SEGURIDAD EN IPV6

SEGURIDAD IPV6  IPv6 comenzo como ip next generation , se inicio con su desarrollo en 1995, en la actualidad ipv6 se esta convirtiendo en una realidad, los software que implementan ipv6 son nuevos y todavía no han sido testeados lo suficiente para considerarlos confiables, los diferentes vedors ya han publicado vulnerabilidades de ipv6, en Ipv4 las identificaciones de redes y host se hacían in-line, dando lugar a spoofing, sesión hijacking y Dos, hoy esto sigue ocurriendo en IPV6, no se ha modificado, también ya existen worm para ipv6 y software exploit como scapy6 o ipv6 toolkit, ipv6 al igual que ipv4 mantienen el mismo concepto de arquitectura de redes, por lo que aspectos como asegurar perímetros o amenazas internas deben seguir teniéndose en cuenta. IPV6 es susceptible a casi todos los mismo ataques que ipv4, y se le agregan nuevos inherentes debido a las funcionalidades de networking discovery, se deberían filtrar los protocolos de networking discoveries en los borders gateways, al permit multicast ipv6 como por jemplo en dhcp , permite a un atacante obtener información de toda una red con un solo query. Hoy en día es necesario que un firewall sea adaptable a IPv6. Inclusive durante la implementación del protocolo, debe haber detección de protocolo y filtrado IPv6 e IPv4DHCP en IPv6 funciona en forma similar al IPv4 .Es suceptible a los mismos ataques que en IPv4. Starvation El intruso envía solicitudes como si fuera diferentes clientes, saturando la cantidad de direcciones. Con la cantidad de direcciones en IPv6 este tema se minimiza, pero debe ser tenido en cuenta Por mas variedad de direcciones que exista, si el pool de direcciones a entregar es chico, entonces es suceptible al ataque. Debe achicarse el timestamp para que libere con mas rapidez o por idle-time Ataque DoS Se le envian una cantidad muy grande de peticiones, en forma constante forzando al servidor a no poder soportar la carga y dejarlo fuera de servicio. Para esto, se puede configurar la red con QoS y asignarle una sección pequeña del ancho de banda al DHCP. Esto se puede realizar con los comandos CLASS-MAP Scanning Cuando un DHCP server entrega direcciones contiguas, un intruso en el local-link puede predecir direcciones válidas o ya en desuso para ingresar en la red. Para eso, existen versiones de software de DHCP servers (Ej: Cisco Network Registrar) que entregan las direcciones de un pool en forma aleatoria Misinformation (Rogue DHCP Server) En este caso, un host se hace pasar por un DHCP en la red, enviando información de configuración DHCP dejando a un host fuera de servicio o situarlo dentro de su propio local-link. Este tipo de ataques se utilizaban para ingresar en redes protegidas por NAP de Microsoft o NAC de Cisco. Una forma de mitigarlo es con autenticación. Algunos DHCP server lo ofrece y está explícito en la RFC 3315. Para esto deben existir una adecuada administración de pre-shared keys, y sus respectivos reemplazos por antiguedad. Otra forma de reducir el riesgo es con una minuciosa y adecuada configuración de VLANs

FIREWALL DE DISPOSITIVOS DE NETWORKING

FIREWALL DE DISPOSITIVOS DE NETWORKING HABLAREMOS DE UN FIREWALL COMO DISPOSITIVO DE NETWORKING ( ROUTER), ESTE SEPARA UNA RED LAN DEL ACCESO PUBLICO DE INTERNET, ES UN DISPOSITIVO PERIMETRAL QUE RESTRINGE EL ACCESO DE LA RED PUBLICA A LA RED PRIVADA Y DE LA RED PRIVADA A LA RED PUBLICA. LA TECNOLOGIA QUE SE UTILIZA EN LOS DISPOSITIVOS DE NETWORKING SON DE LAS CONFIGURACIONES MAS BASICAS A LAS MAS AVANZADAS LOS ESQUEMAS DE FIREWALL PUEDEN SER -UN UNICO FIREWALL QUE REALIZAR TODO EL TRABAJO DE FILTRADO -DOS FIREWALL INTERCONECTADOS DONDE UNO REALIZAR EL TRABAJO PESADO DE FILTRO Y EL OTRO REALIZA UN SEGUNDO FILTRO, DE ESTA MANERA SE LOGRA ALIVIANAR EL TRAFICO ENTRE LOS FIREWALL -UN TERCER ESQUEMAS ES DOS FIREWALL INTERCONECTADOS PERO CON UNA ZONA DESMILITARIZADA , ES DECIR ES UNA ZONA EN DONDE NO SE APLICAN LAS POLITICAS DEL FIREWALL Y PUEDE SER EN EL CASO QUE SE NECESITE EL ACCESO DE LA RED PUBLICA A UN SERVER DE LA EMPRESA. TIPOS DE CONFIGURACIONES DE FIREWALL -LISTAS DE CONTROL DE ACCESO BASICAS ACL ESTANDARES Y EXTENDIDAS -LISTAS DE CONTROL DE ACCESO AVANZADAS ACL POR ESTADOS, ESTABLISHEMENT,REFLEXIVAS, DINAMICAS, TEMPORALES -CONTROL DE ACCESO BASADO EN CONTEXTO CBAC -CONFIGURACION DE FIREWALL BASADO EN ZONAS ZPF LAS LISTAS DE CONTROL DE ACCESO SON CONFIGURACION EN EL ROUTER DONDE EN EL CASO DE ACL STANDARES PUEDE REALIZAR UN FILTRO POR IP ORIGEN Y ESTAS REGLAS SE APLICAN LO MAS CERCA POSIBLE DEL DESTINO QUE SE QUIERE FILTRAR, LAS ACL EXTENDIDAS SON CONFIGURACIONES EN EL ROUTER DONDE PUEDO FILTRAR POR IP ORIGEN, IP DESTINO, PUERTO ORIGEN Y PUERTO DESTINO ES MAS VERSATIL Y ESTAS SE APLICAN LO MAS CERCA DEL ORIGEN. LOS FIREWALL DE ESTADOS SON LOS QUE REGISTRAN EN ESTADO DE LOS PAQUETES A LA ENTRADA Y A LA SALIDA Y SOLO DEJAN ENTRAR PAQUETES DE LA RED PUBLICA QUE HALLAN SIDO SOLICITADOS POR ALGUNA DE LAS PC DE MI LAN PRIVADA, LAS ACL REFLEXIVAS OBLIGAN AL TRAFICO DE RESPUESTA DEL DESTINO , DE UN RECIENTE PAQUETE SALIENTE CONOCIDO A DIRIGIRSE AL ORIGEN DE ESE PAQUETE SALIENTE, ESTO APORTA UN MAYOR CONTROL DEL TRAFICO QUE SE PERMITE INGRESAR A LA RED E INCREMENTA LAS CAPACIDADES DE LAS LISTAS DE ACCESO.LAS ACL DINAMICAS COMIENZA CON LA APLICACION DE UNA ACL EXTENDIDA PARA BLOQUEAR TRAFICO QUE ATRAVIESA EL ROUTER. LOS USUARIOS QUE DESEEN ATRAVESAR EL ROUTER SON BOQUEADOS POR LA ACL EXTENDIDA HASTA QUE UTILIZAN TELNET PARA CONECTARSE AL ROUTER Y SER AUTENTICADOS. EN ESE MOMENTO, SE INTERRUMPE LA CONEXION DE TELNET Y SE AGREGA UNA ACL DINAMICA DE UNICA ENTRADA A LA ACL EXTENDIDA EXISTENTE, ESTA ENTRADA PERMITE EL TRAFICO POR UN PERIODO DETERMINADO DE TIEMPO. LAS ACL BASADAS EN TIEMPO ES SIMILAR EN FUNCION QUE UNA ACL EXTENDIDA PERO ADMITE CONTROL DE ACCESO BASADA EN EL TIEMPO, PARA IMPLEMENTAR UNA ACL BASADA EN TIEMPO DEBER CREAR UN RANGO DE HORARIO QUE DEFINA LA HORA ESPECIFICA DEL DIA DE LA SEMANA. CBAC EL CONTROL DE ACCESO BASADO EN CONTEXTO ES UNA SOLUCION DISPONIBLE DENTRO DEL FIREWALL DE IOS DE UN ROUTER CISCO, CBAC FILTRA INTELIGENTEMENTE LOS PAQUETES TCP Y UDP EN BASE A INFORMACION DE SESSION DE PROTOCOLO DE CAPA DE APLICACION , PROPORCIONA FILTRADO DE CAPA DE APLICACION CON ESTADOS, INCLUYENDO PROTOCOLOS QUE SON ESPECIFICOS DE APLICACIONES UNICAS, ASI COMO PROTOCOLOS Y APLICACIONES MULTIMEDIA QUE REQUIEREN MULTIPLES CANALES PARA LA COMUNICACION, COMO FTP Y H.323 POR ULTIMO LOS FIREWALL BASADOS EN ZONAS ZPF LAS INTERFACES SON ASIGNADAS A ZONAS Y LUEGO SE APLICA UNA POLITICA DE INSPECCION AL TRAFICO QUE SE MUEVE ENTRE LAS ZONAS, EL FIREWALL BASADO EN ZONAS PERMITE LA APLICACION DE DIFERENTES POLITICAS DE INSPECCION A MULTIMPLES GRUPOS DE HOST CONECTADOS A LA MISMA INTERFAZ DEL ROUTER, ASI MISMO TIENE LA HABILIDAD DE PROHIBIR TRAFICO POR MEDIO DE UNA POILITICA DE DENY ALL POR DEFECTO ENTRE LAS ZONAS DEL FIREWALL. LAS CONFIGURACIONES DE LOS DISTINTOS TIPOS DE FIREWAAL SE PUEDEN VER EL EL POSTGRADO DE ADMINISTRACION DE DISPOSITIVOS DE NETWORKING,

INICIATIVAS PARA CONTROLAR INTERNET

Mucho se ha hablado para controlar internet, muchos han querido marcar jurisprudencia respecto al mismo, muchos con criterios jurídicos pero que carecen de tecnicismos para controlar esta red de redes, los EEUU Al respecto han tratado a través de dos leyes controlar los dominios de internet atreves de la ley SOPA Y PIPA que son leyes que actualmente están suspendidas y que no fueron promulgadas y de promulgarse en este periodo tiempo marcaria una tendencia del uso de internet. también existe la ley CISPA, esta es una ley ya promulgada a diferencia de las anteriores pero es una ley que ayuda a los servicios de inteligencia en caso de ataques cyberneticos, vemos de que trata cada ley SOPA. STOP ONLINE PIRATY ACT Esta ley aun no fue promulgada fue suspendida y hay quienes creen fue creada para cerrar megaupload ya que actuaron de oficio en el mismo. Esta ley buscaría básicamente proteger los derechos de autor y la venta ilegal de medicamentos, esta contra la piratería de software ilegal, por esta ley un demandante o autor puede realizar una demanda al departamento de justicia de EEUU y con esa sola denuncia se podría actuar sobre los infractores, y cuales son la medidas que se podrían tomar analizar medios de pago es decir clausurar o cerrar tarjetas de crédito internacionales como visa y MasterCard del demandado solicitar a los buscadores como google eliminar los contenidos que posea el demandado de los motores de búsqueda Solicitar a los proveedores de internet el cierre de la cuenta del demandado sin juicio previo con la sola denuncia ante el departamento de justicia de EEUU QUE IMPLICANCIAS PUEDE TENER ESTA LEY SI ES PROMULGADA Pueden terminar siendo victima sitios, empresas, personas que no tienen intención de quebrantar la ley como por jemplo si yo tengo una pagina web y coloco un link a rapishare o megaupload podría estar infringiendo esta ley. Los ips y los buscadores pasarían a tener el rol de policía invasión de la privacidad ya que podría espiar el contenidos de nuestros blog porjemplo PIPA protect IP ACT Esta ley aun no fue promulgada Esta ley de promulgarse nos afectaría directamente ya que es mas general y esta orientada específicamente a infractores fuera de los EEIUU En esta ley las ordenes judiciales contra el demandado podrían ser restringir lazos comerciales y económicos como el cierre de una tarjeta de crédito no permitir link a una determinada pagina filtrar números de ip filtrat los dominios a través de la extructura jerarquica de una red dns esto podría provocar nuevos vectores de ataques el colapso de internet los proveedores de servicio isp y los dns actuarían de agentes policías amenazas contra la liberta de expresión migración de tecnología a paraísos que no están sujetos a esta ley CISPA CUBER INTELIGENCE SHARING AND PROTECTION ACT Esta ley si esta promulgada El objetivo de esta ley es ayudar al gobierno de EEUU investigar las amenazas cyberneticas y garantizar la seguridad de las redes contra ataques la ley habla de robo o apropiación indebida de información privada El director de inteligencia puede establecer compartir información de inteligencia cibernética que se considere amenaza del sector privado PROYECTO DATA CENTER UTAH TOP SECRET Este es un proyecto ambicioso de los EEUU que tiene fecha de lanzamiento en setiembre de 2013 El objetivo es interceptar, descifrar, desencriptar, analizar y almacenar grandes cantidades de información de las comunicaciones de todo el mundo, es decir que este proyecto podría interceptar cualquier tipo de trafico de cualquier parte de mundo y esta dotado con los últimos avances tecnológicos y la mayor base de mentes humanas inteligentes jamas vistas en un solo lugar, su función es inclusive descencriptar información cuya encriptación sean con algoritmos fuertes.