Actualizado el 21 de Marzo del 2018 (Publicado el 9 de Noviembre del 2017)
727 visualizaciones desde el 9 de Noviembre del 2017
1,9 MB
77 paginas
Creado hace 11a (28/03/2013)
Universidad de Buenos Aires
Facultades de Ciencias Económicas,
Cs. Exactas y Naturales e Ingeniería
Carrera de Especialización en Seguridad Informática
Trabajo Final
Tema:
Seguridad en Redes
Título:
Análisis de Seguridad en el Protocolo
IPv6
Autor: Ing. Rodrigo Horacio Zapata Valdez
Tutor: Mg. Ing. Juan Alejandro Devincenzi
Año 2013
Cohorte 2012
Resumen
El protocolo IPv6 fue desarrollado durante la década de los 90 con el fin de
sustituir a IPv4 como protocolo dominante en Internet. IPv6 soluciona los
problemas fundamentales de IPv4 y entrega una base para futuros desarrollos y
avances. Dentro de las ventajas de IPv6 se encuentran un gran número de
direcciones disponibles, nuevas
funcionalidades del protocolo
ICMP,
la
autoconfiguración de direcciones, cambios en la estructura del paquete IP, en
particular, lo referido a las cabeceras de extensión.
A lo largo del trabajo, se irán contemplando cada una de las mencionadas
características, teniendo como eje de análisis las implicancias de seguridad que
involucran cada una de ellas. Debido al corto tiempo de vida del protocolo, a la
inmadurez de sus implementaciones, a fallas propias en su desarrollo y a la falta de
adecuación a los estándares de los fabricantes de hardware o software, existen un
gran número de vulnerabilidades. Éstas pueden ser explotadas por herramientas
disponibles en Internet, cuyo uso no resulta complicado para usuarios poco
experimentados.
A fin de lograr una adecuada implementación del nuevo protocolo, es
condición fundamental tener un conocimiento preciso sobre el mismo, saber a qué
vulnerabilidades se expone, y a partir de esta información aplicar las mejores
prácticas y estándares. De este modo se minimiza las implicancias de seguridad de
IPv6 sobre la infraestructura de red de una organización.
Palabras claves: IPv6, seguridad, vulnerabilidades, buenas prácticas.
i
1
Introducción ......................................................................................................1
1.1 Objetivos y alcance .....................................................................................1
1.2
Estructura del trabajo .................................................................................1
2 Direccionamiento IPv6 .......................................................................................1
2.1
2.2
2.3
Representación con prefijos........................................................................1
Tipos de Direcciones IPv6............................................................................2
IPv6 y el escaneo de redes .........................................................................3
2.3.1
Configuración de direcciones en IPv6 ...................................................3
2.3.1.1
StateLess Address Auto-Configuration ..........................................3
2.3.1.2
IEEE Extended Unique Identifier 64-bit .........................................3
2.3.1.3
Dynamic Host Configuration Protocol ...........................................5
2.3.1.4
Direcciones correspondientes a Mecanismos de Transición ..........6
2.3.1.5
Direcciones configuradas manualmente .......................................6
2.3.1.6
Otros tipos de direcciones ............................................................6
2.3.2
2.3.3
2.3.4
Asignación de direcciones IPv6 en escenarios de red del mundo real...7
Escaneo de direcciones IPv6 en redes remotas ....................................7
Escaneo de direcciones IPv6 en redes locales. .....................................8
2.3.5 Mitigación de ataques de escaneo de redes.......................................10
2.3.6
Otras técnicas para el descubrimiento de direcciones .......................11
3 Aspectos de Privacidad relacionados con IPv6 .................................................14
3.1
Extensiones de privacidad ........................................................................14
3.1.1
3.1.2
3.1.3
Limitaciones de las direcciones de privacidad ....................................15
Extensiones de privacidad en Sistemas operativos Windows .............17
Propuesta de mejoras para las direcciones de privacidad ..................18
3.2
Cryptographically Generated Addresses (CGAs) .......................................19
4
Cabeceras de extensión ...................................................................................22
4.1
4.2
Cabecera de Opciones del destino ............................................................23
Cabecera de Fragmentación .....................................................................23
4.2.1
Proceso de Fragmentación.................................................................24
4.3
Vulnerabilidades de las cabeceras de extensión ........................................25
4.3.1
Fragmentos atómicos .......................................................................25
4.3.1.1
Ataques empleando fragmentos atómicos ..................................25
4.3.2
4.3.3
4.3.4
Excesivo número de cabeceras de extensión. ....................................26
Fragmentos pequeños .......................................................................26
Creación de Covert Channel ...............................................................27
ii
4.3.5
Otros ataques empleando Fragmentación .........................................28
4.3.6 Medidas a tomar ...............................................................................29
5
Internet Control Message Protocol for IPv6 (ICMPv6) ......................................31
5.1
Reseña ICMPv6 .........................................................................................31
5.2 Neighbor Discovery Protocol (NDP)...........................................................32
5.2.1
5.2.2
Resolución de direcciones ..................................................................33
Auto-configuración ............................................................................34
5.2.2.1
SLAAC: Paso por paso .................................................................35
5.2.3
Ataques al proceso de resolución de direcciones y a SLAAC ...............36
5.2.3.1
Desbordando el Neighbor Cache.................................................36
5.2.3.2
Captura de tráfico en redes switcheadas ....................................37
5.2.3.3
Envenenamiento del Neighbor Cache .........................................37
5.2.3.4
Explotar el mecanismo de DAD para denegación de servicio ......40
5.2.3.5
Tampering con Neighbor Unreachability Detection (NUD) ..........42
5.2.3.6
Spoofing de parámetros .............................................................43
5.2.3.7
Rogue Router ..............................................................................44
5.2.3.8
Anunciando prefijos on-link incorrectos .....................................44
5.2.3.9
Deshabilitar Routers ...................................................................45
5.2.3.10 Ataque de DOS a través de anuncios RA ....................................45
5.2.4
Algunas medidas generales a tener en cuenta ...................................46
5.2.4.1
Secure Neighbor Discovery ........................................................46
5.2.4.1.1 Cryptographically generated address .......................................46
5.2.4.1.2 Firma RSA ................................................................................47
5.2.4.1.3 Nonce ......................................................................................47
5.2.4.1.4 Timestamp...............................................................................47
5.2.4.1.5 Router authorization ...............................................................47
5.2.4.2
RA-Guard ...................................................................................48
5.2.4.2.1 Ataques contra RA ...................................................................49
5.2.4.2.2 Basados en Fragmentación ......................................................50
5.2.4.2.3 Consejos de implementación de RA ........................................51
6
Soporte de IPsec .............................................................................................52
6.1 Modos de funcionamiento de IPSec ..........................................................53
6.2
Estado de desarrollo actual .......................................................................54
7 Otros aspectos importantes de IPv6 ................................................................56
7.1
Conectividad Extremo a Extremo .............................................................56
iii
7.2
7.3
Presencia de NAT .....................................................................................56
Doble exposición IPv6 e IPv4 ....................................................................57
8
9
Conclusiones ....................................................................................................58
Bibliografía ......................................................................................................60
10
Anexo ...........................................................................................................64
iv
Lista de Figuras
Fig. 1 - Estructura de una dirección IPv6 ....................................................................1
Fig. 2 - Construcción de un Identificador de Interfaz basado en capa de enlace ........4
Fig. 3 - Ejecución de Nmap ........................................................
Comentarios de: Análisis de Seguridad en el Protocolo IPv6 (0)
No hay comentarios