(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

Podobné dokumenty
IPv6 Autokonfigurace a falešné směrovače

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

IPv6: Už tam budeme? Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Obrana sítě - základní principy

Standardizace IPv6 v IETF Matěj Grégr

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

IPv6: Doporučení pro konfiguraci aktivních prvků

Na cestě za standardem

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Co nového v IPv6? Pavel Satrapa

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

IPv6 bezpečnostní hrozby (IPSec to srovná) Tomáš Podermański,

Protokol IPv6, část 2

Analýza protokolů rodiny TCP/IP, NAT

Semestrální projekt do předmětu SPS

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Počítačové sítě 1 Přednáška č.5

Téma bakalářských a diplomových prací 2014/2015 řešených při

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Instalační návod IP kamer

Základní principy obrany sítě

Správa linuxového serveru: DNS a DHCP server dnsmasq

Co znamená IPv6 pro podnikovou informatiku.

Jak funguje SH Síť. Ondřej Caletka

KLASICKÝ MAN-IN-THE-MIDDLE

Standardizace Internetu (1)

Firewally a iptables. Přednáška číslo 12

IPS a IDS. Martin Beránek. 17. března Martin Beránek (SSPŠ) IPS a IDS 17. března / 25

Specifikace předmětu zakázky

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

Seminář pro správce univerzitních sí4

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Server Security, Serverové produkty

Access Control Lists (ACL)

IPv6 v Sokolovské uhelné

Správa systému MS Windows II

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Možnosti DHCP snoopingu, relayingu a podpora multicastingu na DSLAM Zyxel IES-1000

PB169 Operační systémy a sítě

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta,

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Semestrální projekt do Směrovaných a přepínaných sítí

Y36SPS Jmenné služby DHCP a DNS

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Útoky využívající Address Resolution Protocol (ARP) Martin Petráň

Autokonfigurace IPv6 v lokální sí

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Úvod do IPv6. Pavel Satrapa

Radek Zajíc, Seminář IPv6,

Demo: Multipath TCP. 5. října 2013

Bezpečnost routeru. Pavel Bašta

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I.

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Audit bezpečnosti počítačové sítě

Site - Zapich. Varianta 1

Jmenné služby a adresace

Radek Zajíc, Seminář IPv6,

Proč prevence jako ochrana nestačí? Luboš Lunter

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Jan Outrata. říjen prosinec 2010 (aktualizace září prosinec 2013)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

IP telephony security overview

Komunikační sítě a internetový protokol verze 6. Lukáš Čepa, Pavel Bezpalec

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Komunikace v sítích TCP/IP (1)

Služby správce.eu přes IPv6

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Technická specifikace zařízení

DNS, DHCP DNS, Richard Biječek

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Tabulka mandatorních požadavk pro modulární p ístupový/agrega ní epína typ A (požadován 1 ks)

PENETRAČNÍ TESTY CYBER SECURITY

Řešení dynamické konfigurace IPv6 klientů v počítačové síti MENDELU

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

Otázky IPv6. Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

QUALITY & SECURITY Praha hotel Olšanka Petr Zemánek Senior Presales Consultant. IDS/IPS - ano či ne?

DHCP. Martin Jiřička,

Úvod do síťových technologií

Základy IOS, Přepínače: Spanning Tree

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Úřad vlády České republiky Odbor informatiky

Bezpečnostní problémy VoIP a jejich řešení

Transkript:

(Ne)bojím se IPv6! Matěj Grégr Vysoké učení technické v Brně, Fakulta informačních technologií igregr@fit.vutbr.cz LinuxAlt 2013 Děkuji Tomáši Podermańskému za poskytnutí slajdů a videí 1

Bezpečnost a IPv6? 2

IPv4 autokonfigurace adresy 3

IPv4 autokonfigurace adresy DHCP 4

IPv4 autokonfigurace adresy ARP 5

IPv4 autokonfigurace adresy Běžný provoz (http) 6

Důležitost first hop security Ukradení adresy IP kterou používá jiné zařízení Podvržení adresy IP Podvržení adresy MAC Otrávení ARP Falešný DHCP server Trojan.Flush.M, Trojan:W32/DNSChanger 7

IPv4: First hop security 1 Port security Povoleny pouze předkonfigurované adresy MAC Omezení počtu MAC na port zabránění MAC flooding 8

IPv4: First hop security 2 DHCP snooping Port je odblokován až po přidělení adresy z DHCP serveru 9

IPv4: First hop security 3 ARP protect Využívá DHCP snooping databázi Ochrana před podvržením MAC IP lockdown Využívá DHCP snooping databázi Ochrana před podvržením IP 10

IPv4: First hop security shrnutí Port security + DHCP snooping + ARP protect + IP lockdown + (Radius) Pouze klient povolený na DHCP serveru má povoleno přístup do sítě Ochrana před: útočníkem špatnou konfigurací špatnými ovladači síťových karet Worm/Virus 11

IPv6 Rozdílný způsob konfigurace adres Bezstavová DHCPv6 Síťové rozhraní může mít více IPv6 adres 12

Autokonfigurace & objevení sousedů IPv6 DAD, RS/RA, DHCPv6, MLDv2, ND 13

Autokonfigurace & objevení sousedů IPv6 DAD, RS/RA, DHCPv6, MLDv2, ND MLDv2 G: ff02::1:ff4b:d6:e3 G: ff02::1:ff4b:d6:e3 14

Autokonfigurace & objevení sousedů IPv6 DAD, RS/RA, DHCPv6, MLDv2, ND DAD 15

Autokonfigurace & objevení sousedů IPv6 DAD, RS/RA, DHCPv6, MLDv2, ND SLAAC 16

Autokonfigurace & objevení sousedů IPv6 DAD, RS/RA, DHCPv6, MLDv2, ND DHCPv6 17

Autokonfigurace & objevení sousedů IPv6 DAD, RS/RA, DHCPv6, MLDv2, ND MLDv2 G: ff02::1:ffb0:5ec2 G: ff02::1:ffb0:5ec2 18

Autokonfigurace & objevení sousedů IPv6 DAD, RS/RA, DHCPv6, MLDv2, ND ND 19

Autokonfigurace & objevení sousedů IPv6 DAD, RS/RA, DHCPv6, MLDv2, ND Běžný provoz (http) 20

DAD DoS attack 1. Host: Můžu použít adresu 2001:db8::aaaa? 2. Útočník: Ne! Už se používá! 3. Host: Můžu použít adresu 2001:db8::aaab? 4. Útočník: Ne! Už se používá! 5. Lze použít thc-toolkit (http://thc.org/thc-ipv6/): #dos-new-ipv6 eth0 21

DAD DoS attack 22

DAD DoS attack 23

DAD DoS attack Widows Vyzkouší 5 pokusů, pak to vzdá Linux Záleží na distribuci většinou DAD ignoruje Směrovače HP/Cisco Danou adresu nepoužívá Výsledek: Znemožnění komunikace přes IPv6 24

Router Advertisement flood Posílá velké množství RA paketů thc-toolkit (http://thc.org/thc-ipv6/): # flood_router6 eth0 Windows Vista/7/8, MAC zamrznout/spadnou Linux útok ustojí O problému se ví cca 3 roky 25

Video http://6lab.cz/article/ipv6-ra-flood-dos-attack-in-windows-8/ 26

Router Advertisement flood 2.0 27

Could be worse! 28

MitM Majorita operačních systémů podporuje IPv6 Všechny implementují bezstavovou konfiguraci pro získání adres Windows Vista/7, Linux, Mac OS, ios, *BSD Zneužití autokonfigurace pro MitM útok: RA + DHCPv6 Klientovi vnutíme pomocí DHCPv6 vlastní adresy DNS serverů Podvrhneme A/AAAA záznamy pro webové stránky, které nás zajímají e.g. www.facebook.com, www.google.com Spustíme transparentní proxy pro odposlech/modifikaci stránek 29

MitM www.vutbr.cz 147.229.2.15 router utočník 30

MitM router utočník Router advertisement Nastaven příznak M nebo O DHCPv6 server jsem JÁ 31

MitM DHCPv6 query Jaké jsou DNS servery? router utočník 32

MitM router DNS server jsem JÁ utočník 33

MitM www.vutbr.cz 10.10.10.1 router utočník 34

Video http://6lab.cz/article/the-man-in-the-middle-attack-usingipv6/ 35

Obrana? SeND (RFC 3971, March 2005) Podepisuje NS/NA zprávy Potřebuje PKI Jak nastavit certifikát klientovi? Vlastní typ adresy, nekompatibilní s: Manuální IPv6, EUI-64, Privacy extension RA-Guard, PACL (RFC 6105, February 2011), DHCPv6 snooping Zahazuje falešné zprávy RA (RA snooping) SAVI (draft-ietf-savi-*) Komplexní řešení DHCPv6, RA, kontrola podvržení adresy Podobné jako ND Inspection (Cisco/HP) 36

Bypassing RA guard Rozšířené hlavičky! http://6lab.cz/article/rogue-router-advertisement-attack/ 37

Bypassing ACL Jednoduché pakety (ICMPv6) lze jednoduše generovat např. pomocí Scapy Jak vytvořit TCP spojení? Vlastní kernel modul pro obejití ACL! 38

Video http://6lab.cz/article/bypassing-acl-using-extensionheaders/ 39

DHCP snooping ARP inspection, ARP protection IP source guard, dynamic IP lockdown All together IPv4: First hop security Rogue DHCP server ARP poisoning Forces users to use DHCP Source IPv4 address spoofing Source MAC address spoofing Require support on access port 40

RA-Guard ACL/PACL SAVI, ND inspection SEND Disabling IPv6 Blocking IPv6 IPv6: First hop security Undetermined traffic option (Cisco). Rogue DHCPv6 server Accidently rogue router advertise Intentional rouge router advertise ND cache poisoning Source IPv6 address spoofing DAD DOS attack Neighbour cache overload Source MAC address spoofing Requires support on access switches Requires support or configuration on client side 41

price per port RA guard PACL SAVI, ND inspection DHCP snooping ARP inspection, ARP protection IP source guard, dynamic IP lockdown Cena za bezpečnost Přístupové prvky pro 150 uživatelů, 168 portů, 1Gb/s, bez PoE 1x HP 4208-96 vl Switch (J8775B) 3x HP 24-port Gig-T vl Module (J8768A) 1x HP 2910-48G al Switch (J9147A) 3x HP 2910-24G al Switch (J9145A) 1x HP 5412-96G zl Switch (J8700A) 3x HP 24-port 10/100/1000 PoE zl Module (J8702A) 1x HP 5800-48G Switch (JC105A) 3x HP 5800-24G Switch (JC100A) $58.90 $96.23 $138.18 $250.21 Instalace s 150 porty 96$ * 150 - $14 400 $138 * 150 = $20 700 (~ 40% větší náklady ) $250 * 150 = $37 500 ( ~ 160% větší náklady ) Ceny z http://www.amazon.com/ (list prices) 42

43

Shrnutí Nasazení IPv6 může přinášet bezpečnostní problémy Bezpečnostní politika pro IPv4 se automaticky neaplikuje pro IPv6 Firewall, IDS, vše konfigurujeme 2x Bezpečnostní politiky pro IPv6 by měly být shodné s IPv4 Pozor na nemonitorovaný IPv6 provoz! Tunelovací mechanismy většina zařízení nedokáže blokovat Propagátoři IPv6 nejsou zodpovědní za vaši síť V případě problému je vina na vás ne na nich! Rozdílné prostředí, rozdílné nasazení Univerzity otevřené, vcelku neatraktivní pro útok Firmy podstatně vyšší riziko 44

Takže všude zakázat? Ideální je porozumět, nasadit a snažit se zlepšit situaci 45

46

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář