Los empleados deciden en qué idioma publican sus entradas.
Puedes encontrar más contenidos seleccionando el idioma inglés en el enlace superior.

Seguridad en IPv6. Envenenamiento de caché para ataque ‘Man In The Middle’

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 3. Media: 5,00/5)
Loading ... Loading ...

 Autor: Rafael Valdavida

Como los medios de comunicación han dejado  patente a lo largo de los últimos meses es el momento del IPv6. El espacio de direccionamiento de IPv4 se acaba, hay que buscar una solución e IPv6 parece ser que es lo primero que se le viene a la cabeza a todo el mundo. De hecho los últimos (y no tan últimos) productos tecnológicos incorporan ya soporte para IPv6. Un claro ejemplo es el Windows 7. Su pila IPv6 está activada por defecto y de forma preferente. Es decir, si ha de elegir entre IPv4 e IPv6 elegirá esta última.

Desde el punto de vista tecnológico IPv6 no es simplemente una solución para la escasez de espacio de direccionamiento. Se trae bajo el brazo su correspondiente juego de particularidades y un buen conjunto de protocolos adicionales (cabeceras de extensión, ICMPv6, NDP,  MLD, IPSec, ….). Para un potencial atacante cada una de las particularidades y características de esos protocolos es un campo abonado para el florecimiento de nuevas vulnerabilidades que pueden permitir todo tipo de acción maliciosa.

Centrémonos en UNA funcionalidad de UNO de esos protocolos. Una que por su relevancia y cercanía al usuario puede tener un mayor peso en la implementación de la solución IPv6. El protocolo NDP (Neighbor Discovery Protocol) se encarga, mediante la utilización de cinco tipos de mensajes ICMPv6, de proporcionar una serie de funcionalidades básicas. Entre ellas se encuentra la resolución de direcciones (identificar para una dirección IP dada qué dirección MAC le corresponde). Parece algo bastante básico para el funcionamiento de todo el tinglado.

En su definición, el protocolo NDP no especifica la necesidad de autentificación por parte de los participantes, lo que viene a significar que:

  • Cualquiera puede enviar cualquier mensaje (y estamos hablando de mensajes básicos para la configuración y el funcionamiento de la red).
  • Es muy difícil (¿imposible?) distinguir si la información de un mensaje dado proviene de quien se supone que debe provenir.

De hecho existe una tabla resumen sobre los posibles ataques a los que resulta susceptible el discutido protocolo NDP:

Es posible que la tabla requiera un poco más de explicación (qué son todos esos acrónimos y ‘palabras raras’) pero de por sí resulta muy ilustrativa. Incluso se puede adivinar que algunos de los problemas presentados no tienen, de momento, una solución clara (última columna).

En general, a lo largo de toda la especificación de IPv6, cada vez que surgen cuestiones sobre la seguridad la solución se redirige al uso de IPSec. No es este lugar para discutir las bondades o deficiencias de IPSec. Baste con decir que para el entorno del NDP, a día de hoy, IPSec no es una solución viable. Requiere no solo configuraciones engorrosas de claves privadas y públicas si no también resolver cuestiones sobre intercambios de claves (IKE). Bajo estas circunstancias nos encontramos con situaciones de vulnerabilidad bastante comunes. Por ejemplo, cualquier Windows 7, en su instalación por defecto, está preparado para funcionar bajo IPv6 y por tanto soporta el protocolo NDP de forma automática. Sin embargo en el proceso de instalación del sistema operativo o de su conexión a la red no se realiza ningún tipo de activación y configuración de IPSec.

Llegados a este punto yo diría que un posible atacante no solo dispone de un campo abonado. El campo ha florecido. Veamos un ejemplo de cómo un usuario malicioso puede aprovecharse de la situación descrita.

‘Man In The Middle en IPv6

El entorno considerado consta de los siguientes elementos:

  • Red local IPv6
  • Equipos A y B legítimos
  • Equipo Z malicioso

En IPv6, como en IPv4, cuando el equipo ”A” quiere comunicarse con el “B” necesita saber la dirección de capa de enlace (MAC) de dicho equipo “B”. Para obtenerla , “A” envía a la red un mensaje ICMPv6 del tipo “Neighbour Solicitation” a una dirección IPv6 multicast (dirección en la que escuchan todos los nodos de la red) con el formato “ff02::1:ffXX:YYZZ”. Donde XXYYZZ se corresponde con los últimos tres bytes de la dirección IPv6 con la que desea comunicarse. El elemento “B” contestaría hacia “A” con un mensaje ICMPv6 del tipo “Neighbour Advertisement” donde “B” envía toda la información de capa de enlace necesaria para que “A” se comunique con “B”.

Conociendo este comportamiento, y con todo lo anterior dicho sobre la carencia de autentificación, “Z” solo necesitaría enviar mensajes ICMPv6 de tipo “Neighbour Advertisement” indicando:

  • a “A” que la dirección IPv6 de “B” se corresponde con la dirección MAC de “Z”
  • a “B” que la dirección IPv6 de “A” se corresponde con la dirección MAC de “Z”

Nada impide que “Z” pueda enviar este tipo de mensajes (los mensajes “Neighbour Advertisement” pueden ser enviados espontáneamente para indicar cambios en la configuración local o nuevas incorporaciones) y tras la recepción de estos mensajes “A” y  “B” almacenarán la información fraudulenta en sus cachés y comenzarán a utilizarla. Como resultado toda la información enviada de “B” hacia “A” y de “A” hacia “B” pasará por “Z” que podrá:

  1. Acceder a la información intercambiada
  2. Modificar la información intercambiada
  3. Interrumpir la comunicación

Acabamos de replicar el ataque de envenenamiento de caché, típico de la tecnología IPv4, en IPv6 y sin más complejidad que la generación de dos paquetes IPv6 manipulados. La herramienta scapy, de libre acceso, ofrece toda la funcionalidad requerida. La solución, hoy por hoy no es sencilla, la opción sería proporcionar mecanismos de autentificación. Estaríamos hablando de configurar IPSec o una segunda posibilidad de más fácil aplicación y desarrollada para este problema que es el SEND (SEcure Neighbour Discovery). Pero eso ya es tema para otro/os artículos.

Walqa se convierte en el primer centro de trabajo de Telefónica, con pleno acceso a la Internet IPV6

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 2. Media: 5,00/5)
Loading ... Loading ...

Autor: Carlos Ralli

 

La reserva mundial de direcciones de Internet del protocolo IP versión 4 (IPv4) se ha agotado durante el último mes de abril, tras la asignación por parte del ICANN (Internet Corporation for Assigned Names and Numbers) de los últimos 5 bloques de direcciones de la Internet actual.

Aunque algunas compañías, como Microsoft, están intentando recurrir transitoriamente a la compra de bloques de direcciones IPv4 a otras empresas, esto no es una solución efectiva; a partir de este momento, se deberá migrar progresivamente al Protocolo de Internet versión 6 (IPv6). La nueva Internet IPv6 permitirá acceder a 340 sixtillones de direcciones públicas, frente a los 4.200 millones de direcciones que permite la IPv4.

Para llevar a cabo esta migración, se están desarrollando diferentes iniciativas en todo el mundo, entre las que destaca el World IPv6 Day, organizado por la ISOC (Internet SOCiety), que se celebrará el próximo 8 de junio

En esta iniciativa participarán los principales protagonistas de internet (Google, Facebook, Yahoo, Akamai, Limelight Networks,  operadoras de red… como Telefónica, entre otras), que proporcionarán contenidos IPv6 durante 24 horas, en sus dominios web genéricos.

Telefónica I+D se suma a esta iniciativa mundial. Para ello, aportará su experiencia derivada de implantar IPv6 para sus servicios y empleados. Este conocimiento deberá servir de modelo para otras corporaciones y clientes, en cuanto a fiabilidad, escalabilidad y seguridad.

Como primera acción, se ha completado una experiencia piloto en el centro de Telefonica I+D del Parque Tecnológico de Walqa. Su objetivo es valorar el impacto en la migración a IPv6.

Para llevar a cabo el piloto en Walqa, a partir del día 1 de abril se habilitaron en el centro los elementos de red, para poder ofrecer IPv6 a los puestos de red y servidores del centro. Desde entonces se monitoriza el tráfico de datos, para anticiparse a posibles problemas y para recoger estadísticas, que posibiliten evaluar el impacto que podrá tener el World IPv6 Day del próximo 8 de junio.

Todo esto se hizo de manera transparente a los usuarios, que no percibieron el cambio. Se observó que el 75% de los puestos de trabajo pasaron automáticamente a trabajar en IPv6 (fundamentalmente los puestos con sistemas operativos de última generación, como Windows 7, MACOS, Linux…). El 25% restante de los puestos de trabajo siguieron trabajando únicamente con IPv4. La experiencia está siendo muy satisfactoria, sin ningún problema reseñable hasta el momento.

El desarrollo del piloto realizado en el centro de Walqa servirá como punto de partida para realizar la migración a IPv6 en el resto de sedes de TI+D y, por extensión, de todo el grupo Telefónica.

 

CLR XXV

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (No valorado aún)
Loading ... Loading ...

Limpieza de buffer. Una lista de alertas, noticias y artículos interesantes que corren el peligro de caer en el olvido:

La Cofa

IPv4: Aforo completo

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 1. Media: 5,00/5)
Loading ... Loading ...

Cada vez son más frecuentes las noticias que hacen referencia al próximo agotamiento del espacio de direcciones IPv4. De hecho, hay ya signos claros de que el asunto comienza a ser importante:

  • Todos los los RIR (Registros regionales de direcciones IP) muestran en sus webs notas relativas a la adopción de IPv6.
  • En el momento de escribir esta entrada, sólo 16 de los 256 bloques de 24 bits de direcciones IP están sin asignar. Esto significa que IANA sólo conserva el 6,25% del espacio de direcciones.
  • Lejos de disminuir, el ritmo al que se solicitan nuevos bloques de direcciones, va en aumento, posiblemente en un esfuerzo de los RIR por solicitar las últimas direcciones antes de que se agoten.

Así las cosas, la fecha en la que se asignará el último bloque en poder de IANA no puede establecerse con seguridad pero casi todas las fuentes la sitúan entre 2010 y 2011. Es cierto que esta fecha hace referencia al agotamiento del espacio de IANA y que los RIR tardarán algún tiempo más en agotar los bloques que les han sido asgnados pero en cualquier caso este segundo paso no dará mucho más tiempo.

¿Cómo se ha llegado a esta situación?. Un espacio de 32 bits permite más de 4000 millones de direcciones y sin embargo el espacio está a punto de agotarse. Al menos dos factores han llevado al rápido agotamiento del espacio de direcciones IPv4:

  • En primer lugar, la inesperada popularización de Internet, cuyo ritmo no fue previsto por sus creadores. Esta popularización se ha producido a dos niveles: Por un lado, grandes grupos de población están usando una red que inicialmente fue diseñada como red experimental. Por otro lado, la expansión de Internet a muchos dispositivos más allá de los grandes ordenadores o los ordenadores de sobremesa; ahora es común conectarse a Internet desde PDAs, teléfonos móviles, electrodomésticos, etc.
  • En segundo lugar, la inexperiencia reinante en la administración del espacio de direcciones hasta mediados de los años 90: En los primeros tiempos de Internet se asignaban grandes espacios de direcciones a empresas u organismos que terminaban por no usar el espacio asignado.

Un caso paradigmático del segundo escenario es el representado por el bloque de direcciones IPv4 que empiezan por 25 (25.0.0.0/8). Según IANA, este bloque está asignado al Ministerio de Defensa del Reino Unido desde 1995. Sin embargo, ese rango no está presente entre los anunciados en la tablas de BGP (ver figura siguiente), lo que significa que nadie fuera del citado organismo puede enviar a ese bloque de direcciones IP y que alguien usando una dirección en ese rango no puede acceder a Internet. De hecho, dado que ese rango está, en la práctica, en desuso, se han dado casos de operadores de telecomunicaciones que han usado ese rango para sus redes internas.

La siguiente figura muestra el estado del espacio IPv4: En azul la parte ocupada y en rojo las partes no incluidas en las tablas de encaminamiento (BGP). Fuente: Geoff Huston.


Estado del espacio de direcciones IPv4

Aunque en teoría los RIR podrían forzar la devolución de los bloques no usados, es poco probable que lo hagan debido a los problemas legales que podrían surgir y a que la devolución de estos bloques sólo retrasaría ligeramente el problema.

La solución que parece más adecuada es migrar de IPv4 a IPv6. No obstante, en Septiembre de 2009, Google anunció que sólo el 0,252% de los accesos a sus servidores ocurrían sobre IPv6 y que ese porcentaje incluye no sólo accesos IPv6 nativos sino también accesos a través de tecnologías de adaptación (por ejemplo, IPv6 tunelado en IPv4). La comunidad de usuarios no parece sentir todavía la urgencia del cambio pero los primeros pasos ya se están dando.

Lo más destacado en 2009

1 Malo2 Mejorable3 Normal4 Bueno5 Excelente (Votos: 8. Media: 5,00/5)
Loading ... Loading ...

Acaba el año y es un buen momento para mirar hacia atrás y revisar qué ha sido lo más destacado en el mundo de las tecnologías de la información y las comunicaciones. Hemos pedido a una serie de expertos de Telefónica I+D que nos den su opinión, y este es un resumen de lo que han destacado:

Empecemos por las comunicaciones:

  • En 2009 hemos podido constatar el verdadero despegue de la Internet móvil, después de muchos años de promesas. Eso se ha manifestado en una creciente oferta de smartphones, muchos al hilo del éxito del iPhone, como Android y, en menor medida WebOS (para Palm Pre).
  • También hemos visto la aparición de los primeros “terminales sociales”: Moto Blur, o las funcionalidades de Google incluidas de forma nativa en Android: integración de servicios y contenido local en el dispositivo.
  • La realidad aumentada móvil ha sido otro de los términos de moda del año. Parece que la AR ha llegado para quedarse.
  • Desde un punto de vista de redes, destaca especialmente el inicio del despliegue de HSPA+

La crisis ha tenido un fuerte impacto en el despliegue de la fibra, lo que ha impulsado alternativas para alargar la vida útil del cobre. No obstante, la evolución tecnológica de la fibra ha continuado, con experiencias de 30 Tbps de transmisión en julio.

Otros puntos destacados en la evolución de la infraestructura de comunicaciones ha sido:

  • Redes ópticas, con despliegues comerciales de malla fotónica, pruebas de transmisión sobre enlaces DWDM de larga distancia y los primeros prototipos precomerciales para la conmutación óptica de paquetes y ráfagas (OPS/OBS).
  • IPv6: los organismos de estandarización han empezado el proceso de actualización de sus estándares a IPv6.

Otro término de moda en este año ha sido el Cloud computing como hype. Al final de 2009 hemos visto una ampliación y primera consolidación de actores, diversidad de modalidad, y un creciente interés de la industria.

Hemos visto también una consolidación de la gestión del software empresarial sobre la base del cloud y de otras tecnologías como OSGi, buscando sobre todo mayor flexibilidad.

Si nos fijamos en el multimedia, también ha sido un año muy intenso:

  • Por ejemplo, la imagen 3D ha dado lugar a novedades muy interesantes.
    • Ha dado un espectacular –y rentable- salto al cine.
    • En el entorno doméstico, se ha producido el abandonado de la TV 3D autoesteroscópica por tecnologías que requieren el uso de gafas.
  • Decadencia del P2P, que llegó a suponer un 40% del tráfico total mundial hace un par de años, pero ha bajado ahora hasta un 18%. Sus sucesores son el streaming y la descarga directa.
  • Spotify, aunque sólo disponible en algunos países europeos, ha tenido un impacto formidable en el panorama de la distribución de contenidos a través de Internet. Un modelo muy exitoso y rentable que se plantea su extensión a otros países y del que podrían surgir réplicas en el video.
  • Un hecho muy relevante en 2009 ha sido la migración de los servicios OTT de TV y audio a Internet: el iPlayer de la BBC o portales de las TV generalistas con acceso a contenidos bajo demanda.
  • Sin embargo hay que constatar, por lo menos en España, el fallo en la adopción de las funcionalidades avanzadas de TDT

En el mundo de las redes sociales hemos visto una generalización y un uso masivo. Así, Facebook ha superado la barrera de los 350 millones de usuarios registrados, aunque hay muchas peculiaridades por países, como el éxito de Tuenti en España o de Orkut en Brasil.

Este año, ha sido el del GreenIT, el del SMART Grid, o el de la Conferencia de Copenhague. Todos los analistas coinciden en el papel que van a tener las TIC en la gestión energética del futuro.

Hemos visto la aparición de Google Wave, que ha hecho correr ríos de tinta electrónica. Aunque su impacto final parece haberse diluido un poco, ha hecho que el trabajo colaborativo cambie para siempre.

La aparición de nuevos eBooks ha hecho creer que este era su año, pero finalmente parece que habrá que esperar a 2010

Los navegadores han incorporado a lo largo de 2009 nuevas capacidades que tendrán fuertes consecuencias en el futuro: Localización, múltiples Threads, actuar como contenedores de aplicaciones, y la adopción de HTML 5,

En una proxima entrada, se recogerán las previsiones para 2010.