IPV6
-
Upload
claudionor-carpina -
Category
Documents
-
view
218 -
download
0
description
Transcript of IPV6
-
Formao IPv6 - Maputo
SeguranaMaputo 28 de Agosto de 2008Carlos Friaas e Pedro Lorga
-
Segurana
-
Agenda/ndice
O que h de novo no IPv6?
Ameaas
IPsec
Firewall
Concluso
-
O que h de novo no IPv6?
A Segurana foi uma preocupao desde o incio
reas que beneficiaram da forma de ver a rede trazida pelo IPv6: Ameaas ao acesso mvel e ao IP mvel
Endereos gerados Criptograficamente
Protocolos para Autenticao e Acesso Rede
IPsec
Tornar as intruses mais difceis
-
Ameaas
Escuta passiva e activa Repetio Anlise de Trfego Negao de Servio Ataque Fsico Passwords Vrus, Cavalos de Tria, Worms Acesso Acidental Desastres Naturais Engenharia Social
-
Ameaas
Scanning de Gateways e Mquinas
Scanning de Endereos Multicast No havendo broadcast possvel recorrer a outros mtodos
Spoofing
Controle de acesso no autorizado Ter em ateno a criao de listas para IPv6
-
Ameaas
Ataque ao Encaminhamento IPv6 recomendado o uso dos tradicionaismecanismos no BGP e IS-IS
O IPsec garante a segurana de protocolos comoo OSPFv3 e o RIPng
Sniffing Sem o recurso ao IPsec, o IPv6 est to expostoa este tipo de ataque como o IPv4
Mecanismos de transio Ataques especficos para diferentes mecanismos
-
Ameaas
Ataques Man-in-the-Middle Sem o uso de IPsec, este tipo de ataques em IPv6 ouIPv4 semelhante
Flooding - DDOS Idnticos em IPv4 e IPv6
Ataques ao nvel da Aplicao Actualmente, a maioria das vulnerabilidades na Internet ao nvel da aplicao, que no beneficia do uso do IPsec
-
Scanning em IPv6 Scanning = Varrimento O tamanho de cada rede incomparavelmentemaior As LANs tm 2^64 endereos. Deixa de ser razovel pesquisar por um endereosequencialmente Com 1 milho de endereos/segundo, seriam necessriosmais de 500 mil anos para percorrer todos os endereosde uma nica LAN
A ferramenta NMAP por exemplo, nem sequersuporta scanning em IPv6
-
Scanning em IPv6 Os mtodos de Scanning em IPv6 voprovavelmente evoluir Os servidores pblicos necessitam de estar registados no DNS, o
que constitui um alvo fcil Os Administradores das redes podem adoptar endereos fceis
de memorizar (por exemplo ::1,::2,::53) Os endereos EUI-64 tm uma componente fixa (de 16 bits) Os cdigos que identificam os fabricantes das placas de rede so
bem conhecidos (primeiros 24 bits do endereo MAC) Outras tcnicas incluem obteno de informao atravs de
zonas de DNS ou de logs Negar a transferncia de zona (para o mundo) prtica corrente
Ao comprometer pontos importantes da arquitectura (ex: routers), um atacante pode detectar a existncia de muitos alvos possveis
-
Scanning em IPv6 - Multicast Novos vectores de ataque Uso de endereos Multicast para emularfunes de router ou servidor DHCPv6 Todos os ns (FF02::1) Todos os routers (FF05::2) Todos os servidores DHCPv6 (FF05::5)
Estes endereos devem ser filtrados emcada ponto de fronteira Este o comportamento por omisso se o IPv6 Multicast no estiver activo no Backbone
-
Spoofing em IPv6
A maior agregao que possvel com o IPv6, torna menos complexa a filtragem paraimpedir o spoofing em pontos estratgicos darede
O aspecto negativo tem a ver com os ltimos64 bits Para identificar um utilizador atravs de um endereo IPv6, seria necessrio manterconstantemente o mapeamento entre endereosIPv6 e endereos MAC
-
Spoofing em IPv4 com 6to4 Atravs de trfego injectado da Internet IPv4 para
uma rede IPv6, recorrendo s caractersticas do mecanismo de transio 6to4 Origem IPv4: Origem IPv4 spoofed Destino IPv4: Relay 6to4 Anycast (192.88.99.1)
Origem IPv6: Origem IPv6 spoofed, com prefixo 2002:: Destino IPv6: Vlido
Rede IPv6
Internet IPv4
RedeIPv6
Atacante
relay 6to4gateway 6to4
-
Controle de acesso A implementao da poltica ainda feita nasfirewalls (ou listas de acesso nos routers)
Algumas consideraes Filtrar endereos multicast nos pontos de fronteira
Filtrar endereos IPv4 mapeados em IPv6
anyanydeny
sshanyx:y:z:w::va:b:c:d::epermit
Dst portSrc portDstSrcAction
-
Controle de acesso Criar filtros para endereos bogon
em IPv4 mais fcil negar os bogon + redesprivadas
em IPv6 mais fcil permitir os endereoslegtimos
host/net2001:db8::/32deny
serviceanyhost/net2002::/16permit
serviceanyhost/net2001::/16permit
serviceanyhost/net2003::/16permit
anyanydeny
serviceanyhost/net3ffe::/16permit
Dst portSrc portDstSrcAction
-
Encaminhamento
Devem utilizar-se as mesmas medidasde proteco que em IPv4 Autenticao de vizinhos (BGP) Filtragem de anncios invlidos Cifragem de mensagens de encaminhamento
Basicamente deve aplicar-se o mesmo nvelde segurana em IPv6 e em IPv4
Nota: ateno nos routers a todos os servios queesto a correr (ex: http,telnet, ssh). Estes devemestar tambm protegidos contra acessos indevidosem IPv6.
-
Mecanismos de Transio
H cerca de 15 mtodos com vrias combinaes possveis
Dual stack: aplicar o mesmo nvel de segurana para ambos os protocolos
Tneis iptunnel utiliza o Protocolo 41 para atravessar a firewall
tnel GRE ser mais aceitvel uma vez que jera usando anteriormente ao aparecimento do IPv6.
-
DDoS No existem endereosbroadcast em IPv6 Evita ataques atravs do envio de pacotes ICMP para o endereo de broadcast
As especificaes do IPv6 proibem a gerao de pacotes ICMPv6 em resposta a mensagens enviadas para endereosglobais multicast (com a excepo damensagem Packet too big). Muitos sistemas operativos seguem a especificao
Ainda h alguma incerteza sobre o perigo quepode ser criado por pacotes ICMPv6 com origem em endereos multicast globais
-
Mitigao de DDoS em IPv6
Ter a certeza que os sistemasimplementam o descrito no RFC 4443
Implementar filtragens recomendadasnos RFCs 2827 e 3704, entrada do sistema autnomo
Implementar filtragem entrada de pacotes IPv6 com endereos de origemIPv6 multicast na rede local
-
IPsec Mecanismos gerais de segurana IP Fornece
Autenticao Confidencialidade Gesto de Chaves necessita de uma infraestrura de chaves pblicas (PKI)
Aplicvel ao uso em LANs, e WANs pblicas & privadas, e na Internet. Definido como obrigatrio nas normas do IPv6
O IPsec no apenas um nico protocolo. O IPseccontm um conjunto de algoritmos e uma infraestrutura que permite a comunicao entre duas partes, independentemente do algoritmo apropriado para dotarde segurana essa comunicao
-
IPsec Trabalho emanado do IPsec-wg do IETF Aplica-se tanto ao IPv4 como ao IPv6 e a suaimplementao : Mandatria para IPv6 Opcional para IPv4
Modos IPsec: Transporte & Tnel Arquitectura IPsec: RFC 4301 Protocolos IPsec:
Authentication Header AH (RFC 4302) Encapsulating Security Payload - ESP (RFC 4303)
-
IPsec - Arquitectura
Polticas de Segurana: Que trfego tratado?
Associaes de Segurana: Como processado o trfego?
Protocolos de Segurana: Que protocolos(extenses do cabealho) so usados?
Gesto de Chaves: Internet Key Exchange(IKE)
Algoritmos: Autenticao e Cifragem
-
IPsec - Modos
Modo de Transporte
Acima do nvel IP
Apenas o payload dos datagramas IP so protegidos
Modo de Tnel
IP dentro de IP
Todos osdatagramas queatravessam o tnelso protegidos
-
IPsec : Gesto de Chaves
Manual Chaves configuradas em cada sistema
Automtica: IKEv2 (Internet Key Exchangev2, RFC 4306) Negociao da Associao de Segurana: ISAKMP Diferentes blocos (payloads) so ligados a seguir aocabealho ISAKMP
Protocolos de Troca de Chaves: Oakley, Scheme
Algoritmos: Autenticao e Cifragem
-
Proteco Firewalls IPv6 IPv6 & Firewalls
No elimina a segurana IPv4, se ela existir O processo do firewall IPv6 em geral separado do firewall IPv4, mas pode ser efectuado no mesmoequipamento o caso da FCCN (Checkpoint & Cisco PIX -- no futuro)
Sem necessidade de gerir NATs Mesmo nvel de segurana e privacidade Segurana fim-a-fim com recurso a IPsec
Suporte de transio e coexistncia IPv4/IPv6
-
Internet
Router
Firewall
Rede Protegida
DMZ
Firewall IPv6 arquitectura #1
Internet router firewall Rede Requisitos:
Firewall tem que suportar filtragem de pacotes Neighbor Discovery
Firewall tem que suportar filtragem de pacotes de Anncio de Router
Firewall tem que suportar o protocolo MLD, se o Multicast usado
-
Firewall IPv6 arquitectura #2
Internet firewall router Rede Requisitos:
Firewall tem que suportar filtragem de pacotes ND
Firewall tem que suportar filtragem de protocolos dinmicos de encaminhamento (i.e. BGP, OSPF, IS-IS)
Firewall idealmente ter uma multiplicidade de interfaces
Internet
Router
Firewall
Rede Protegida
DMZ
-
Firewall IPv6 arquitectura #3
Internet firewall/router Rede Requisitos
Apenas um ponto para funes de routing e implementaode polticas de segurana comum em ambientes SOHO
Necessita suporte de todas as funes de router e tambmde firewall
Internet
Router
Firewall
Rede Protegida
DMZ
-
Concluso O IPv6 pode potencialmente melhorar a segurana na Internet
Os elementos necessrios infraestrutura IPv6 Firewalls, Routers, DNS, etc.
j esto prontos para serem utilizados com segurana
Prestar a mesma ateno segurana em IPv6 do que em IPv4. Apesar de no haver muitos ataques em IPv6 actualmente, eles iro certamente crescer no futuro.
-
Obrigado !
Questes ?