jueves, 5 de enero de 2012

Amenazas para el 2012 - IPv6

Fragmento del articulo publicado por GNC: Cyber threats in 2012: 5 pain points Este post esta enfocado a la parte IPv6, pero todo el articulo es altamente recomendable
..."
4 - IPV6


Con el agotamiento del espacio de direcciones IPv4 disponibles para la actual generación de protocolos de Internet, es inevitable que las redes comenzarán a ver un aumento en el tráfico IPv6. Los organismos han recibido el mandato de preparar sus redes para aceptar, si no se utilizan, IPv6 el 30 de septiembre de 2014. Pero hasta que no haya una cantidad importante de la vida real de tráfico IPv6 a trabajar, los administradores no pueden estar seguros de que sus herramientas de seguridad están a la altura del manejo de los paquetes IPv6, dicen los expertos.Un estudio realizado por Infoblox mostró que el porcentaje de zonas que soportan tráfico IPv6 en la com.,. Net y. Org de primer nivel aumentó de sólo un 1,3 por ciento en 2010 a más del 25 por ciento a finales de 2011. Cricket Liu, director general del Centro de Excelencia Infoblox IPv6, predijo que el soporte para IPv6 podría duplicarse de nuevo en el próximo año. Esto no quiere decir que mucha gente en realidad está utilizando IPv6 hoy, sin embargo.

"El porcentaje de tráfico IPv6, al tiempo que ha ido en aumento, todavía es muy pequeña", dijo Liu.



Pero la distribución de direcciones IPv6 se está acelerando para los usuarios inalámbricos en la región Asia-Pacífico, y el uso se incrementará en los pools existentes de direcciones IPv4 que vayan agotandose. "Tres años a partir de ahora, vamos a ver un número muy importante de las direcciones IPv6 y la cantidad de tráfico", dijo.¿Estan nuestras herramientas de seguridad preparadas para lidiar con el tráfico IPv6? Nadie lo sabe. La mayoría de productos son compatibles con IPv6, y los vendedores dicen que van a funcionar bien.

"Hay muchas demandas de igualdad por parte de los proveedores", dijo Liu. "Es muy difícil validar esas afirmaciones."


"No es fácil," agregar un nuevo conjunto de protocolos en las herramientas de seguridad, dijo Devata de RSA. Cuando se añaden, tienen que ser probados. Esto se puede hacer en laboratorios bajo entornos de pruebas, pero es fundamental poner a punto productos bajo presión en una red real, y el tráfico necesario todavía no basta, según dijo.Esta es una razón más para que los administradores deban obtener experiencia real con IPv6 lo antes posible de la inundación inevitable del tráfico nuevo. Esto no va a eliminar todas las sorpresas y las crisis, sino que le ayudará a estar listo para ellos cuando surgen."El mensaje subyacente es: usted tiene que hacer due diligence(debida diligencia) en seguridad, cuando los vendedors están reclamando paridad con IPv4", dijo Liu. "...



Fuente GNC

jueves, 18 de agosto de 2011

Vulnerabilidad en Ipv6 sobre Windows 7


Los investigadores han encontrado una falla en la forma en que Windows 7 maneja el IPv6 (uno de los principales protocolos subyacentes de Internet), diciendo que los atacantes podrían utilizar esta vulnerabilidad para destruir la PC.
La firma de seguridad Barracuda Labs dijo que alguien tendría que hacer una denegación de servicio para explotar esta vulnerabilidad, pero la explotación podría ocasionar un fallo en la conectividad de red de la PC, aplicaciones y sistema de sonido.
Microsoft ha reconocido y reportado la falla, pero ha dicho que no habrá una actualización de seguridad, porque la explotación de la vulnerabilidad es necesaria para acceder a la red local.
De acuerdo al investigador Thomas Unterleitner, de Barracuda Labs, la vulnerabilidad radica en la forma de la llamada a procedimientos remotos de Windows 7, función que se encarga de las peticiones DHCPv6. DHCP es el protocolo de configuración automática que permite a los servidores asignar direcciones IP a los clientes.
DHCPv6 es parte de IPv6, la nueva versión del protocolo de Internet que está siendo lentamente desplegada.
“Para aprovechar esta vulnerabilidad, un atacante necesita interceptar el tráfico DHCPv6“, escribió Thomas Unterleitner. “Una vez que una solicitud ha sido interceptada, la correspondiente respuesta tendría que ser modificada para incluir la búsqueda de malformaciones de dominio. En la recepción de este paquete con formato erróneo, el RPC en la máquina remota sería un fracaso. La explotación de esta vulnerabilidad podría provocar la pérdida de cualquiera de los servicios basados ​​en RPC, así como la posible pérdida de algunas funciones COM “.
Fuente: Zdnet

sábado, 14 de mayo de 2011

Que es un AS(Autonomous System) ? y como registrar uno

          Un Sistema Autónomo (AS) es un grupo de redes de direcciones IP que son gestionadas por uno o más operadores de red que poseen una clara y única política de ruteo.  Cada Sistema Autónomo tiene un número asociado el cual es usado como un identificador para el Sistema Autónomo en el intercambio de información del ruteo externo. Los protocolos de ruteo externos tales como BGP son usados para intercambiar información de ruteo entre Sistemas Autónomos.
           La expresión Sistema Autónomo es con frecuencia interpretada incorrectamente como apenas una forma conveniente de agrupar redes que están bajo de una misma gestión. Sin embargo, en el caso en que hay más de una política de ruteo en el grupo, más de un AS es necesario. Por otro lado, si el grupo de redes posee la misma política que los otros grupos, estos quedan dentro del mismo AS independientemente de la estructura de la gestión. De esta manera, por definición, todas las redes que componen un AS comparten la misma política de ruteo.
          Con el objetivo de disminuir la complejidad de las tablas rutas globales, un nuevo Número de Sistema Autónomo (ASN), debe ser asignado solamente en el caso en que una nueva política de ruteo es necesaria.
         Compartir un mismo ASN entre un grupo de redes que no están bajo la misma gestión va a requerir una coordinación adicional entre los administradores de las redes y en algunos casos, va a requerir algún nivel de rediseño de la red. Sin embargo, esta es probablemente la única forma de implementar una política de ruteo deseada.
         Para poder registrar un nuevo ASN se debe hacer la solicitud a la organizacion regional de registro de direcciones de internet que le corresponda, en mi caso es LACNIC que tiene a su cargo la zona  de America Latina y El Caribe
         LACNIC distribuirá Números de Sistema Autónomo a las organizaciones que cumplan con los siguientes requisitos:
  1. La organización debe ser multiproveedor y dichos proveedores deben tener dos o más Sistemas Autónomos independientes al momento de la solicitud, o tener programado convertirse en multiproveedor en menos de dos semanas a partir del momento de la solicitud.
  2. Enviar la documentación detallada describiendo la política de ruteo de la organización solicitante, la cual debe ser única y diferente de aquella aplicada por el ASN a la cual se conecta. Esta documentación debe incluir el protocolo de ruteo externo a ser utilizado, direcciones IP que van a componer el AS y una detallada explicación de las razones porque su política de ruteo es diferente de aquella de sus proveedores.
         Es obligación de la organización que reciba un Número de Sistema Autónomo de LACNIC, el mantener las informaciones de dirección postal y puntos de contactos actualizados.
        En el sistema WHOIS de LACNIC es posible representar hasta 3 puntos de contacto distintos que son:
    owner−c, que representa el contacto administrativo de la organización a la que el ASN fue asignado;   
    routing−c, contacto que puede registrar, a través del sistema de administración de IP y ASN, las políticas de enrutamiento adoptadas por ese Sistema Autónomo; 
    abuse−c, contacto de seguridad (Abuse Contact).
      Etapas de distribucion de ASN de LACNIC:
    1. El 1º de enero de 2007 el registro procesará las solicitudes que específicamente solicitan Números de AS sólo de 32 bits y distribuirá dichos Números de AS según lo pedido por el solicitante. En ausencia de solicitudes específicas para obtener un Número de AS sólo de 32 bits, el registro distribuirá un Número de AS sólo de 16 bits.
    2. El 1º de enero de 2009 el registro procesará las solicitudes que específicamente solicitan Números de AS sólo de 16 bits y distribuirá dichos Números de AS según lo pedido por el solicitante. En ausencia de solicitudes específicas para obtener un Número de AS sólo de 16 bits, el registro distribuirá un Número de AS sólo de 32 bits.
    3. A partir del 1o de enero de 2010 LACNIC distribuirá Números de AS sólo de 32 bits por omisión. Se asignarán Números de AS sólo de 16 bits, siempre que haya disponibilidad, en respuesta a solicitudes que explícitamente, así lo pidan y justifiquen debidamente las razones técnicas por las cuales un Número de AS sólo de 32 bits no es adecuado para sus necesidades.
               Terminologia:

               Los números de sistemas autónomos de 16 bits fueron definidos en la RFC 1930 y se utilizará para su identificación números enteros del 0 al 65535. Igualmente, los números de sistemas autónomos de 32 bits fueron definidos por la RFC 4893 y se utilizarán para su identificación números enteros del 0 al 4294967295. Utilizando en ambos casos la representación textual del valor decimal “asplain” definida en el RFC 5396.
              Consecuentemente, se tomará la siguiente terminología para ASNs de 16 y 32 bits:
      • "Números de AS sólo de 16 bits" se refiere a Números de AS en el rango de 0 – 65535
      • "Números de AS sólo de 32 bits" se refiere a Números de AS en el rango de 65536 – 4294967295
      • "Números de AS de 32 bits" se refiere a Números de AS en el rango de 0 – 4294967295

      Si necesitan saber cual/es son los ASNs vigentes en su pais(dentro de America Latina y El caribe) lo pueden consultar en ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest
        En el caso de que necesiten mas informacion acerca de este tema tienen que dirigirse a la pagina oficial de LACNIC.

        Como adicional les dejo el enlace del formulario de solicitud de un ASN