Dificultades por la falta de implementación del protocolo IPv6

IPv6 supone una gran cantidad de cambios y de mejoras en todos los ámbitos, velocidad,
seguridad, etcétera. Desaparecen protocolos como ARP, aparecen otros nuevos como
ICMPv6, DHCPv6, NDP y cambia la forma en la que trabajamos en la capa de red.

Afecta sobre todo a las IP’s públicas y por tanto a los dispositivos que están conectados a
Internet, y no a las redes locales de las empresas para las cuales no hay problema por el
agotamiento de las direcciones IP versión 4.

En realidad no es así, actualmente y debido a que se procura la rápida utilización de este

nuevo protocolo, IPv6 viene implantado en muchos sistemas operativos actuales: Windows
XP desde el Service Pack 2, (aunque hay que activarlo manualmente), Windows Vista y las
versiones posteriores como Windows 7, 8 traen IPv6 activado por defecto, las versiones
Server de Windows, también vienen con IPv6 activado por defecto. En Linux desde el
kernel 2.6 viene con IPv6 activado por defecto. Es decir, lo que realmente está funcionando
en las conexiones SMB, DNS o incluso web de la Intranet, es protocolo IPv6.

IPv6 en nuestro sistema operativo

No sólo en el ámbito de los sistemas operativos de escritorio, los demás dispositivos que se
conectan a la red también contemplan la posibilidad de utilizar IPv6, por ejemplo los
dispositivos de Cisco soportan IPv6 de manera completa desde la versión 15 de su iOS
aunque anteriormente ya la soportaban en menor grado. Los firewall, los IDS, los sniffers,
los terminales móviles, tabletas, y otros dispositivos también soportan IPv6. El problema
no viene de la falta de soporte, el problema viene del desconocimiento de los usuarios y
peor aún, de los técnicos, de qué tipo de funcionalidad IPv6 soportan los dispositivos con
los que trabajamos.

El que un dispositivo soporte IPv6 y que no se configure adecuadamente dicho soporte, es

lo que genera una gran cantidad de vulnerabilidades que al ser desconocidas e ignoradas,
dejan nuestra red expuesta a múltiples tipos de ataques de los que somos ignorantes.

IPv6 en el administrador de dispositivos

Si buscamos el “Administrador de dispositivos” que nos proporciona cualquier sistema

operativo de una CPU, escogiendo las opciones “Ver / Mostrar dispositivos ocultos” y
desplegando la categoría “Adaptadores de red”,
veremos lo siguiente:

1
Adaptador 6to4, Adaptador ISATAP, los cuales nos permiten establecer túneles IPv6 sobre
IPv4 sin que nos enteremos de ello. Esto implica que en este momento alguien podría tener
establecido un túnel IPv6 contra nuestro equipo y no lo sabríamos.

IPv6 y la precedencia de protocolos

En la implantación de IPv6 se ha tenido en cuenta lo que se llama la “Precedencia de

protocolos” lo cual puede hacer que nuestro equipo pase a funcionar en modo IPv6 en
cualquier momento, sin avisarnos y por tanto escapando a nuestro control.

En otras palabras, el sistema operativo da precedencia a IPv6 sobre IPv4 si es posible

utilizar este protocolo, lo cual ya supone una pérdida de tiempo, recursos, ancho de banda
en intentar comprobar si puede establecer la comunicación mediante IPv6 antes de pasar a
IPv4.
Cuando tecleamos una URL en el navegador, primero intenta resolver dicha URL a una IP
de IPv6 mediante consulta a servidores DNS de IPv6 que utilizan registros AAAA; si no es
posible, la intenta resolver consultando a los servidores DNS de IPv4.

Más detalles a tener en cuenta…

IPv6 permite que una interfaz tenga más de una dirección IP, algunas como las de enlace
local FE80:: tienen un ámbito de red local, otras tienen ámbito global como 2001::/64, de
este último tipo, un interfaz puede tener todas las que quiera. Las IP’s de ámbito global son
las que nos permiten comunicarnos a través de internet a nivel mundial y son públicas por
definición, es decir son visibles desde cualquier punto de Internet.
Para facilitar la utilización de las nuevas IP’s del protocolo IPv6, tenemos varios
mecanismos de autoconfiguración:

 Stateful, este método necesita que haya un servidor DHCPv6 disponible en la red,
para ello el dispositivo que tiene habilitado IPv6 al ser conectado a una red envía
mensajes de solicitud de configuración de su interfaz para IPv6 igual que hace con
IPv4.
 Stateless, SLAAC (Stateless Address Automatic Configuration) es un protocolo de
configuración de direcciones IPv6 mediante mensajes enviados desde el router de
conexión, y no desde un servidor DHCPv6. Un equipo con una dirección IPv6 de
vínculo local Link-Local, es decir FE80::, no puede enrutar su tráfico si no tiene una
dirección IPv6 de sitio o global, y es por eso que los routers envían mensajes RA
(Router Advertisement) diciéndole a los equipos cómo configurase para tener
conectividad a través de ellos.

En SLAAC, cuando un dispositivo recibe un mensaje de tipo Router Advertisement

anunciándole que se auto-configure una IP para la red indicada, lo hace inmediatamente,
sin comprobar la veracidad de la información. Un equipo al recibir mediante un RA la

2
dirección de red 2001:2000:a:b::/64, se configura automáticamente una IP de IPv6
utilizando el método EUI-64 o EUI-64 modificado que toma como modelo la dirección
física MAC del equipo, añadiendo al interfaz una nueva dirección IP de IPv6 de ámbito
global, algo similar a esto: 2001:2000:a:b:baac:6fff:fea1:ffb3.
La mayoría de sistemas operativos no recogen la dirección MAC como modelo, sino que se
auto-asignan una dirección IPv6 de host de manera aleatoria, de hecho, se podrían tener dos
IPv6 públicas:

 La primera IPv6, que es con la que se navega por Internet generada aleatoriamente
 La segunda IPv6, que es para acceder por ejemplo a nuestro servidor desde fuera,
sin necesidad de usar No-IP ya que simplemente debemos saber el rango de red /64
que nos asigna nuestro operador, y saber la MAC de nuestra tarjeta de red para
hacer el EUI-64.

No hay número límite como tal para el número de direcciones IP añadidas mediante RA
(solo limitaría el prefijo de red), por lo que mediante el programa adecuado, se puede
saturar el equipo atacado y quedar fuera de uso, un ataque de denegación de servicio fácil y
efectivo.
La primera vez que son conectados a una red, el nodo envía una solicitud de router de link-
local usando multicast (router solicitation) pidiendo los parámetros de configuración; y si
los routers están configurados para esto, responderán este requerimiento con un “anuncio
de router” (router advertisement) que contiene los parámetros de configuración de capa de
red. El dispositivo del usuario al ser conectado a una red también está configurado de forma
que envía mensajes multicast del tipo FE02::2 RS, (Router Solicitation), que son
procesados por todos los routers conectados a la red, pidiéndoles que le envíen la
configuración de la red que tienen que utilizar para conectarse a internet. Si el router tiene
configurado algún interfaz con IPv6, responderá inmediatamente enviando al dispositivo un
mensaje RA, conteniendo la dirección de red para que el dispositivo pueda enrutar sus
paquetes.
Concretando un poco más, el problema está en que los sistemas operativos y todos los
dispositivos que conectamos a nuestra red posiblemente ya soporten IPv6, pero se deja sin
configurar y sin controlar todo lo referente a este nuevo protocolo.
Por ejemplo, sería posible instalar un servidor de DHCPv6 en una red local para que
configure la interfaz de los dispositivos con una IP de IPv6 además de la IP de IPv4 que
legítimamente le asigna el servidor DHCP de la red corporativa, de esta forma podríamos
configurar un equipo agresor como puerta de enlace de la máquina interceptada a la que le
hemos dado una configuración incorrecta de IPv6 de forma que todo el tráfico dirigido al
exterior de la red local, pasaría por la máquina atacante.
En la mayoría de los casos no se controla el tráfico IPv6, por lo que se podría fácilmente
establecer un Man In The Middle (MITM) que reenviaría todo el tráfico sin enterarnos, ya
que por IPv4 todo se mostraría como normal.

3
Por lo tanto, podemos concluir que IPv6 es un protocolo que viene implantado en la
mayoría de productos y dispositivos que utilizamos en informática pero que, o bien por
desconocimiento, o por otros motivos, no se configura adecuadamente y crea una situación
de vulnerabilidad que no podemos descuidar.

Fuente:
https://www.redeszone.net/2017/01/08/mejor-deshabilitar-protocolo-ipv6-no-lo-utilizamos/