¿Cuáles son los riesgos de seguridad al habilitar ipv6?

Sólo IPv6:

• El tamaño ilimitado de la cadena de encabezado puede dificultar el filtrado.
• IPsec no es una panacea:
  • IPv6 exige la implementación de IPsec
  • IPv6 no requiere el uso de IPsec
  • Algunas organizaciones creen que IPsec debería usarse para asegurar todos los flujos:
    • problema de escalabilidad interesante
    • Es necesario confiar en los puntos finales y en los usuarios finales porque la red no puede proteger el tráfico: no hay IPS, ni ACL, ni firewall
    • La telemetría de red está cegada
    • Servicios de red obstaculizados
• Recomiendo no usar extremo a extremo de IPsec en un dominio administrativo, sino para entornos residenciales, hostiles o objetivos de alto perfil.

Ataques de IPv6 con fuertes similitudes de IPv4:

• oler
  • Sin IPSec, IPWithout IPSec, IPv6 no es más o menos propenso a ser víctima de un ataque de rastreo que IPv4
• ataques de capa de aplicación
  • Incluso con IPSec, la mayoría de las vulnerabilidades en Internet hoy en día están en la capa de aplicación, algo que IPSec no hará nada para prevenir
• dispositivos Rogue
  • Los dispositivos Rogue serán tan fáciles de insertar en una red IPv6 como en IPv4
• Ataques de hombre en el medio (MITM)
  • Sin IPSec, cualquier ataque que utilice MITM tendrá la misma probabilidad en IPv6 que en IPv4
• inundaciones
  • Los ataques de inundación son idénticos entre IPv4 e IPv6

Pila dual de IPv4 e IPv6 (como mencionó):

• Las aplicaciones pueden estar sujetas a ataques tanto en IPv6 como en IPv4 (enlace más débil)
• Los controles de seguridad deben bloquear e inspeccionar el tráfico de ambas versiones de IP

Muchos sitios usan direccionamiento privado dentro de su red, y el enrutador ejecuta NAT para que las conexiones salientes sean factibles. Lo NAT implica, por construcción, el mismo efecto que un cortafuegos que evitaría cualquier conexión entrante desde el mundo exterior a una de las máquinas en la red interna.

Cuando habilitas IPv6, las máquinas internas se vuelven visibles externamente. Por lo tanto, es mejor que configure las reglas de filtrado de línea de base en el firewall antes habilitando IPv6. Piense en un viejo sistema de Windows sin parches, lleno de agujeros explotables remotamente, que era inofensivo siempre y cuando simplemente se sentara en la red interna sin hacer ninguna actividad de red con Internet en general (por ejemplo, una estación de trabajo utilizada solo para conectarse a una intranet).

Esto no es realmente el error de IPv6. Es que IPv6 fue diseñado para que no haya escasez de direcciones, lo que hace que el NAT sea innecesario. Creo que la mayoría de los problemas de seguridad que ocurrirán con la implementación de IPv6 seguirán ese patrón: IPv6 anula el efecto de "cortafuegos inherente" de NAT, descubriendo muchos hosts vulnerables. Hasta cierto punto, esta es la misma historia que el advenimiento de WiFi, que anula la seguridad física inherente de los cables simples.

Encontré un artículo reciente sobre el tema: CPNI VIEWPOINT - SECURITY IMPLICATIONS DE IPv6 - MARZO 2011 . Los principales puntos que señala son los riesgos compartidos por muchas tecnologías nuevas:

• menos maduro que IPv4, por lo que probablemente haya más errores
• menos soporte en productos de seguridad
• más complejo = > superficie de ataque más grande, especialmente para entornos de doble pila
• menos familiaridad por parte del personal de soporte

Por lo tanto, antes de implementar IPv6, debe tomarse el tiempo para familiarizarse con la tecnología, trabajar con proveedores inteligentes y tener un plan para abordar estos problemas.

El informe entra en un poco más de discusión sobre, por ejemplo, La opción libre de NAT.

Suena como un buen mercado en desarrollo para gente de seguridad con experiencia en IPv6. (Como si no hubiera otras oportunidades por ahí ...)