SEGURIDAD EN IPV6

SEGURIDAD IPV6  IPv6 comenzo como ip next generation , se inicio con su desarrollo en 1995, en la actualidad ipv6 se esta convirtiendo en una realidad, los software que implementan ipv6 son nuevos y todavía no han sido testeados lo suficiente para considerarlos confiables, los diferentes vedors ya han publicado vulnerabilidades de ipv6, en Ipv4 las identificaciones de redes y host se hacían in-line, dando lugar a spoofing, sesión hijacking y Dos, hoy esto sigue ocurriendo en IPV6, no se ha modificado, también ya existen worm para ipv6 y software exploit como scapy6 o ipv6 toolkit, ipv6 al igual que ipv4 mantienen el mismo concepto de arquitectura de redes, por lo que aspectos como asegurar perímetros o amenazas internas deben seguir teniéndose en cuenta. IPV6 es susceptible a casi todos los mismo ataques que ipv4, y se le agregan nuevos inherentes debido a las funcionalidades de networking discovery, se deberían filtrar los protocolos de networking discoveries en los borders gateways, al permit multicast ipv6 como por jemplo en dhcp , permite a un atacante obtener información de toda una red con un solo query. Hoy en día es necesario que un firewall sea adaptable a IPv6. Inclusive durante la implementación del protocolo, debe haber detección de protocolo y filtrado IPv6 e IPv4DHCP en IPv6 funciona en forma similar al IPv4 .Es suceptible a los mismos ataques que en IPv4. Starvation El intruso envía solicitudes como si fuera diferentes clientes, saturando la cantidad de direcciones. Con la cantidad de direcciones en IPv6 este tema se minimiza, pero debe ser tenido en cuenta Por mas variedad de direcciones que exista, si el pool de direcciones a entregar es chico, entonces es suceptible al ataque. Debe achicarse el timestamp para que libere con mas rapidez o por idle-time Ataque DoS Se le envian una cantidad muy grande de peticiones, en forma constante forzando al servidor a no poder soportar la carga y dejarlo fuera de servicio. Para esto, se puede configurar la red con QoS y asignarle una sección pequeña del ancho de banda al DHCP. Esto se puede realizar con los comandos CLASS-MAP Scanning Cuando un DHCP server entrega direcciones contiguas, un intruso en el local-link puede predecir direcciones válidas o ya en desuso para ingresar en la red. Para eso, existen versiones de software de DHCP servers (Ej: Cisco Network Registrar) que entregan las direcciones de un pool en forma aleatoria Misinformation (Rogue DHCP Server) En este caso, un host se hace pasar por un DHCP en la red, enviando información de configuración DHCP dejando a un host fuera de servicio o situarlo dentro de su propio local-link. Este tipo de ataques se utilizaban para ingresar en redes protegidas por NAP de Microsoft o NAC de Cisco. Una forma de mitigarlo es con autenticación. Algunos DHCP server lo ofrece y está explícito en la RFC 3315. Para esto deben existir una adecuada administración de pre-shared keys, y sus respectivos reemplazos por antiguedad. Otra forma de reducir el riesgo es con una minuciosa y adecuada configuración de VLANs