Professional Documents
Culture Documents
Fernando Gont
Congreso de Seguridad en Cmputo 2011 Ciudad de Mxico, Mexico. Noviembre 18-25, 2011
Acerca de...
UK NISCC (National Infrastructure Security Co-ordination Centre) UK CPNI (Centre for the Protection of National Infrastructure)
Actualmente trabajando para SI6 Networks Miembro del grupo CEDI (I+D) de UTN/FRH, Argentina Participante activo de la Internet Engineering Task Force (IETF) Ms informacin en: http://www.gont.com.ar
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Agenda
Motivacin de esta presentacin Breve comparacin entre IPv6/IPv4 Discusin de aspectos de seguridad de IPv6 Implicancia de seguridad de los mecanismos de transicin/coexistencia Implicancias de seguridad de IPv6 en redes IPv4 Areas en las que se necesita ms trabajo Conclusiones Preguntas y respuestas
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Diseado para solucionar el problema de escasez de direcciones Todava no ha sido amplia/globalmente desplegado Soportado por la mayora de sistemas de propsito general Los ISPs y otras organizaciones lo han empezado a tomar ms en serio a partir de:
Agotamiento del pool central de direcciones IPv4 de IANA Actividades de concientizacin como el World IPv6 Day Inminente agotamiento del pool de direcciones de los RIR
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
La seguridad fue considerada durante el diseo El paradigma de seguridad cambiar a host-centric Aumentar el uso de IPsec etc.
Estos mitos tienen y han tenido un impacto negativo Esta presentacin intentar:
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Menor experiencia con IPv6 que con IPv4 Implementaciones de IPv6 menos maduras que las de IPv4 Menor soporte en productos de seguridad para IPv6 que para IPv4 La red Internet ser mucho mas compleja:
Dos protocolos de Internet Mayor uso de NATs Mayor uso de tneles Uso de otras tecnologas de transicin co-existencia
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
IPv6
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
11
Direccionamiento IPv6
Implicancias en el escaneo de sistemas
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
12
El mayor espacio de direcciones es el motivador de IPv6 Se utilizan direcciones de 128 bits Semntica muy similar a IPv4:
Se agregan direcciones en prefijos para el ruteo Existen distintos tipos de direcciones Existen distintos alcances para las direcciones
Una direccin link-local unicast Una o mas direcciones global unicast etc.
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Interface ID
Modified EUI-64 Identifiers Privacy addresses Configurados manualmente De acuerdo a lo especificado por tecnologas de trasicin
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Esto asume que las direcciones IPv6 se generan aleatoriamente Malone (*) midi y categoriz las direcciones en:
SLAAC (MAC address embebida en el Interface ID) Basadas en IPv4 (2001:db8::192.168.10.1, etc.) Low byte (2001:db8::1, 2001:db8::2, etc.) Privacy addresses (Interface ID aleatorio) Wordy (2001:db8::dead:beef, etc.) Relacionadas con tecnologias de transicin (Teredo, etc.)
(*) Malone, D. 2008. Observations of IPv6 Addresses. Passive and Active Measurement Conference (PAM 2008, LNCS 4979), 2930 April 2008.
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Algunos resultados...
Direcciones
SLAAC IPv4-based Teredo Low-byte Privacy Wordy Other
Porcentaje
50% 20% 10% 8% 6% <1% <1%
Direcciones
Low-byte IPv4-based SLAAC Wordy Privacy Teredo Other
Porcentaje
70% 5% 1% <1% <1% <1% <1%
(*) Malone, D. 2008. Observations of IPv6 Addresses. Passive and Active Measurement Conference (PAM 2008, LNCS 4979), 2930 April 2008.
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Algunas conclusiones
Los ataques de escaneo no son imposibles en IPv6 Se han econtrado in the wild Es esperable que no sean de fuerza bruta, y aprovechen:
Patrones de las direcciones Leaks de la capa de aplicacin Direcciones multicast, Neighbor discovery, etc. (para ataques locales)
Recomendaciones:
Para servidores, no importa la predictibilidad de las direcciones Para clientes, utilizar privacy addresses Siempre considerar el uso de firewalls
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
18
Breve resea
Red tonta, extremos (hosts) inteligentes La comuncacin es posible entre cualquier par de nodos La red no examina el contenido de los paquetes IP
Se suele argumentar que este principio permite la innovacin Los NATs lo han eliminado de Internet Se espera que con IPv6 no existan NATs, y se retorne al principio extremo a extremo
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Se asume que el gran espacio de direcciones devolver este principio Sin embargo,
Las direcciones globales no garantizan conectividad extremo a extremo La mayora de las redes no tiene inters en innovar Los usuarios esperan en IPv6 los mismos servicios que en IPv4 Este principio aumenta la exposicin de los sistemas
En resumen,
La conectividad extremo a extremo no necesariamiente es deseable La subred tpica IPv6 solo permitir trafico saliente (mediante firewalls)
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Resolucin de direcciones
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
21
Breve resea
Resolucin de direcciones: IPv6 capa de enlace Realizada en IPv6 por Neighbor Discovery:
Basado en mesajes ICMPv6 (Neighbor Solicitation y Neighbor Advertisement) Anlogo a ARP Request y ARP Reply Implementado sobre IPv6, y no sobre la capa de enlace
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Vulnerabilidades y contramedidas
Posibles contramedidas:
Desplegar SeND Monitorear trfico de Neighbor Discovery Utilizar entradas estticas en el Neighbor Cache Restringir el acceso a al red local
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Lamentablemente:
SeND es difcil de desplegar Las herramientas de monitoreo son fcilmente evadibles El uso de entradas estticas no escala No siempre es posible restringir el acceso a la red local
En conclusin,
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Auto-configuracin
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
25
Breve resea
DHCPv6
Los hosts solicitan informacin mediante ICMPv6 Router Solicitations Los routers responden con Router Advertisements:
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Vulnerabilidades y contramedidas
Posibles contramedidas:
Desplegar SeND Monitorear mensajes RS/RA Desplegar Router Advertisement Guard (RA-Guard) Restringir el acceso a la red local
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Lamentablemente,
SeND es difcil de desplegar Las herramientas de monitoreo son facilmente evadibles RA-Guard es fcilmente evadible No siempre se puede limitar el acceso a la red local
En sntesis,
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Soporte de IPsec
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
29
Debe su origen a que IPsec es opcional para IPv4, y mandatorio para IPv6 En la prctica, esto es irrelevante:
Es mandatorio el soporte, pero no as su uso Las implementaciones no respetan el estndar Existen en IPv6 los mismos obstaculos para IPsec que en IPv4
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
31
Breve resea
Desplegar IPv6 en paralelo con IPv4 antes de necesitar IPv6 Este plan fall
Traduccin
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Consideraciones de seguridad
Se incrementa la complejidad de la red Se introducen Puntos nicos de Fallo (Single Points of Failure) Algunas tecnologas tienen implicancias de privacidad:
Por dnde circula su trfico Teredo o 6to4? Esto puede (o no) ser problemtico para su organizacin
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
La complejidad del trfico aumenta notablemente Se dificulta la realizacin de Deep Packet Inspection Ejemplo: Estructura de un paquete Teredo:
Ejercicio: construir filtro libpcap para capturar paquetes destinados al host 2001:db8::1, puerto TCP 25
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
35
Breve resea
La mayora de los sistemas tiene algn tipo de soporte IPv6 habilitado por defecto
Por ende,
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Consideraciones de seguridad
En conclusin,
No existen redes IPv4 puras Siempre se deben considerar las implicancias de seguridad de IPv6 Si no desea utilizar IPv6, asegurese que ese sea el caso
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
38
Seguridad de implementaciones
Todava no han sido foco de ataque Pocas herramientas de auditoria Se descubrirn muchos bugs y vulnerabilidaes
Se necesita paridad de funcionalidad IPv6/IPv4 Caso contrario, no se pueden aplicar las misms polticas de seguridad
Educacin/Entrenamiento
Es una locura desplegar IPv6 con recetas de cocina Se necesita entrenamiento para todo el personal involucrado Primero entrenarse, luego desplegar IPv6
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Algunas conclusiones
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
40
Algunas conclusiones....
Los mecanismos utilizados son distintos En dichas diferencias pueden aparecer las sorpresas
Usualmente no existen redes IPv4 puras Toda red debe considerar las implicancias de seguridad de IPv6
Es hora de capacitarse y expetimentar con IPv6 Slo despus debe desplegarse el mismo
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
Preguntas?
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011
42
Gracias!
Fernando Gont fgont@si6networks.com IPv6 Hackers mailing-list http://www.si6networks.com/community/
www.si6networks.com
Congreso de Seguridad en Cmputo 2011 Mexico City, Mexico. Nov. 18-25, 2011