Conteúdo desta apresentação
O que é IPv6?
Comparações do IPv6 com IPv4;
Estrutura de Endereçamento
Mitos
Ferramentas
IPSEC / VPN com IPv6
ICMPv6
IPv6 em Firewall
Descoberta de Vizinhança e DOS com ND
Ataques e Vulnerabilidades em IPv6
Conceito
O que é IPv6?
É a versão mais recente do Internet Protocol (Protocolo de Internet), padrão usado para a
comunicação entre todos os computadores ligados a internet.O lançamento da v6 foi em junho de 2012,
quando a quantidade de endereços IPv4 estavam se esgotando (4,29 bilhões de IPs).
Configuração manual ou via DHCP
Comparação
Comparativo entre IPv4 e IPv6
IPV4
32 bits para endereçamento
Cabeçalhos com campos não utilizados e pouco otimizado. Fragmentação também nos roteadores
É comum utilização de NAT
IPSEC opcional
Sem tamanho mínimo para uma rede local
128 bits para endereçamento
Cabeçalho melhorado, mais simples e versátil. Fragmentação de pacotes apenas nas pontas
Não requer uso de NAT
Suporte obrigatório ao IPSEC
Configuração automática, manual ou via DHCP
Tamanho mínimo de uma rede local é um /64
IPV6
Conceito
Endereçamento
Um endereço IPv4 é formado por 32 bits. 2³² = 4.294.967.296
Um endereço IPv6 é formado por 128 bits.2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456
~ 56 octilhões (5,6x1028) de endereços IP por ser humano. ~ 79 octilhões (7,9x1028) de vezes a
quantidade de endereços IPv4.
Comparação
Endereçamento
Agrupamento de 16 bits Oito quartetos de caracteres em hexa, separados por “:”
Cada caractere representa 4 bits
1456:0000:02cd:0012:000c:0000:0000:0d45
1456:0:2cd:12:c:0:0:d45
1456:0:2cd:12:c::d45
Mitos e Verdades
Mercado negro de IPv4;
IPv6 é mais seguro que IPv4;
O IPv6 acabará com a necessidade de NAT;
Os próximos 5 anos serão mais simples com IPv6;
Existe broadcast no IPv6;
Mitos ou verdades?
Ferramentas
Teste online
Esta ferramenta online é capaz de testar se o host tem capacidade de acessar redes IPv6.
http://test-ipv6.com/
Ferramentas
Sites Compatíveis
Esta ferramenta verifica compatibilidade de hosts.
https://www.ultratools.com/tools/ipv6reports
Ferramentas
Ativando IPv6 no Debian, Ubuntu e Slackware
Adicionar ao arquivo /etc/network/interfaces
iface eth0 modprobe ipv6
pre-up modprobe ipv6
Adress ‘endereço ipv6
Netmask 64
Gateway ‘endereço IPv6 do gateway’
Forçar reinicialização da interface de rede:
Ifup –force eth0
IPSEC
Conceito
IPSec, é uma estrutura de padrões abertos que definem políticas para comunicação segura em uma rede
(confiabilidade, integridade e autenticidade).
IPSEC
Elementos
Cabeçalho de autenticação (AH) – efetua uma autenticação e verificação da integridade dos
dados. O processo de autenticação impede a recepção em estações sem autorização, evita eventuais
tentativas de falsificação ou alteração de informações ao longo da rota. Não permite a criptografia dos
dados, portanto é útil principalmente quando a verificação da integridade é necessária, mas não o sigilo.
Carga de empacotamento (ESP) – é uma forma de transporte segura e tempo finalidade evitar
a interceptação, a leitura dos dados por terceiros, ou uma eventual cópia dos dados. Além disso, ele
também fornece verificação de integridade.
IPSEC – Modos de Funcionamento
Modo Transporte
Nesse modo apenas o segmento da camada de transporte é processado, ou seja , autenticado e
criptografado. Nesse caso o cabeçalho IPSec é inserido logo após do cabeçalho IP. O campo Protocol do
cabeçalho IP é alterado pra indicar que um cabeçalho IPSec segue o cabeçalho IP normal. O cabeçalho
IPSec possui informações de segurança, principalmente o identificador SA, um novo número de
sequência e, possivelmente alguma verificação da carga.
IPSEC – Modos de Funcionamento
Modo Túnel
Nesse modo, todo o pacote IP é autenticado ou criptografado. No modo túnel, todo o pacote IP,
incluindo o cabeçalho, é encapsulado no corpo de um novo pacote IP com um cabeçalho IP
completamente novo. Esse modo é útil quando o túnel termina em um local diferente do destino final.
Também é útil quando um conjunto de conexões TCP é agregado e tratado como um único fluxo
codificado, pois isso evita com que terceiros descubram quem está enviando, quem está recebendo e a
quantidade de pacotes circulados pela rede. Muitas vezes um simples conhecimento da quantidade de
tráfego e de seu destino é uma informação valiosa.
IPSEC
Site-to-site
http://www.cisco.com/c/dam/en/us/td/i/100001-200000/140001-150000/146001-147000/146001.ps/_jcr_content/renditions/146001.jpg
IPSEC
Principais Vantagens
Suporte em várias plataformas de sistemas operacionais;
Utilizar VPN com IPSEC VPN
Escalabilidade independente da aplicação
Desvantagens
Complexidade;
ICMPv6
Protocolo de Mensagens de Controle da Internet
Internet Control Message Protocol (ICMPv6) é um padrão IPv6 necessário. Com o ICMPv6, os
hosts e roteadores que usam a comunicação IPv6 podem reportar erros e enviar mensagens de eco
simples.
ICMPv6
Diferenças
As mudanças foram nos novos tipos de mensagens:
De 0 a 127 – Mensagens de erros De 128 a 255 – Mensagens informativas
Firewall em IPv6
IP6tables
ip6tables -A INPUT -p icmpv6 -j ACCEPT
EX:
# ip6tables -A FORWARD -d 2001:470:db7e:8000::3 -p tcp --dport 80 -j ACCEPT
Liberar o acesso de uma máquina é simples:
apt-get install iptables
Nos sistemas atuais:
Descoberta de Vizinhança (Neighbor Discovery)
Neighbor Discovery
É um protocolo no conjunto de protocolos de Internet usado com Internet Protocol versão 6 (IPv6). Atua
no Link Layer do modelo de Internet ( RFC 1122 ), e é responsável pela configuração automática de endereços de
nós, a descoberta de outros nós da ligação, determinando os endereços dos outros nós, detecção de endereços
duplicados, encontrar roteadores disponíveis e Domain Name System (DNS) servidores, descoberta endereço
prefixo, e manter acessibilidade informação de outros nós vizinhos.
determinar o endereço MAC dos nós da rede;
encontrar roteadores vizinhos;
determinar prefixos e outras informações de
configuração da rede;
detectar endereços duplicados;
determinar a acessibilidades dos roteadores;
redirecionamento de pacotes;
autoconfiguração de endereços.
Dinâmica dos processos
Ataques e Vulnerabilidades
Slaac Attack ( Estado do Endereço da autoconfiguração)
Um novo tipo de ataque MITM que em resumo cria um roteador IPv6 na rede da vítima forçando que
todo o tráfego IPv6, incluindo o IPv4, passe pelo computador do atacante, já que esse falso roteador se tornará o
default gateway da vítima.
Ataques com THC IPv6
fake_router6: anunciar-se como um roteador na rede, com a maior prioridade
http://tools.kali.org/information-gathering/thc-ipv6
alive6: um scanng vivo eficaz, que irá detectar todos os sistemas de ouvir este endereço
redir6: redirecionar o tráfego para você de forma inteligente (man-in-the-middle) com um icmp6 inteligente
sendpees6: uma ferramenta que gera um pedido de solicitação de vizinhança com um monte de cgas (material
de criptografia para manter a CPU ocupada);
Pode ser baixada em: http://freeworld.thc.org/releases/thc-ipv6-1.2.tar.gz
Ferramentas do THC IPv6
No Kali Linux:
Como se proteger?
O ataque foi possível, porque toda a estrutura da rede
estava configurada em IPv4 (servidores e rotas). O Ipv6 está
ativado mas não está sendo utilizado, podendo então ser
explorado.
O intuito do ataque, além de direcionar a vítima para
outros lugares, poderia ser também possível criar uma nova rede
IPv6, já que os hosts estão com o protocolo ativado.
http://resources.infosecinstitute.com/slaac-attack/
REFERÊNCIAS
http://codigofonte.uol.com.br/noticias/6-mitos-a-derrubar-nas-discussoes-sobre-ipv6
https://pt.wikipedia.org/wiki/Exaust%C3%A3o_do_IPv4
http://ipv6.com/articles/security/IPsec.htm
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6/configuration/15-2s/ipv6-15-2s-book/ip6-ipsec.html
http://www.gta.ufrj.br/grad/04_1/vpn/Script/RDIIPSec.html
https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol_version_6
http://resources.infosecinstitute.com/slaac-attack/
http://tools.kali.org/information-gathering/thc-ipv6
Acessados em 09/06/2016.