Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Podobné dokumenty
Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

IPv6 Autokonfigurace a falešné směrovače

Demo: Multipath TCP. 5. října 2013

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Jak funguje SH Síť. Ondřej Caletka

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Dual-stack jako řešení přechodu?

Počítačové sítě 1 Přednáška č.5

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Co nového v IPv6? Pavel Satrapa

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Správa systému MS Windows II

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

Semestrální projekt do předmětu SPS

WrapSix aneb nebojme se NAT64. Michal Zima.

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Identifikátor materiálu: ICT-3-03

Stav IPv4 a IPv6 v České Republice

Úvod do IPv6. Pavel Satrapa

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

Firewally a iptables. Přednáška číslo 12

IPv6: Už tam budeme? Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Detekce volumetrických útoků a jejich mi4gace v ISP

Co znamená IPv6 pro podnikovou informatiku.

Autokonfigurace IPv6 v lokální sí

Ondřej Caletka. 5. listopadu 2013

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Site - Zapich. Varianta 1

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

Desktop systémy Microsoft Windows

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Téma 2 - DNS a DHCP-řešení

Radek Zajíc, Seminář IPv6,

Část l«rozbočovače, přepínače a přepínání

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

JAK ČÍST TUTO PREZENTACI

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Zabezpečení v síti IP

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Obrana sítě - základní principy


DoS útoky v síti CESNET2

Inovace výuky prostřednictvím šablon pro SŠ

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Počítačová síť TUONET a její služby

Technická specifikace zařízení

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Standardizace Internetu (1)

OpenVPN. Ondřej Caletka.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

DNS, DHCP DNS, Richard Biječek

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

SSL Secure Sockets Layer

Použití programu WinProxy

Otázky IPv6. Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Obsah. Úvod 13. Věnování 11 Poděkování 11

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Routování směrovač. směrovač

Podsíťování. Počítačové sítě. 7. cvičení

CAD pro. techniku prostředí (TZB) Počítačové sítě

Semestrální projekt do Směrovaných a přepínaných sítí

The Locator/ID Separation Protocol (LISP)

PB169 Operační systémy a sítě

Základy IOS, Přepínače: Spanning Tree

Jmenné služby a adresace

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Y36SPS Bezpečnostní architektura PS

IPv6 v CESNETu a v prostředí akademických sítí

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezdrátový router 150 Mbit/s Wireless N

Komunikace v sítích TCP/IP (1)

Access Control Lists (ACL)

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Počítačové sítě ve vrstvách model ISO/OSI

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

ÚČETNICTVÍ ORGANIZAČNÍCH KANCELÁŘÍ KOMPLEXNÍ SYSTÉM PRO VEDENÍ ÚČETNICTVÍ

VLSM Statické směrování

Stručný návod pro nastavení routeru COMPEX NP15-C

Y36SPS Jmenné služby DHCP a DNS

Analýza protokolů rodiny TCP/IP, NAT

Transkript:

IPv6 nové (ne)bezpečí? Ondřej Caletka Studentská unie ČVUT v Praze, klub Silicon Hill 22. února 2011 Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 1 / 14

Silicon Hill Studentský klub Studentské unie ČVUT Zajišt uje provoz sítě na kolejích Strahov Technologie Cisco Catalyst 6509, 3750, 29xx 10 Gbps připojení do sítě ČVUT, n 1 Gbps páteř Více než 4000 připojených uživatelů 147.32.112.0/20-4096 IPv4 adres IPv4 adresy došly kolem roku 2005 IPv6 v provozu od roku 2004 Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 2 / 14

IPv6 Nový protokol sít ové vrstvy: Vytváří novou sít, nekompatibilní s IPv4. Kompatibilní s protokoly jiných vrstev (TCP, UDP, HTTP, FTP, Ethernet, PPP). IPv6 adresa: Globálně/lokálně unikátní identifikátor a lokátor. 48 bitů globální prefix. 16 bitů identifikátor podsítě. 64 bitů identifikátor rozhraní (10 18 adres). Nepočítá s používáním NAT: Bezpečnost mají zajištovat firewally. I další výhody NATu mají v IPv6 alternativní řešení. Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 3 / 14

Proč zavádět IPv6 Nastala fáze vyčerpání IPv4 adres. Používání IPv4 představuje překážku v rozvoji Internetu. Začnou se objevovat služby jen na IPv6. Je možné, že nějaká autorita IPv4 adresy odebere pro narovnání situace na trhu. Potřebujeme-li veřejné IP adresy, jsou IPv6 adresy výrazně dostupnější. Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 4 / 14

IPv6 v lokální síti Neexistuje spolehlivý způsob, jak přistupovat z IPv4 do IPv6 sítě a naopak. Doporučeným řešením je dual-stack, tedy současný provoz IPv6 a IPv4 sítě. Je třeba současně udržovat dvě nezávislé sítě. Není jednoduché udržet pevnou vazbu mezi IPv4 adresou a IPv6 adresou. Směrování se v lokálních sítích IPv6 se konfiguruje automaticky: Směrovače vysílají do sítě ohlášení (Router Advertisment) Stanice po přijetí ohlášení okamžitě konfigurují své směrovací tabulky. Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 5 / 14

Nebezpečí automatické konfigurace Současné implementace IPv6 (Windows, Linux) nepodporují kryptografické zabezpečení autokonfigurace (SeND). Útočník může např. předstírat směrovač a převzít veškerý IPv6 provoz: Nejčastější útočník: Windows Vista a vyšší plus služba Internet Connection Sharing. Záznamy ve směrovací tabulce zůstávají i po odstranění škodlivého směrovače a způsobují nefunkčnost konektivity. Také je možné zneužít detekci duplicitních adres k útoku typu DoS. Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 6 / 14

Přesměrování komunikace Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 7 / 14

Obrana proti falešným směrovačům RA-guard na přístupové vrstvě: Přijde-li RA z neautorizovaného portu, není propuštěno a port se vypne. Vyžaduje přepínače, které rozumí IPv6. Obdoba DHCP snoopingu pro IPv4. RAmond na libovolném počítači na segmentu: Vysílá protiohlášení, kterým ruší účinky původního. Pouze workaround, nejedná se o systémové řešení. Vysoká priorita autoritativních směrovačů: Pouze částečná obrana proti rozkonfigurovaným MS Windows, nezabrání útočníkovi. Ruční konfigurace. Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 8 / 14

Automatická konfigurace IPv6 adres Bezestavová autokonfigurace (SLAAC) Vychází z automatické konfigurace směrování. Směrovač v ohlášení sděluje 64-bitový prefix. Klient k prefixu připojí vlastní identifikátor rozhraní, tak vytvoří svou adresu. DHCPv6 Obdoba protokolu DHCP pro IPv4. Umožňuje mj. i přidělovat adresní prefix pro domácí směrovače. Není soběstačný, potřebuje RA. Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 9 / 14

Úskalí bezestavové autokonfigurace Dokáže přidělit pouze IP adresu, nikoli DNS, NTP, SIP server, atd. Problém s identifikátory rozhraní: Identifikátor rozhraní je obecně náhodné číslo. Některé implementace ho odvozují z MAC adresy. Náhodný identifikátor se může v čase měnit. Problém s de-anonymizací počítačů. Možná řešení: Filtrovat pouze adresy, které jsou odvozeny z MAC adres a každý počítač zkonfigurovat. Zaznamenávat tabulky sousedů na směrovačích (MAC adresy odpovídající IPv6 adresám). Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 10 / 14

DHCPv6 K identifikaci počítače se nepoužívá MAC adresa, ale DHCP Unique Identifier (DUID): Identifikátor společný pro celý počítač. Nezávislý na obměně HW. Obvykle se používá linková adresa libovolné sít ové karty a čas prvního startu operačního systému. Narozdíl od SLAAC: Pracuje i s delšími prefixy, než 64 bitů. Přiděluje kompletní sadu informací. Dokáže přidělit i adresní prefix (pro domácí směrovače). DHCPv6 server má přehled, které adresy byly přiděleny, ostatní mohou být např. filtrovány. Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 11 / 14

Jak se vyhnout dual-stacku Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) Tunelování IPv6 provozu po IPv4 v lokálních sítích. IPv6 adresa je odvozena od IPv4 adresy. Nativně podporováno ve Windows. Aplikační proxy servery Vhodné pro start stačí zavést IPv6 na proxy server. HTTP proxy Squid podporuje IPv6 od verze 3.1. SOCKS protokol verze 5 podporuje IPv6. NAT64 Navrhovaný standard pro připojení IPv6 klientů k IPv4 serverům. Umožní eliminovat v koncové síti IPv4. Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 12 / 14

Další postřehy Pozor na blokování ICMP zpráv, zejména v kombinaci s filtrováním povolených IPv6 adres. Toto je bohužel výchozí konfigurace Windows. Prakticky se projevuje zdržením cca. 30 sekund při pokusu o přístup na dual-stack službu. Podle výzkumu Google se tento problém týká 0,5% uživatelů Internetu. Někdy může být vhodné upravit tabulku preferovaných adres: Například preferovat IPv4 před IPv6. Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 13 / 14

Konec Děkuji za pozornost. 5. 6. března 2011 Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 14 / 14

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář