Comprobando la seguridad de los cortafuegos y proxies con IPv6
Publicado por Pedro C. el 18-07-2012
Ante el cambio que se nos avecina, es necesario comprobar si nuestros cortafuegos y proxies se encuentran preparados para el futuro.
Hasta ahora, el administrador de sistemas tan sólo se ha preocupado normalmente de securizar todo con IPv4 olvidando que cualquier equipo más o menos actual, salvo un Win95, Win98... tiene la posibilidad de conectar por IPv6 a donde quiera, eludiendo la mayoría de configuraciones preparadas exclusivamente para IPv4. Como todavía nuestros proveedores habituales no nos entregan los esperados /48 de IPv6, pues estamos tranquilos hasta el cambio.
Sin embargo, veremos en éste artículo cómo podemos conectar y comprobar si nuestras reglas se encuentran preparadas para el futuro. No es objeto hoy especificar otros tipos de configuraciones más avanzadas y que nos permitirán mucho más. Es tan sólo nuestro "lanzamiento al futuro" con un túnel Teredo en Windows o Miredo en GNU/Linux. Simplemente, el túnel nos permitirá bajo NAT o cualquier IP privada, establecer una conexión IPv6 viajando encapsulada en IPv4 y poder emplear desde ahora mismo, una IPv6 pública para nuestros propósitos.
Procedimiento en Microsoft© Windows
En principio, tendremos que habilitar el soporte a la pila IPv6 desde la ventana de las propiedades de conexión. Sólo es necesario si es un XP SP2 o superior. El resto lo tienen incorporado "de serie" y activo aunque no viene mal que miremos si lo tenemos activo. En caso de un XP sin ningún SP, desde el prompt de sistema pondremos "ipv6 install". Si contamos con XP SP1, tendremos que instalar el "Microsoft IPv6 Developer Edition" desde la ventana de Propiedades de Conexión.
Ahora, con privilegios administrativos, abriremos un prompt desde Inicio, Ejecutar, CMD.
Escribiremos "netsh int ipv6 show int" y buscaremos la interface "Teredo Tunneling Pseudo-Interface" observando a la izquierda un número de índice que nos quedaremos. Por ejemplo, en mi caso es la 99. Veremos el "State" que pondrá Connected o Disconnected. Sea lo que sea que ponga por alguna política extraña o alguna aplicación que lo ha desactivado, en cualquier caso pondremos "netsh int ipv6 set teredo client teredo-debian.remlab.net"
Ahora, pondremos "netsh int ipv6 show teredo" y automáticamente veremos que estamos conectados. Ahora, escribiremos "netsh int ipv6 show addr" y en la interface 99 veremos que tenemos una IPv6 "public". La buena noticia es que conforme ha implementado Microsoft la pila, esta conexión no se registra en el DNS por lo que el administrador no tiene constancia de ella (salvo que contemos con IDS/IPS). La mala, es que no tenemos ruta IPv6 para salir al mundo y hay que hacerlo "de forma manual".
Escribiremos "netsh int ipv6 add route ::/0 interface=99" y ya podremos alcanzar el nuevo mundo! Probablemente, os diga que ya existe, porque hemos forzado a conectar a un servidor y la habrá creado. Podeis mirar las rutas con "netsh int ipv6 show route".
Ahora, probemos con "ping -6 ipv6.google.com" y conectemos con el navegador a "ipv6test.google.com" para ver si nos deja. Si teneis proxy, quitarlo. Si os funciona, habreis saltado las reglas del cortafuegos. Dejar el equipo encendido y probar desde "casa" a hacer ping a la IPv6 que teneis... si se vinculara un servidor de torrent, compartir archivos y carpetas, etc... a la dirección IPv6 que tenemos, no se qué pasaría...
Si nos interesara deshabilitar dicha interface, escribiremos "netsh int ipv6 set state disabled". En caso de querer dejar el sistema como estaba, pondremos "netsh int ipv6 reset" y reiniciamos el equipo.
Procedimiento en GNU/Linux
La complicación es poner "sudo apt-get install miredo" (el protocolo teredo para GNU/Linux) o bien instalar el paquete rpm (fedora, etc..)
Editaremos el fichero de configuración "sudo vi /etc/miredo.conf" y cambiaremos la línea donde pone ServerAddress por "ServerAddress teredo.ipv6.microsoft.com". Guardamos y escribimos "/etc/init.d/miredo restart" o aquel comando necesario para reiniciar el servicio de nuestra distribución como "service miredo restart".
Ahora, podremos probar igualmente "ping6 ipv6.google.com", etc...
Para quitarlo, pondremos "sudo apt-get remove miredo"
En ambos casos, si probais http://www.madesyp.com/ipv6, vereis que os dice que contais con IPv4 igual que google os indica que "no teneis IPv6 pero estais preparados"...
A quien primero mande por email a ex-alumnos@madesyp.com una captura del test de madesyp con IPv6 (superponiendo el prompt del sistema donde se vea la IPv6 con "netsh int ipv6 show addr" al lado de la ip que muestra la página) ***LE REGALAMOS UNA PLAZA COMPLETAMENTE GRATUITA EN EL SIGUIENTE CURSO DE IPv6***
Y también quien primero nos diga en ex-alumnos@madesyp.com por qué el test de conectividad detecta IPv4 en vez de IPv6 ***TENDRA OTRA PLAZA GRATUITA EN EL MISMO CURSO***.
Finalmente, no es la mejor forma de conectar a las nuevas redes IPv6, pero hasta que no estemos suficientemente preparados para el cambio, podemos emplearlo para tener conectividad IPv6.
Os recordamos, que durante Julio y Agosto estamos impartiendo Formación Privada en Seguridad y Técnicas de Hacking con IPv6. Toda la información la teneis en http://www.madesyp.com/privada