IPV6

Formao IPv6 - Maputo

SeguranaMaputo 28 de Agosto de 2008Carlos Friaas e Pedro Lorga

Segurana

Agenda/ndice

O que h de novo no IPv6?

Ameaas

IPsec

Firewall

Concluso

O que h de novo no IPv6?

A Segurana foi uma preocupao desde o incio

reas que beneficiaram da forma de ver a rede trazida pelo IPv6: Ameaas ao acesso mvel e ao IP mvel

Endereos gerados Criptograficamente

Protocolos para Autenticao e Acesso Rede

IPsec

Tornar as intruses mais difceis

Ameaas

Escuta passiva e activa Repetio Anlise de Trfego Negao de Servio Ataque Fsico Passwords Vrus, Cavalos de Tria, Worms Acesso Acidental Desastres Naturais Engenharia Social

Ameaas

Scanning de Gateways e Mquinas

Scanning de Endereos Multicast No havendo broadcast possvel recorrer a outros mtodos

Spoofing

Controle de acesso no autorizado Ter em ateno a criao de listas para IPv6

Ameaas

Ataque ao Encaminhamento IPv6 recomendado o uso dos tradicionaismecanismos no BGP e IS-IS

O IPsec garante a segurana de protocolos comoo OSPFv3 e o RIPng

Sniffing Sem o recurso ao IPsec, o IPv6 est to expostoa este tipo de ataque como o IPv4

Mecanismos de transio Ataques especficos para diferentes mecanismos

Ameaas

Ataques Man-in-the-Middle Sem o uso de IPsec, este tipo de ataques em IPv6 ouIPv4 semelhante

Flooding - DDOS Idnticos em IPv4 e IPv6

Ataques ao nvel da Aplicao Actualmente, a maioria das vulnerabilidades na Internet ao nvel da aplicao, que no beneficia do uso do IPsec

Scanning em IPv6 Scanning = Varrimento O tamanho de cada rede incomparavelmentemaior As LANs tm 2^64 endereos. Deixa de ser razovel pesquisar por um endereosequencialmente Com 1 milho de endereos/segundo, seriam necessriosmais de 500 mil anos para percorrer todos os endereosde uma nica LAN

A ferramenta NMAP por exemplo, nem sequersuporta scanning em IPv6

Scanning em IPv6 Os mtodos de Scanning em IPv6 voprovavelmente evoluir Os servidores pblicos necessitam de estar registados no DNS, o

que constitui um alvo fcil Os Administradores das redes podem adoptar endereos fceis

de memorizar (por exemplo ::1,::2,::53) Os endereos EUI-64 tm uma componente fixa (de 16 bits) Os cdigos que identificam os fabricantes das placas de rede so

bem conhecidos (primeiros 24 bits do endereo MAC) Outras tcnicas incluem obteno de informao atravs de

zonas de DNS ou de logs Negar a transferncia de zona (para o mundo) prtica corrente

Ao comprometer pontos importantes da arquitectura (ex: routers), um atacante pode detectar a existncia de muitos alvos possveis

Scanning em IPv6 - Multicast Novos vectores de ataque Uso de endereos Multicast para emularfunes de router ou servidor DHCPv6 Todos os ns (FF02::1) Todos os routers (FF05::2) Todos os servidores DHCPv6 (FF05::5)

Estes endereos devem ser filtrados emcada ponto de fronteira Este o comportamento por omisso se o IPv6 Multicast no estiver activo no Backbone

Spoofing em IPv6

A maior agregao que possvel com o IPv6, torna menos complexa a filtragem paraimpedir o spoofing em pontos estratgicos darede

O aspecto negativo tem a ver com os ltimos64 bits Para identificar um utilizador atravs de um endereo IPv6, seria necessrio manterconstantemente o mapeamento entre endereosIPv6 e endereos MAC

Spoofing em IPv4 com 6to4 Atravs de trfego injectado da Internet IPv4 para

uma rede IPv6, recorrendo s caractersticas do mecanismo de transio 6to4 Origem IPv4: Origem IPv4 spoofed Destino IPv4: Relay 6to4 Anycast (192.88.99.1)

Origem IPv6: Origem IPv6 spoofed, com prefixo 2002:: Destino IPv6: Vlido

Rede IPv6

Internet IPv4

RedeIPv6

Atacante

relay 6to4gateway 6to4

Controle de acesso A implementao da poltica ainda feita nasfirewalls (ou listas de acesso nos routers)

Algumas consideraes Filtrar endereos multicast nos pontos de fronteira

Filtrar endereos IPv4 mapeados em IPv6

anyanydeny

sshanyx:y:z:w::va:b:c:d::epermit

Dst portSrc portDstSrcAction

Controle de acesso Criar filtros para endereos bogon

em IPv4 mais fcil negar os bogon + redesprivadas

em IPv6 mais fcil permitir os endereoslegtimos

host/net2001:db8::/32deny

serviceanyhost/net2002::/16permit



anyanydeny

serviceanyhost/net3ffe::/16permit

Dst portSrc portDstSrcAction

Encaminhamento

Devem utilizar-se as mesmas medidasde proteco que em IPv4 Autenticao de vizinhos (BGP) Filtragem de anncios invlidos Cifragem de mensagens de encaminhamento

Basicamente deve aplicar-se o mesmo nvelde segurana em IPv6 e em IPv4

Nota: ateno nos routers a todos os servios queesto a correr (ex: http,telnet, ssh). Estes devemestar tambm protegidos contra acessos indevidosem IPv6.

Mecanismos de Transio

H cerca de 15 mtodos com vrias combinaes possveis

Dual stack: aplicar o mesmo nvel de segurana para ambos os protocolos

Tneis iptunnel utiliza o Protocolo 41 para atravessar a firewall

tnel GRE ser mais aceitvel uma vez que jera usando anteriormente ao aparecimento do IPv6.

DDoS No existem endereosbroadcast em IPv6 Evita ataques atravs do envio de pacotes ICMP para o endereo de broadcast

As especificaes do IPv6 proibem a gerao de pacotes ICMPv6 em resposta a mensagens enviadas para endereosglobais multicast (com a excepo damensagem Packet too big). Muitos sistemas operativos seguem a especificao

Ainda h alguma incerteza sobre o perigo quepode ser criado por pacotes ICMPv6 com origem em endereos multicast globais

Mitigao de DDoS em IPv6

Ter a certeza que os sistemasimplementam o descrito no RFC 4443

Implementar filtragens recomendadasnos RFCs 2827 e 3704, entrada do sistema autnomo

Implementar filtragem entrada de pacotes IPv6 com endereos de origemIPv6 multicast na rede local

IPsec Mecanismos gerais de segurana IP Fornece

Autenticao Confidencialidade Gesto de Chaves necessita de uma infraestrura de chaves pblicas (PKI)

Aplicvel ao uso em LANs, e WANs pblicas & privadas, e na Internet. Definido como obrigatrio nas normas do IPv6

O IPsec no apenas um nico protocolo. O IPseccontm um conjunto de algoritmos e uma infraestrutura que permite a comunicao entre duas partes, independentemente do algoritmo apropriado para dotarde segurana essa comunicao

IPsec Trabalho emanado do IPsec-wg do IETF Aplica-se tanto ao IPv4 como ao IPv6 e a suaimplementao : Mandatria para IPv6 Opcional para IPv4

Modos IPsec: Transporte & Tnel Arquitectura IPsec: RFC 4301 Protocolos IPsec:

Authentication Header AH (RFC 4302) Encapsulating Security Payload - ESP (RFC 4303)

IPsec - Arquitectura

Polticas de Segurana: Que trfego tratado?

Associaes de Segurana: Como processado o trfego?

Protocolos de Segurana: Que protocolos(extenses do cabealho) so usados?

Gesto de Chaves: Internet Key Exchange(IKE)

Algoritmos: Autenticao e Cifragem

IPsec - Modos

Modo de Transporte

Acima do nvel IP

Apenas o payload dos datagramas IP so protegidos

Modo de Tnel

IP dentro de IP

Todos osdatagramas queatravessam o tnelso protegidos

IPsec : Gesto de Chaves

Manual Chaves configuradas em cada sistema

Automtica: IKEv2 (Internet Key Exchangev2, RFC 4306) Negociao da Associao de Segurana: ISAKMP Diferentes blocos (payloads) so ligados a seguir aocabealho ISAKMP

Protocolos de Troca de Chaves: Oakley, Scheme

Algoritmos: Autenticao e Cifragem

Proteco Firewalls IPv6 IPv6 & Firewalls

No elimina a segurana IPv4, se ela existir O processo do firewall IPv6 em geral separado do firewall IPv4, mas pode ser efectuado no mesmoequipamento o caso da FCCN (Checkpoint & Cisco PIX -- no futuro)

Sem necessidade de gerir NATs Mesmo nvel de segurana e privacidade Segurana fim-a-fim com recurso a IPsec

Suporte de transio e coexistncia IPv4/IPv6

Internet

Router

Firewall

Rede Protegida

DMZ

Firewall IPv6 arquitectura #1

Internet router firewall Rede Requisitos:

Firewall tem que suportar filtragem de pacotes Neighbor Discovery

Firewall tem que suportar filtragem de pacotes de Anncio de Router

Firewall tem que suportar o protocolo MLD, se o Multicast usado


Internet firewall router Rede Requisitos:

Firewall tem que suportar filtragem de pacotes ND

Firewall tem que suportar filtragem de protocolos dinmicos de encaminhamento (i.e. BGP, OSPF, IS-IS)

Firewall idealmente ter uma multiplicidade de interfaces

Internet

Router

Firewall

Rede Protegida

DMZ


Internet firewall/router Rede Requisitos

Apenas um ponto para funes de routing e implementaode polticas de segurana comum em ambientes SOHO

Necessita suporte de todas as funes de router e tambmde firewall

Internet

Router

Firewall

Rede Protegida

DMZ

Concluso O IPv6 pode potencialmente melhorar a segurana na Internet

Os elementos necessrios infraestrutura IPv6 Firewalls, Routers, DNS, etc.

j esto prontos para serem utilizados com segurana

Prestar a mesma ateno segurana em IPv6 do que em IPv4. Apesar de no haver muitos ataques em IPv6 actualmente, eles iro certamente crescer no futuro.

Obrigado !

Questes ?

IPV6

Documents

Transcript of IPV6