Uno de mis amigos va a implementar IPv6 en el entorno de su red universitaria y me dijo que es más seguro que IPv4. ¿Es IPv6 más seguro que IPv4? Si es así, ¿cómo se logra en el nivel de protocolo?
Uno de mis amigos va a implementar IPv6 en el entorno de su red universitaria y me dijo que es más seguro que IPv4. ¿Es IPv6 más seguro que IPv4? Si es así, ¿cómo se logra en el nivel de protocolo?
Además de lo que dijo el ingeniero químico, IPv6 también tiene otras ventajas, como:
Compatibilidad nativa para el cifrado de extremo a extremo : esta fue una característica que se agregó mucho más tarde a IPv4, pero viene como estándar para IPv6.
Descubrimiento de vecinos seguros : el protocolo mejorado (SEND) para el descubrimiento de vecinos en IPv6 confirma la identidad de la otra parte durante el descubrimiento del host, mediante un método criptográfico.
Espacio de direcciones más grande : se necesita más tiempo para aplicar la fuerza bruta a través de las direcciones (3,4 × 10 38 frente a las versiones anteriores de 4,3 × 10 9 )
Pero como en la mayoría de los casos, la mala configuración solo lo hará más vulnerable.
Scott Hogg escribió un artículo brillante hace un tiempo aquí . Cubre estos puntos con mucho mayor detalle.
Resumen: como las redes IPv6 implementadas actualmente pueden ser menos seguras que IPv4. Esto no se debe al diseño de IPv6, sino a un soporte inadecuado en los firewalls y porque los administradores de redes y el especialista en seguridad tienen más conocimientos. tratar con IPv4 que con IPv6.
Es cierto que IPv6 fue diseñado con más seguridad en mente. Desafortunadamente, la mayoría de las cosas buenas como IPSec incorporado se dejaron como opcional, lo que significa que la conexión IPv6 de hoy no está mejor protegida que IPv4.
Peor aún es que muchos productos de seguridad aún no son completamente conscientes de IPv6. Por lo tanto, no es infrecuente que OpenVPN y otras instalaciones de VPN solo canalicen el tráfico IPv4 pero no el Tráfico IPv6 que obviamente es un problema de seguridad. También todavía hay firewalls que no tienen ninguno o soporte limitado para IPv6 o que no tienen optimizaciones para IPv6 y , por lo tanto, se ralentiza con el tráfico IPv6. Además, las redes IPv6 se comportan de forma ligeramente diferente a las redes IPv4 (configuración automática, varias direcciones IPv6 en el mismo dispositivo ...), lo que significa que el conocimiento existente de IPv4 de los administradores de redes y los profesionales de la seguridad no se puede aplicar simplemente a IPv6. Y luego está la diferente representación en el cable de IPv6 que presenta un encabezado principal de tamaño fijo, pero luego muchos encabezados opcionales apilados que representan un conjunto diferente de desafíos a los que se debe enfrentar en firewalls que en IPv4. Y hay más diferencias que pueden causar un comportamiento inesperado y, por tanto, problemas de seguridad.
Esto en conjunto definitivamente no hace que IPv6 sea más seguro que IPv4 en el uso práctico. De hecho, se podría decir que IPv6 es menos seguro en la realidad actual, a pesar de que fue diseñado para ser más seguro. Consulte también las muchas charlas sobre este tema en conferencias como Black Hat con temas como Evasión de dispositivos IPS de gama alta en la era de IPv6 o Attacking IPv6 Implementación utilizando fragmentación .
Tipo de.
Cuando se diseñó IPv4, la seguridad quedó (intencionalmente, según algunos participantes) fuera del diseño; sin cifrado, sin autenticación, sin verificación de identidad.
IPv6 fue un intento de corregir los errores de IPv4, y esto incluyó la lamentable falta de seguridad. Características como el cifrado y la fuerte identidad fueron incorporadas en el protocolo. Pero el proceso de diseño (de nuevo, intencionalmente de acuerdo con algunos) hizo que el diseño se descarrilara, por lo que los protocolos de seguridad son generalmente opcionales. y, a menudo, demasiado complejo para ser utilizable.
Por lo general, la seguridad de una red IPv4 bien administrada es aproximadamente la misma que la de una red IPv6 bien administrada. IPv6 en su forma típica no es inherentemente más seguro que IPv4 en su forma típica.
Sin embargo, hay una ventaja definida de "seguridad por oscuridad" en IPv6. El malware normalmente se propaga a través de IPv4, y el malware que explora la red en busca de objetivos vulnerables usa IPv4 casi exclusivamente.
También se menciona con frecuencia el hecho de que la selección de direcciones IP aleatorias en el espacio de IPv6 casi siempre genera direcciones no utilizadas, pero esa no es una protección particularmente sólida. La selección de objetivos en el espacio de IPv6 no se realizará mediante una selección aleatoria o exploraciones secuenciales. Hay otras formas de descubrir direcciones.
Lea otras preguntas en las etiquetas ipv6