IPv6 bezpečnostní hrozby (IPSec to srovná) Tomáš Podermański, tpoder@cis.vutbr.cz

Podobné dokumenty
(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

IPv6 Autokonfigurace a falešné směrovače

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Na cestě za standardem

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Semestrální projekt do předmětu SPS

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Počítačové sítě 1 Přednáška č.5

Josef Hajas.

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

IPv6. Miroslav Čech. (aktualizováno 2009, J. Blažej)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Analýza protokolů rodiny TCP/IP, NAT

IPv6: Už tam budeme? Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Úvod do IPv6. Pavel Satrapa

Útoky DoS a DDoS. Přehled napadení. Projektování distribuovaných systémů Ing. Jiří ledvina, CSc. Lokální útoky. Vzdálené útoky

Protokol IP verze 6. Filip Staněk Petr Grygárek

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta,

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Pavel Satrapa. IP v6. Internet Protokol verze 6

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Co je to IPv6 Architektura adres Plug and Play Systém jmenných domén Přechod Současný stav IPv6

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Bezpečnost vzdáleného přístupu. Jan Kubr

Komunikační sítě a internetový protokol verze 6. Lukáš Čepa, Pavel Bezpalec

MPLS MPLS. Label. Switching) Michal Petřík -

Technologie počítačových sítí - ZS 2015/2016 Kombinované studium

Site - Zapich. Varianta 1

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

verze 3 Téma 8: Protokol IPv6

X36PKO Úvod Protokolová rodina TCP/IP

Seminář pro správce univerzitních sí4

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Standardizace IPv6 v IETF Matěj Grégr

KAPITOLA 10. Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup

Technologie počítačových sítí - LS 2016/2017. Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie.

Technická specifikace zařízení

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Y36SPS Bezpečnostní architektura PS

Firewall, mac filtering, address filtering, port forwarding, dmz. Ondřej Vojtíšek, Jakub Niedermertl

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Semestrální projekt do Směrovaných a přepínaných sítí

12. Bezpečnost počítačových sítí

Možnosti útočníků a virů v IPv6 sítích

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

Protokol IP verze 6. Co je to IPv6. Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.

Služby správce.eu přes IPv6

Komunikace v sítích TCP/IP (1)

TheGreenBow IPSec VPN klient

Obrana proti DDoS útokům na úrovni datových center

Přednáška 9. Síťové rozhraní. Úvod do Operačních Systémů Přednáška 9

Obsah Počítačová komunikace Algoritmy a mechanismy směrování v sítích Řízení toku v uzlech sítě a koncových zařízeních...

Obsah. Úvod 13. Věnování 11 Poděkování 11

Otázky IPv6. Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Směrování. 4. Přednáška. Směrování s částečnou znalostí sítě

Y36SPS Bezpečnostní architektura PS

Inovace bakalářského studijního oboru Aplikovaná chemie

Desktop systémy Microsoft Windows

Obsah PODĚKOVÁNÍ...11

Y36SPS Jmenné služby DHCP a DNS

Access Control Lists (ACL)

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

QUALITY & SECURITY Praha hotel Olšanka Petr Zemánek Senior Presales Consultant. IDS/IPS - ano či ne?

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Demo: Multipath TCP. 5. října 2013

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Budování sítě v datových centrech

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Server. Software serveru. Služby serveru

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Průzkum a ověření možností směrování multicast provozu na platformě MikroTik.

Jan Outrata. říjen prosinec 2010 (aktualizace září prosinec 2013)

Základní principy obrany sítě

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Úvod do síťových technologií

POČÍTAČOVÉ SÍTĚ - PROTOKOL IPV6: ANO ČI NE?

Projekt VRF LITE. Jiří Otisk, Filip Frank

SSL Secure Sockets Layer

PB169 Operační systémy a sítě

Obrana sítě - základní principy

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

Síťování ve Windows. RNDr. Šimon Suchomel

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

CAD pro. techniku prostředí (TZB) Počítačové sítě

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Protokol IPv6, část 2

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Možnosti DHCP snoopingu, relayingu a podpora multicastingu na DSLAM Zyxel IES-1000

IPv6: Doporučení pro konfiguraci aktivních prvků

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Nástroje pro FlowSpec a RTBH. Jiří Vraný, Petr Adamec a Josef Verich CESNET. 30. leden 2019 Praha

Transkript:

IPv6 bezpečnostní hrozby (IPSec to srovná) Tomáš Podermański, tpoder@cis.vutbr.cz

Zdroje informací IPv6 security Eric Vyncke, Scott Hogg Internetový protokol IPv6 Pavel Satrapa Prezentace, IPv6 Security Scott Hogg Prezentace, Attacking the IPv6 Protocol Suit van Hauser Prezentace, IPv6 Routing Header Security Philippe BIONDI, Arnaud EBALARD

Co se povídá o bezpečnosti IPv6 IPv6 provides better security than IPv4 for applications and networks How does IPv6 provide a solution? In IPv6, IPSec is a major protocol requirement and is one of the factors in ensuring that IPv6 provides better security than IPv4. Zdroj: http://ipv6.com/articles/general/top-10-featuresthat-make-ipv6-greater-than-ipv4-part5.htm

IPv6 bezpečnost Pravděpodobně IPv6 už na svém PC máte Ve většině OS automaticky zapnutý protokol MS Vista/7, Linux, Mac OS, BSD* Preferovaný protokol Pro sítě kde není nativní konektivita se vytvářejí automaticky tunely Většina těchto aktivit se děje bez vědomí uživatele a správce Ignorace zabezpečení IPv6 vede k vytváření obrovských backdoorů Zabezpečení celého systému zavisí od nejslabšího prvku

IPv6 bezpečnostní hrozby Zatím není IPv6 z pohledu hackerů příliš zajimavé - to se jistě v dohledné době změní IPv6 je nový (=nově použivaný) protokol - řada slabých míst zatím není odhalena Vrstvy nad a pod síťovou vrstvou jsou zranitelné stejným způsobem jako dosud

Reconnaissance - zjišťování Rozsahlý adresový prostor prakticky znemožňuje plošné scanningy Brute force scanning na síti /64 by trval 28 let s intenzitou 1 mln testů za sekundu (400Mb/s) než by došlo k nalezení první aktivní IP adresy RFC 5157 IPv6 - Implications for Network Scanning Privacy extension for Stateless Address Autoconf. (RFC 4941) Budou se hledat nové metody zjišťování aktivních adres DNS, dynamické DNS, whois, logy, Flow, NI Query (RFC 4620) Zjišťování na úrovní lokalních sítí Ping FF02::1 Odhadovaní EUI-64 adres Odhadování adres na základě IPv4 (tunely a spol) Získavání informací z neighbor cache

IPv6 Attack Tools THC IPv6 Attack Toolkit parasite6, alive6, fake_router6, redir6, toobig6, detect-new-ip6, dosnew-ip6, fake_mld6, fake_mipv6, fake_advertiser6, smurf6, rsmurf6 http://freeworld.thc.org/ Scanners Nmap, halfscan6, Scan6, CHScanner Packet forgery Scapy6, SendIP, Packit, Spak6 DoS Tools 6tunneldos, 4to6ddos, Imps6-tools

ICMPv6 (RFC 2463) Značně odlišný oproti IPv4 Nezbytný protokol pro chod celého IPv6 Objevování sousedů (NDP) Bezstavová konfigurace (RS, RA) Práce se skupinami v multicastu (MLD) Diagnostika (PING) Signalizace Destination Unreachable Time exceeded Packet to Big Redirection Bez ICMPv6 IPv6 nefunguje!

Konfigurace klientů RA, DHCPv6 RA neobsahuje adresy name serverů Získat je jinou cestou (DHCPv4, DHCPv6) Obracet se na anycastovou adresu DNS serveru Rozšíření RA (RFC 5006) zatím bez implemetace Původním záměrem bylo vyhnout se zcela DHCPv6 První RFC 3315 (rok 2003) Předpokládá koexistencí s RA (flagy M,O) Neobsahuje prefix sítě ani adresu směrovače Různé OS podporují různé mechanizmy Windows Vista/7 RA + DHCPv6 MAC OS - RA Linux, BSD a spol. - různě

Hrozby v lokální síti Hrozby založene na modifikovaných ICMPv6 zprávach RA spoofing Vyčerpání zdrojů směrovače Redirekce ICMPv6 nelze blokovat jako celek komplikovaná konfigurace bezpečnostní politiky Falešný router (v sítich kde není IPv6) Hrozby založené na modifikovaných DHCPv6 zprávach DHCPv6 spoofing Falešné DHCPv6 (v sítích kde není IPv6)

Hrozby v lokální síti V IPv4 se pro přídělování adres ustálilo DHCP Mechanizmy ochrany na úrovní aktivních prvků DHCP snooping (zahazovaní paketů falešných DHCP) Dynamic lock down (stanice si nejdřív musí požadat o adresu z DHCP a pak může tuto adresu použít ke komunikaci) Možnosti v IPv6 zatím nevalné, nerozšířené a nejasné SeND (RFC 3971) Založen na asymetrické kryptografii (distribuce certifikátu) Cisco patentovaný protokol, ale otevřený všem Vylučuje použití privacy extension RA-Guard (draft-ietf-v6ops-rogue-ra-06, September 2010) Filtrace odpovědí na úrovní portu prvku SeND proxy SAVI (draft-bi-savi-cps-00, October 2009) Řeší RA, DHCPv4 I DHCPv6 v principu lepší RA-Guard Vyexpirovaný

Počet MAC adres v NC versus ARP

OK, nechme IPv6 být nějak to dopadne. Jenže 2/3 PC podporují dualstack Většina (téměř všechny) jsou nakonfigurovány tak aby získavaly adresu prostřednicvím autokonfigurace Všechny systémy upřednostňují IPv6 před IPv4 Jak tedy postupovat: Konfigurace PC, tak aby šířil do sítě RA Připravím si DHCPv6 server; jako adresy DNS serveru budu inzerovat svojí IPv6 adresu Upravím si DNS server tak, aby pro www.csas.cz, www.mbank.cz, www.kb.cz a www.liberouter.org vracel můj záznam s IPv6 adresou Zprovozním proxy službu a už jen loguju

Jak tomuto typu útoku bránit Zavedení nativní IPv6 konektivity Průběžné monitorování zdrojů prefixů ramond - http://ramond.sourceforge.net/ mafixd - http://www.kame.net/ ndpmon - http://ndpmon.sourceforge.net/ scapy6 - http://hg.natisbad.org/scapy6/ Blokování na úrovní acces listů přepínačů Viz. http://www.cesnet.cz/ipv6/wg/p/1006-detekce-routeru.pdf ipv6 access-list block-ra-dhcp 10 deny icmp any any 134 0 20 deny udp any eq 547 fe80::/64 eq 546 30 permit ipv6 any any exit interface 1-44 ipv6 access-group block-ra-dhcp in

Rozšiřující (zřetězené) hlavičky

Rozšiřující (zřetězené) hlavičky Snaha o vytvoření konceptu umožňující rozšířování Každá hlavička může mít jinou délku Linearní seznam hlaviček (voleb) Terminující: TCP, UDP, ICMPv6, OSPFv3, EIGRP, PIM-SM,, NULL IPSec: ESP, AH Řízení: Hop-by-Hop, Destination, Routing, Fragmentation option Experimentalní hlavičky Předepsané pořadí

Rozšiřující (zřetězené) hlavičky Potencialní rizika Zneužití routing header (obrana zákaz RH0) Fragmentace (obrana VRF) Záměrná záměna pořadí hlaviček Vyčerpaní prostředků dlohé zřetězení Zejména u Router alert hlavičky Minimální možnosti filtrace (ne)zkoušejte isic6 nahodilé generování hlaviček Všespasitelný IPSEC Skryje veškerý provoz před očima firewallu, IDS, IPS, Obecné doporučení povolit IPSec/ESP pouze pro vybrané stroje (adresy)

Hrozby na úrovní páteřních sítí BGP4+ : převzato prakticky 1:1 z BGP OSPFv3, RIPNG : drobné změny Link local adresy Zrušení OPFFv3 autentizace Zatím je IPv6 trafficu minimum Co se stane až dojde k nárustu objemu dat? Co se stane až dojde k navýšení počtu směrovacích záznamů? Zatím to vypadá relativně únosně zatím. Možný nárust užívání PI adres

Implementation Vulnerabilities in IPv6 so far Převzato z : http://freeworld.thc.org/papers.php IPv6 was meant to be easy to process and easy to implement. Programmers have learned their lessons with IPv4. Hey, then what can probably go wrong?

Implementation Vulnerabilities in IPv6 so far Python getaddrinfo Function Remote Buffer Overflow FreeBSD IPv6 Socket Options Handling Local Memory Disclosure Juniper JUNOS Packet Forwarding Engine IPv6 Denial of Service Apache Web Server Remote IPv6 Buffer Overflow Exim Illegal IPv6 Address Buffer Overflow Cisco IOS IPv6 Processing Remote Denial Of Service Linux Kernel IPv6_Setsockopt IPv6_PKTOPTIONS Integer Overflow Postfix IPv6 Unauthorized Mail Relay

Implementation Vulnerabilities in IPv6 so far Microsoft Internet Connection Firewall IPv6 Traffic Blocking n Microsoft Windows 2000/XP/2003 IPv6 ICMP Flood Denial Of Service Ethereal OSI Dissector Buffer Overflow n SGI IRIX Snoop Unspecified n SGI IRIX Snoop Unspecified n SGI IRIX IPv6 InetD Port Scan Denial Of Service n Apache Web Server FTP Proxy IPv6 Denial Of Service n Sun Solaris IPv6 Packet Denial of Service Multiple Vendor HTTP Server IPv6 Socket IPv4 MappedAddress

Implementation Vulnerabilities in IPv6 so far Cisco IOS IPv6 Processing Arbitrary Code Execution n Cisco IOS IPv6 Processing Arbitrary Code Execution Linux Kernel IPv6 Unspecified Denial of Service n HP Jetdirect 635n IPv6/IPsec Print Server IKE Exchange Denial Of Service n 6Tunnel Connection Close State Denial of Service HP-UX DCE Client IPv6 Denial of Service Multiple Vendor IPv4-IPv6 Transition Address Spoofing ZMailer SMTP IPv6 HELO Resolved Hostname Buffer Overflow Linux Kernel IPv6 FlowLable Denial Of Service Linux Kernel IP6_Input_Finish Remote Denial Of Service

Implementation Vulnerabilities in IPv6 so far Linux Kernel IP6_Input_Finish Remote Denial Of Service Sun Solaris 10 Malformed IPv6 Packets Denial of Service Sun Solaris Malformed IPv6 Packets Remote Denial of Service Windows Vista Torredo Filter Bypass Linux Kernel IPv6 Seqfile Handling Local Denial of Service Linux Kernel Multiple IPv6 Packet Filtering Bypass Vulnerabilities Cisco IOS IPv6 Source Routing Remote Memory Corruption

Implementation Vulnerabilities in IPv6 so far Linux Kernel IPv6_SockGlue.c NULL Pointer Dereference Multiple: IPv6 Protocol Type 0 Route Header Denial of Service Linux Kernel Netfilter nf_conntrack IPv6 Packet Reassembly Rule Bypass Sun Solaris Remote IPv6 IPSec Packet Denial of Service Linux Kernel IPv6 Hop-By-Hop Header Remote Denial of Service KAME Project IPv6 IPComp Header Denial Of Service OpenBSD IPv6 Routing Headers Remote Denial of Service

Implementation Vulnerabilities in IPv6 so far Linux Kernel IPv6_Getsockopt_Sticky Memory Leak Information Disclosure Linux Kernel IPv6 TCP Sockets Local Denial of Service Juniper Networks JUNOS IPv6 Packet Processing Remote Denial of Service Cisco IOS Dual-stack Router IPv6 Denial Of Service Multiple Platform IPv6 Address Publication Denial of Service Vulnerabilities Microsoft IPv6 TCPIP Loopback LAND Denial of Service Handling n BSD ICMPV6 Handling Routines Remote Denial Of Service

Implementation Vulnerabilities in IPv6 so far data from June 2008 47 bugs some multi operating systems many silently fixed Převzato z : http://freeworld.thc.org/papers.php

Závěr IPv6 kopíruje většinu bezpečnostních hrozeb IPv4 DDoS, Address spoofing, RH0, Fragmentace, Neřeší (a ani nemůže) hrozby nižších a vyšších vrstev Některé typy útoků jsou složitější Horizontální scanning Lepší filtrace sítí Některé snažší (zejména díky nezralosti protokolu) RA, DHCPv6 spoofing, Útoky na ICMPv6 Řetězení hlaviček, overflow Neznalostí a ignorací uživatelů a správců Nové možnosti přinášejí tranzitní mechanizmy IPSec není všespasitelné řešení Naopak některé věci hodně komplikuje

Domácí úkol IPv6 Security Eric Vyncke, Scott Hogg Publisher: Cisco Press ISBN: 1587055945 Pages: 576

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář