tomar medidas para garantizar que las políticas aplicadas a ambos protocolos sean homogéneas. Estas discrepancias comunes garantizan que, al escanear un sitio en un puerto como parte de una prueba de penetración, por ejemplo, todas las direcciones disponibles deben estar sujetas a escaneos de puertos, ya que los resultados para diferentes direcciones y diferentes protocolos de internet pueden diferir.

Este artículo se actualizó por última vez en agosto 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close