Académique Documents
Professionnel Documents
Culture Documents
2) Router Advertisement (RA): Esta mensagem e enviada Figura 1: Pacote original encapsulado para modo transporte
em dois momentos, sempre que e solicitada atraves de uma RS
2) Modo Tunel: Neste modo de utilizacao a configuracao
(enviado quando um novo no ingressa na rede) ou de tempos
e realizada nos roteadores de borda e o pacote IP e protegido
em tempos pre determinados a fim de manter as informacoes
por inteiro, onde todo o pacote e encapsulado dentro de outro
atualizadas nos nos pertencentes a rede.
pacote IP, este recebe um novo cabecalho IP externo que
3) Neighbor Solicitation (NS): Esta mensagem e enviada
permite a comunicacao entre os pontos emissor e receptor.
pelo no aos seus vizinhos (outros nos da rede) e desempenha
03 (tres) funcoes basicas para o funcionamento do protocolo
IPv6, atraves da mensagem NS o no faz a descoberta de
enderecos fsicos a partir dos enderecos logicos, verifica se os
vizinho estao acessveis e verifica se existem IPv6 duplicados
na vizinhanca.
4) Neighbor Advertisement (NA): A mensagem de NA e Figura 2: Pacote original encapsulado para modo tunel
enviada tanto em resposta as NS quanto para informar a 3) Gerenciamento de Chaves: A fim de garantir a
vizinhanca sobre alteracoes em um dispositivo da rede. seguranca na troca de informacoes o IPSec utiliza o compar-
5) Redirect: Quando um roteador identifica uma rota mel- tilhamento de chaves para verificar e garantir a autenticacao,
hor para determinada comunicacao (entre dois pontos), ele integridade e criptografia das informacoes trocadas. Esta dar-
envia uma Redirect a este no informando que a rota para esta se-a atraves de distribuicao automatica ou manual. Para garan-
comunicacao deve ser alterada. tir a troca destas chaves por um meio ainda nao seguro o IPSec
sugere a utilizacao do protocolo IKE (Internet Key Exchange),
C. IPSec que trabalha em duas fases, na primeira a autenticidade dos
dispositivos e checada atraves de uma serie de mensagens
O IPv6 traz nativamente importantes solucoes para comuns trocadas, apos esta checagem e gerada uma chave ISAKMP
ameacas de seguranca. O mais significativo e a utilizacao (Internet Security Association Key Management), na segunda
mandatorio do IPSec em todos os nos que trabalham com fase sao geradas as chaves para o AH e ESP a patir da
o protocolo. Na especificacao IPv4 foi definido que qualquer ISAKMP.
dado enviado por um pacote IP nao receberia em sua camada Descrito na RFC 2409, o Internet Key Exchange consiste
qualquer tipo de criptografia, ficando na responsabilidade no padrao criado pela IETF responsavel por especificar uma
da camada de aplicacao criptografar as informacoes. O uso metodologia segura para a troca de chaves entre duas pontas,
mandatorio de IPSec (RFC 4301 de 2005) faz com que visando fazer com que essas se autentiquem entre si e entrem
a criptografia nessa camada sempre esteja disponvel para em acordo quando ao meio utilizado para assegurar dados
utilizacao na rede, podendo ou nao ser habilitada. transmitidos, ou seja, este protocolo e utilizado entre junto a
A melhor alternativa para a seguranca em nvel de aplicacao duas pontas IPSec para que essas estabelecam uma relacao de
e fornecida na camada de rede, onde todo o conteudo dos confianca entre si antes de transmitirem dados confidenciais?.
pacotes IP, e mesmo os proprios cabecalhos IP, sao protegidos.
Essa solucao apresenta muitas vantagens. Ela esta disponvel III. V ULNERABILIDADES E AMEACAS
para todo o trafego IP entre qualquer par de lados e, portanto, Por seu pouco tempo de uso muitos ataques dos quais
e util para proteger dados de aplicacoes e tambem pode ser nao haviam sido pensados anteriormente acontecem. O grafico
usada para proteger trocas de roteamento e sinalizacao. O abaixo, emitido pela NVD (National Vulnerability Database),
IPSEC e a base da seguranca em nvel de rede. Ele e usado que e um repositorio de ocorrencias de vulnerabilidades do
para autenticar o emissor das mensagens, para verificar se governo dos EUA, retrata o cenario de vulnerabilidades por
os dados da mensagem nao foram adulteradas e para ocultar ano.
informacoes de olhos nao autorizados ?.
O IPSec utiliza cabecalhos AH e ESP para prover seguranca
a informacao fazendo a criptografia do seu conteudo e
fornecendo uma comunicacao segura fim-a-fim. O IPSec pode
ser utilizado de duas formas, Modo Transporte ou Modo Tunel.
1) Modo Transporte: Neste modo existe a necessidade
de configuracao nos dois pontos envolvidos na comunicacao
(emissor e receptor). No modo transporte o cabecalho IP
mantem-se original, e o IPSec protege apenas os cabecalhos
superiores sendo inserido logo apos o cabecalho IP e antes
dos cabecalhos das camadas superiores.
SEGURANCA DA INFORMACAO, 2 DE DEZEMBRO 2013 3
Figura 3: Vulnerabilidades que envolvem IPv6 durante o inter- Figura 4: Tecnica de geracao eui-64 para autoconfiguracao de
valo de 2002 e 2013. O cenario mostra que conforme o IPv6 enderecos link-local
tem sido utilizado vulnerabilidades veem sendo descobertas?.
Por ser baseado no MAC, os 3 primeiros hexadec-
Alem de possveis vulnerabilidades do proprio protocolo imais sao sempre iguais para equipamentos com inter-
existe tambem a vulnerabilidade humana. Acontece que os face de mesmo fabricante. Digamos que um determinado
administradores de redes implementavam redes com IPv4 endereco link-local gerado pelo MAC e8:39:35:9b:c0:c9
seguindo um modelo que nao era o de internet fim-a-fim, mod- fosse o fe80::ea39:35ff:fe9b:c0c9, sendo assim todos os
elo esse proposto, difundido e recomendado pela especificacao hosts com interface de mesmo fabricante teriam o endereco
IPv6. A questao e que quantidade de endereco agora nao fe80::ea39:35ff:fexx:xxxx o que daria um total reduzido de
e mais preocupacao, e os dispositivos conectados em uma hosts a serem escaneados de 224 , ou seja 16777216 hosts.
determinada rede recebem por sua vez enderecos IPs validos 2) Varredura por solicitacoes Multicast: Se voce for cliente
(roteaveis na internet), diferente das redes IPv4 que, sem da rede pode iniciar uma varredura apenas pingando aos
sua grande maioria, dispositivos se conectavam por detras de enderecos multicast de uma rede que sao enderecos para
algum NAT que detinha um endereco de uso externo (internet). facilitar roteamento dos pacotes aos grupos que lhe pertencem.
Vulnerabilidade soluvel atraves de polticas e treinamentos
aplicados no recurso humano da rede. Ataques conhecidos do
protocolo IPv4 continuam valendo para o IPv6, as contrame-
didas para as vulnerabilidades que as permitem, sao a maneira
com que se configura a rede e as ferramentas que serao usadas
como defesa.
Ataques ao IPv6 tem suas particularidades. Vejamos alguns
tipos de ataques.
A. Varredura de rede
Aqui uma particularidade importante e que gera certos mitos
quanto a esse tipo de ataque. Sub-redes IPv6 implementam Figura 5: Enderecos multicast
geralmente a VLSM(Variable Length Subnet Masks) /64 que Um simples ping6 ff02::1 nos retornaria todos os hosts vivos
em um endereco IPv6 corresponde a exatos 264 ou seja na minha rede.
1,8446744071019 hosts. Em um metodo de escaneamento
convencional de uma sub-rede IPv4 de 254 hosts isso de- B. Vulnerabilidades do NDP
moraria poucos segundos para ser feito, ja numa rede que
Um fato importante que vale ser ressaltado, e que a adicao
implementa IPv6, descobrir quais hosts estao vivos pode
do NDP ao IPv6 trouxe vulnerabilidades daquele para esse.
demorar alguns anos. Isso gera a impressao de que varreduras
Solucoes para essas vulnerabilidades foram pensadas e ja
em IPv6 sao impossveis, mas isso nao e verdade.
fazem parte da especificacao do protocolo IPv6. Sao o Security
Defesas contra varredura de rede consistem em evitar a
Neigboar Discovery (SEND) e o RAGuard, esses respectiva-
descoberta de enderecos alterando a maneira com que eles sao
mente, solucoes para as vulnerabilidades de Falsificacao do
gerados em sua rede ou ate mesmo criptografando-os, fazendo
Neighboar Discovery e do Router Advertisement.
assim com que eles nao sejam passveis de previsao. 1) Falsificacao do Neighbor Discovery: Ao entrar em uma
O Atacante pode diminuir o numero de hosts que precisa determinada rede um no envia uma mensagem NS verificando
escanear para descobrir nos vivos prevendo-os atraves de: se seu endereco esta duplicado na rede, um host atacante
1) Reducao da varredura por causa da auto-configuracao: responde a esse no com uma mensagem NA informando um
Atraves de um no vivo descoberto, determinar o prefixo link- DAD(Duplicate Address Detection). Um novo endereco IPv6
local por exemplo fe80::xxxx:xxxx:xxxx:xxxx, os ultimos 64 e aderido ao no e a solicitacao NS e reenviada, novamente
bits serao autoconfigurados baseados no endereco MAC de o atacante responde um NA tipo DAD. O processo se repete
uma determinada interface na rede, essa tecnica se chama ocasionando uma DoS(Denial of Service).
SLAAC(Stateless address autoconfiguration). 2) Falsificacao de Router Advertisement: Ao entrar em uma
determinada rede um no envia uma mensagem RS para desco-
brir os routers de seu link, uma mensagem RA e respondida
pelo atacante se passando por router. Dessa maneira todo o
trafego do no passa pelo atacante, podendo caracterizar um
ataque Man-in-the-middle ou DoS.
IV. C ONTRAMEDIDAS
A. SEND
Extensao de seguranca do NDP, o SEND (SEcure Neigbor
Discovery;) prove camadas de protecao ao Protocolo de de-
SEGURANCA DA INFORMACAO, 2 DE DEZEMBRO 2013 4