Inicio Bienvenido
Información
Obtén tus Recursos IPV6
Comunidad
¿Quiénes Somos? NICMX
Como proteger el cambio a redes IPv6
Conforme las organizaciones se sigan moviendo hacia IPv6, la combinación de falta de experiencia con el protocolo y diferentes niveles de soporte entre las aplicaciones de seguridad puede crear vulnerabilidades. Es más, muchos dispositivos de red vienen ya con IPv6 habilitado.
IPv4 e IPv6 tienen diferentes preocupaciones de seguridad, e IPv6 no debe considerarse mejor que su predecesor desde una perspectiva de seguridad. Siga estos consejos para protegerse de los riesgos de seguridad inherentes a las implementaciones de IPv6.
1 . Reconocer los riesgos de las configuraciones de doble pila.
En una configuración de doble pila , un dispositivo admite simultáneamente IPv4 e IPv6. Las reglas de los firewalls y otros controles de seguridad que detienen el tráfico no deseado en IPv4, es improbable que sean eficaces para detener tráfico IPv6, por lo que las organizaciones suelen necesitar tecnologías de seguridad paralelas para afrontar esta nueva situación.
Sin estas tecnologías, IPv6 está en alto riesgo de ser utilizado para comprometer o abusar de un dispositivo, creando posibles riesgos de seguridad que podrían no ser detenidos o detectados.
2 . Deshabilitar y bloquear IPv6 en lo que no se necesita.
Una práctica de seguridad general es desactivar todos los protocolos de red innecesarios. Sin embargo, incluso si una agencia tiene una política contra el uso de IPv6, puede encontrar que algunos dispositivos están habilitados para el uso de IPv6 de todos modos.
El nuevo hardware a menudo viene con IPv6 habilitado automáticamente por omisión. Y dada la creciente popularidad de traer su propio dispositivo al trabajo, es probable que algunos de éstos tendrán IPv6 habilitado.
Deshabilite IPv6 en dispositivos de propiedad del gobierno cuando no es necesario y bloquee todo el tráfico IPv6 no deseado en las redes inalámbricas y huésped.
3 . Limite las formas permitidas de Túneles IPv6.
El tunneling encapsula los paquetes IPv6 dentro de paquetes IPv4. Cada forma permitida de túneles IPv6 presenta un vector de ataque adicional y puede ocultar el tráfico del examen de seguridad.
Configure el firewall para permitir sólo las formas de túneles IPv6 que el departamento de TI autoriza y bloquee el resto. Además, acomode todos los túneles de IPv6 de manera que sus contenidos internos sean examinados por firewalls, sistemas de detección de intrusiones de software anti-malware, y otros controles de seguridad de red.
4 . Compensar la pérdida de la traducción de direcciones de red.
La traducción de direcciones de red (NAT) es una tecnología de red IPv4 de uso común que, como efecto secundario de su función, proporciona una capa de protección frente a los dispositivos habilitados para IPv4 mediante la ocultación de ellos del contacto directo con las redes externas. Por desgracia, ya que no hay contrapartida de NAT en dispositivos IPv6, los que fueron protegidos previamente por NAT podrían ahora estar directamente expuestos a los ataques.
Esto es particularmente cierto en las redes domésticas, donde no hay otros controles de seguridad perimetral en el lugar. Para mitigar esto, asegúrese de que cualquier dispositivo que ejecuta IPv6 esté protegido por un firewall en el host o en la red, que bloquee de tráfico entrante no deseado.
5 . Verifique las capacidades de IPv6 de herramientas de seguridad y administración.
Muchos host y redes de seguridad existentes y las herramientas de administración podrían no proveer soporte completo para IPv6. Si permite el uso de IPv6 en su red, asegúrese de que cada herramienta se puede manejar adecuadamente la actividad en IPv6. Por ejemplo, ¿el software de log es capaz de llevar registro de direcciones IPv6 o sólo de IPv4?, ¿las herramientas de gestión de seguridad de la red son capaces de agrupar múltiples direcciones IPv6 asignadas a un mismo dispositivo?
Evalúe sus herramientas para asegurarse de que funcionan correctamente antes de implementar IPv6.