XI Foro de Seguridad de RedIRIS

Seguridad en IPv6. Leganés (Madrid), 25 y 26 de abril


Descripción de módulos:

SEND -Secure NEighbor Discovery-

El protocolo de ND (Neighbor Discovery) utilizado por los equipos IPv6 para resolver múltiples funciones tales como el descubrimiento de vecinos, descubrimiento de routers, detección de alcanzabilidad, detección de direcciones duplicadas, etc., presenta serias vulnerabilidades. Una de las soluciones propuestas para resolver dichas vulnerabilidades, SEND (RFC 3971), se basa en la inclusión de información criptográfica para la autenticación del router, validación de información de configuración del enlace, y validación de la dirección IPv6 de otros nodos conectados al enlace. En esta presentación detallaremos los riesgos generados por el uso ND, describiremos la solución de SEND, y haremos un análisis crítico del protocolo y de su aplicabilidad.

Validacion de direcciones en IPv6

Serios riesgos de seguridad tales como suplantación de identidad de nodos, dificultades en la comunicación o inundación indetectable, podrían deberse a que un nodo malintencionado fuera capaz de suplantar la dirección IP de origen de otros nodos. La arquitectura SAVI (/Source Address Validation Implementation/) que está siendo estandarizada por el /Internet Engineering Task Force/ (IETF) proporciona los medios para validar las direcciones de origen mediante la prueba de posesión de dirección implícita en los mecanismos de configuración de dirección IP. Los mecanismos de configuración para los cuales SAVI puede ser aplicado eficientemente son DHCP en el caso de IPv4, y DHCPv6, /Stateless Address Autoconfiguration/ y /Secure Network Discovery/ en el caso de IPv6. El filtrado de SAVI puede ser desplegado en la capa 2 de los dispositivos puente, y no requiere cambios en los sistemas terminales.

TOPERA: Evadiendo IDS/IPS con IPv6

Análisis de seguridad de los problemas que tienen los IDS/IPS manejando determinado tipo de tráfico IPv6.
Actualmente existen herramientas capaces de burlar los distintos motores de detección de IDS/IPS. Y TOPERA es una de ellas. Permite ejecutar ataques de red en IPv6 sorteando la detección por parte de SNORT, el reconocido IDS/IPS cuyo motor es utilizado por algunas herramientas comerciales.
Presentación de una nueva versión de TOPERA que incluye nuevos ataques, mostrando de forma práctica y en detalle cómo funciona.

Seguridad en la transición a IPv6

Durante la presentación, analizaremos cuál es la problemática en la transición de redes IPv4 a IPv6, poniendo foco en los agujeros de seguridad que pueden surgir en dicha migración y proponiendo las soluciones técnicas más eficaces.

Internet6: ¿Un nuevo modelo de funcionamiento y de seguridad?

En esta charla se tratarán de cubrir los siguientes aspectos:

  • Tamaño actual y crecimiento de la Internet (gráficas comparativas). Trabajo/planes del Observatorio IPv6 en España.
  • Nuevos modelos de funcionamiento de Internet. Implicaciones de seguridad, a nivel de red y para el operador (foco: lado de cliente de la red de a cceso).
  • Valoración de las distintas alternativas presentadas en el apartado anterior. Funcionalidad versus Seguridad.

Resultados de un análisis de seguridad de IPv6

En breve se podrá consultar información de detalle sobre este tema

Proyecto de Implantación de IPv6 en el Ministerio de Industria, Energía y Turismo-GEN6

Se definirá el origen y evolución del proyecto de implantación de IPv6 en el Ministerio de Industria así como su situación actual de evolución en el marco del proyecto europeo GEN6, cuyo objetivo general es el desplegar servicios avanzados de eGovernment basados en IPv6, nacionales y transfronterizos, que impactarán en nuevos servicios para los ciudadanos europeos, ahorros de costes, incremento de seguridad y servicios avanzados en general.
Dentro del marco europeo del GEN6 en el ámbito de los pilotos nacionales y más en concreto en lo referente a actualizaciones en las infraestructuras de administración electrónica, servicios y aplicaciones, la descripción del piloto español contempla 3 líneas complementarias, todas ellas sustentadas en el papel de la Red SARA como red de interconexión para las Administraciones Públicas.
En este sentido la línea de actuación del Ministerio de Industria corresponde a la evolución de la red del Ministerio para que pueda ofrecer servicios en IPv6 y que estos sean consumidos por otras unidades administrativas que los demanden.
El servicio elegido para tal fin es eITV. Este servicio provee el soporte electrónico para la tarjeta ITV. Este documento acredita las características técnicas de los automóviles fabricados así como el historial de sus inspecciones técnicas y las modificaciones introducidas en él y se usa tanto para la matriculación de vehículos como para el ejercicio de las competencias administrativas a lo largo de la vida útil de dichos vehículos.
El servicio eITV reemplaza la tradicional tarjeta de papel y los procedimientos presenciales de obtención de esa tarjeta por una tarjeta electrónica obtenida por medios totalmente electrónicos. Esto redundará en un importante ahorro de costes a los fabricantes de automóviles, una significativa disminución en los tiempos de matriculación y un mayor control del parque de vehículos a motor.
Durante todo este proceso, se intercambiará información entre el Ministerio y los distintos usuarios de este servicio mediante el uso de aplicaciones y servicios web. El objetivo del piloto es la creación de una infraestructura IPv6 en el Ministerio capaz de dar servicio a todos los usuarios, tanto si se comunican por IPv6 como por IPv4. Esto implica actuar en todos los niveles de la infraestructura, tanto a nivel hardware en los equipos de la red como a nivel software en la propia aplicación de eITV.
Con la realización de este piloto, se adquirirán los conocimientos y experiencia necesarios en los aspectos prácticos de la transición a IPv6.

Planes de evolución de Red SARA a IPv6

En breve se podrá consultar información de detalle sobre este tema

Mesa redonda: Hacia una transición a IPv6 segura

En esta mesa se mostrarán diferentes experiencias de implantación. Comentaremos los pasos que se han seguido y las medidas/controles de seguridad existentes y en proceso de puesta en marcha, así como las dificultades que se han encontrado.