PDF de programación - Resultados de un Análisis de Seguridad de IPv6

Resultados de un Análisis de

Seguridad de IPv6

Fernando Gont

XI Foro de Seguridad de RedIRIS

Madrid, España. 25-26 de Abril de 2013

Acerca de...

● He trabajado en análisis de seguridad de protocolos de

comunicaciones para:
● UK NISCC (National Infrastructure Security Co-ordination Centre)
● UK CPNI (Centre for the Protection of National Infrastructure)

● Actualmente trabajando para SI6 Networks
● Participante activo de la Internet Engineering Task Force (IETF)
● Más información en: http://www.gont.com.ar

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Agenda

● Motivación de esta presentación
● Breve introducción a IPv6
● Discusión de aspectos de seguridad de IPv6
● Implicancias de seguridad de los mecanismos de transición/co-

existencia

● Implicancias de seguridad de IPv6 en redes IPv4
● Áreas en las que se necesita más trabajo
● Conclusiones
● Preguntas y respuestas

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Motivación de esta presentación

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

Congreso de Seguridad en Computo 2011

© 2013 SI6 Networks. All rights reserved

4

Motivación de esta presentación

● Tarde o temprano desplegarás IPv6

● En realidad, seguramente ya lo has desplegado parcialmente

● IPv6 representa algunos desafíos en materia de seguridad:

Qué podemos hacer al respecto?

Opción #1

Opción #2

Opción #3

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Motivación de esta presentación (II)

● Muchos mitos creados en torno a IPv6:

● La seguridad fue considerada durante el diseño
● El paradigma de seguridad cambiará a host-centric
● Aumentará el uso de IPsec
● etc.

● Estos mitos tienen y han tenido un impacto negativo
● Esta presentación intentará:

● Separar “mito” de “realidad”

●

Influenciar como pensás sobre “seguridad IPv6”

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Breve introducción a IPv6

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

Congreso de Seguridad en Computo 2011

© 2013 SI6 Networks. All rights reserved

7

Breve comparación entre IPv6/IPv4

● Muy similares en funcionalidad, pero no así en mecanismos

IPv4

IPv6

ARP

DHCP & ICMP RS/RA

Direccionamiento 32 bits
Resolución de
direcciones
Auto-
configuración
Aislamiento de
fallos
Soporte de IPsec Opcional
Fragmentación

ICMPv4

Tanto en hosts como
en routers

128 bits
ICMPv6 NS/NA (+ MLD)

ICMPv6 RS/RA & DHCPv6
(opcional) (+ MLD)
ICMPv6

Opcional
Sólo en hosts

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Consideraciones generales sobre

seguridad IPv6

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

Congreso de Seguridad en Computo 2011

© 2013 SI6 Networks. All rights reserved

9

Algunos aspectos interesantes...

● Menor experiencia con IPv6 que con IPv4

●

Implementaciones de IPv6 menos maduras que las de IPv4

● Menor soporte para IPv6 que para IPv4 en productos de seguridad
● La red Internet será mucho mas compleja:

● Dos protocolos de Internet
● Mayor uso de NATs
● Mayor uso de túneles
● Uso de otras tecnologías de transición co-existencia

● Pocos recursos humanos bien capacitados

… así y todo tal vez sea la única opción para permanecer en el

negocio

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Implicancias de seguridad de IPv6

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

Congreso de Seguridad en Computo 2011

© 2013 SI6 Networks. All rights reserved

11

Direccionamiento IPv6

Implicancias en el escaneo de sistemas

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

Congreso de Seguridad en Computo 2011

© 2013 SI6 Networks. All rights reserved

12

Direcciones Global Unicast

| n bits | m bits | 128-n-m bits |

Global Routing Prefix Subnet ID

Interface ID

● El “Interface ID” es en general de 128 bits
● Se puede seleccionar con diferentes criterios:

● Modified EUI-64 Identifiers
● Privacy addresses
● Configurados manualmente
● De acuerdo a lo especificado por tecnologías de trasición

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Implicancias en escaneo de sistemas

Mito: “IPv6 hace que los ataques de escaneo de sistemas sean

imposibles!”

● Esto asume que las direcciones IPv6 se generan

aleatoriamente

● Malone (*) midió y categorizó las direcciones de acuerdo a

distintos patrones. Por ejemplo:
● SLAAC (MAC address embebida en el Interface ID)

●

“Low byte” (2001:db8::1, 2001:db8::2, etc.)
● Privacy addresses (Interface ID aleatorio)

● Las direcciones IPv6 siguen distintos patrones, explotables

para reducir el “espacio de búsqueda” en ataques de escaneo

(*) Malone, D. 2008. Observations of IPv6 Addresses. Passive and Active Measurement Conference (PAM 2008,
LNCS 4979), 29–30 April 2008.

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Algunas conclusiones

● Los ataques de escaneo son posibles en IPv6
● Se han econtrado “in the wild”
● Es esperable que no sean de “fuerza bruta”, y aprovechen:

● Patrones de las direcciones

●

“Leaks” de la capa de aplicación

● Direcciones multicast, Neighbor discovery, etc. (para ataques locales)

● Técnicas implementadas en scan6 (SI6 Networks' IPv6 Toolkit)
● Recomendaciones:

● Evitar patrones en las direcciones IPv6

– Ver por ej. draft-ietf-6man-stable-privacy-addresses

● Siempre considerar el uso de firewalls

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Conectividad Extremo a Extremo

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

Congreso de Seguridad en Computo 2011

© 2013 SI6 Networks. All rights reserved

16

Breve reseña

● La red Internet se basó en el principio de “extremo a extremo”

● Red tonta, extremos (hosts) inteligentes
● La comunicación es posible entre cualquier par de nodos
● La red no examina el contenido de los paquetes IP

● Se suele argumentar que este principio permite la innovación
● Los NATs lo han eliminado de Internet
● Se espera que con IPv6 no existan NATs, y se retorne al

principio “extremo a extremo”

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

IPv6 y el principio “extremo a extremo”

Mito: “IPv6 devolverá a Internet el principio 'extremo a extremo'”
● Se asume que el gran espacio de direcciones devolverá este

principio

● Sin embargo,

● Las direcciones globales no garantizan conectividad extremo a extremo
● La mayoría de las redes no tiene interés en “innovar”
● Este principio aumenta la exposición de los sistemas

● En resumen,

● La conectividad extremo a extremo no necesariamiente es deseable
● La subred típica IPv6 solo permitirá “trafico saliente” (mediante firewalls)

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

IPv6 Extension Headers
Implicancias de seguridad generales

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

19

Estructura general de paquete IPv6

● Consiste en una cadena de encabezados y un payload (opcional)
● Formato típico de los Extension Headers: TLV (Type-Length-Value)
● Posibles multiples instancias de multiples encabezados
● Cada encabezado puede contener una cantidad arbitraria de opciones

N H = 6 0

N H = 6 0
N H = 6 0

N H = 0 6

I P v 6
I P v 6
H e a d e r
H e a d e r

D e s t i n a t i o n O p t i o n s

D e s t i n a t i o n O p t i o n s

H e a d e r

H e a d e r

D e s t . O p t i o n s

D e s t . O p t i o n s

H e a d e r

H e a d e r

T C P S e g m e n t

T C P S e g m e n t

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Estructura general de paquete IPv6 (II)

● El tráfico resultante puede ser engorroso

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Consideraciones generales

● Posibles implicancias negativas en performance
● Se hace dificultoso el DPI (difícil encontrar la información de

layer-4!)

● Puede resultar imposible identificar qué tipo de trafico fue

fragmentado

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Resolución de direcciones

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

Congreso de Seguridad en Computo 2011

© 2013 SI6 Networks. All rights reserved

23

Breve reseña

● Resolución de direcciones: IPv6 → capa de enlace
● Realizada en IPv6 por “Neighbor Discovery”:

● Basado en mesajes ICMPv6 (Neighbor Solicitation y Neighbor

Advertisement)

● Análogo a ARP Request y ARP Reply

●

Implementado sobre IPv6, y no sobre la capa de enlace

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights reserved

Vulnerabilidades y contramedidas

● Se pueden portar los ataques “ARP” de IPv4 a IPv6

● Man in The Middle
● Denial of Service

● Potenciales contramedidas:

● Desplegar SEND
● Monitorear tráfico de Neighbor Discovery
● Utilizar entradas estáticas en el Neighbor Cache
● Restringir el acceso a al red local

● Lamentablemente,

● En la actualidad es dificultoso aplicarlas a escenarios reales
● La situación es “algo mas complicada” que en IPv4

XI Foro de Seguridad de RedIRIS
Madrid, España. 25-26 de Abril de 2013

© 2013 SI6 Networks. All rights