Obstáculos en el camino
Como sabe, la introducción de IPv6 es bastante lenta: aproximadamente el 21% de los sitios admiten trabajar con él. Los expertos esperan que la migración masiva al protocolo de próxima generación ocurra no antes de diez años. Hay varias razones para esto: son dificultades técnicas y financieras, así como la presencia de NAT, que «suaviza» la escasez de direcciones IPv4. Sin embargo, el proceso también se ve frenado por momentos relacionados con la seguridad de la información.
El lanzamiento oficial de IPv6 tuvo lugar hace casi diez años, pero los ingenieros siguen encontrando vulnerabilidades en la pila técnica. Entonces, en 2020, se descubrió un error relacionado con ICMPv6, que utiliza el mecanismo de anuncio de enrutador (CVE-2020-16898).
Uno de los problemas más recientes fue identificado por especialistas del Instituto de Informática de la Sociedad Max Planck a finales de marzo. Según su informe, los dispositivos que utilizan el mecanismo EUI-64 para generar un identificador de interfaz (la segunda parte de una dirección IPv6) comprometen la red en la que se encuentran.
?Como ocurrió esto?
Existe un mecanismo SLAAC que permite que un dispositivo obtenga información de prefijo de un enrutador sin la ayuda de un protocolo para configurar hosts DHCPv6. Esta información y el identificador de interfaz (IID) de 64 bits son necesarios para obtener una dirección de red IPv6 única.
Una forma de generar un IID único es generarlo en función de la dirección MAC del dispositivo (mecanismo EUI-64). Pero este enfoque ahora se considera no solo poco confiable, sino incluso peligroso, ya que revela el identificador de hardware a nivel de red. Por lo tanto, la comunidad ha desarrollado extensiones especiales para la pila IPv6, por ejemplo, descritas en RFC4941, que «aleatorizan» la parte de la dirección elegida por el host. Al mismo tiempo, los ISP están falsificando prefijos de direcciones para mayor protección.
Pero, desafortunadamente, varios desarrolladores de hardware, en su mayoría dispositivos IoT, todavía usan EUI-64 «puro» para generar IID. Con él, los atacantes pueden determinar el fabricante de un dispositivo de red (y, como resultado, las posibles vulnerabilidades), así como monitorear otros dispositivos en la red utilizando el mismo IID.
Cómo resolver el problema
En general, la solución al problema recae sobre los hombros de los desarrolladores de hardware y software: deben prestar atención a la seguridad de la información de los dispositivos y habilitar los mecanismos de protección disponibles de forma predeterminada.
Según los expertos, el problema también se puede resolver a nivel gubernamental si los reguladores exigen que los proveedores certifiquen los productos para cumplir con los estándares que permiten cerrar las vulnerabilidades EUI-64. Al mismo tiempo, los ISP pueden probar los enrutadores antes de entregárselos a sus clientes.