SEGURANCA DA INFORMACAO, 2 DE DEZEMBRO 2013
Seguranca do Protocolo IPv6 - Ameacas e
Contramedidas
Gutemberg Felix Pereira Junior, Autor, UNESP-FEIS, Rafael Sordi da Silva, Autor, UNESP-FEIS,
e Roberto Ferreira dos Santos Junior, Autor, UNESP-FEIS
ResumoEsse artigo faz a analise de seguranca em redes que
sao implementadas com o protocolo IPv6, focando sua definicao,
motivacao, estrutura e aplicacao. Aspectos como principais
diferencas (vulnerabilidades e contramedidas) entre a antiga
versao do protocolo, o IPv4, sao estudadas com mais afinco.
Palavras chavesIPv6, IPv4, Seguranca, Redes, vulnerabili-
dades, ataques, contramedidas, ameacas.
I. I NTRODUC AO
OMUNICACAO em redes e feita atraves de acordos
C entre os dispositivos interessados em trocar informacoes.
Essa e a ideia por detras dos protocolos de comunicacao. O
protocolo IP (Internet Protocol) surgiu em 1974 como parte
da sute de protocolos TCP/IP, que em conjunto possibilita
os acordos de conversacao entre dois ou mais dispositivos
em uma rede, levando em consideracao todos os possveis
parametros de uma conversa: tempo de duracao, quem ira
ouvir, quando, como e onde enviar, etc. A primeira rede
de computadores, ARPANET (Advanced Research Projects
Agency Network) do Departamento de Defesa dos Estados
Unidos da America (DoD), em 1969, ja implantara um pro-
tocolo de comunicacao denominado NCP (Network Control
Protocol), que atuava na camada de transporte. Conhecido
como protocolo host-to-host, o NCP precisou ser trocado
devido ao crescimento da rede. Surge entao o seu sucessor
o TCP/IP.
O protocolo TPC/IP utilizava o protocolo IPv4, cujo
qual entrou em operacao em 1978 e recebeu sua primeira
documentacao em 1979. Sua primeira Request for Commet
em Janeiro de 1980, a RFC 760.
O IPv4 e um protocolo de enderecamento baseado em 32-
bit, 232 exatamente 4294967296 de enderecos diferentes. E
notado em Dotted Decimal ( Ex: 198.51.100.212 ) para facil-
itar a leitura e operacao humana. Apesar de aproximadamente
4,3 bilhoes de enderecos parecer muita coisa o esgotamento de
enderecos passou a ser preocupacao desde o final da decada
de 1980 onde o mundo experimentava, e experimenta ate
hoje, um crescimento exponencial do numero de computadores
conectados na internet. Desde entao varias implementacoes
foram realizadas para suprir a escassez de enderecos, como o
metodo de alocacao CIDR (Classless Inter-Domain Routing),
NAT(Network Address Translation) e o IPv6.
Em 2011 ocorre a exaustao de enderecos /8 o que alavancou
a migracao para o IPv6 que ja estava em producao desde 2008.
1
II. O IP V 6
O IPv6 foi desenvolvido pela IETF (Internet Engineering
Task Force) como contramedida ao esgotamento de enderecos
IPs na internet. Sua RFC 2460 em 1988. Trata-se de um
protocolo de enderecamento baseado em 128-bit, 2128 . Trouxe
mudancas significativas nao so no modelo de enderecamento
mas principalmente na maneira de funcionamento dos pro-
tocolos das camadas de transporte e rede. Dentre todas as
mudancas no protocolo de enderecamento vale ressaltar o
Internet Control Message Protocol Version 6 (ICMPv6), o
Neighbor Discovery Protocol (NDP) e as implementacoes
nativas de seguranca como o IP Security Protocol (IPSec) e o
Security Neighbor Protocol (SEND).
A. ICMPv6
A principal mudanca esta no ICMPv6 que agora assume as
funcoes dos conhecidos protocolos ARP (Address Resolution
Protocol), RARP (Reverse Address Resolution) e do IGMP
(Internet Group Management Protocol). Esses protocolos antes
eram independentes do protocolo IP e agora passam a se tornar
parte dele. Por esse motivo, implementacoes de firewall que
bloqueavam pacotes ICMP como medida de seguranca nao
seriam mais possveis com o IPv6, tal medida bloquearia todo
o trafego da rede.
B. NDP - Neighbor Discovery Protocol
O IPv6 recebe tambem um novo protocolo, o chamado NDP,
que estende as funcionalidades do IPv6 fazendo com que ele
nao seja apenas um simples protocolo de enderecamento. O
proprio no enderecado descobre seus vizinhos e informacoes
sobre parametros e rotas da rede, autoconfigurando-o e atuando
diretamente no processo de transmissao de pacotes. O NDP
foi desenvolvido para trabalhar com 05 (cinco) mensagens
ICMPv6, estas mensagens sao responsaveis por todos os
servicos providos por este protocolo, sendo elas:
Router Solicitation (RS), mensagem tipo 133.
Router Advertisemente (RA) mensagem tipo 134.
Neighbor Solicitation (NS), mensagem tipo 135.
Neighbor Advertisement (NA), mensagem tipo 136.
Redirect, mensagem tipo 137.
1) Router Solicitation (RS): Quando um no ingressa na
rede, ele envia uma mensagem RS, esta mensagem faz com
que os Roteadores da rede se apresentem atraves de uma men-
sagem de resposta RA, esta mensagem traz dados importantes
que informam a este no sobre os padroes utilizados na rede
bem como as rotas que devem ser utilizadas.
SEGURANCA DA INFORMACAO, 2 DE DEZEMBRO 2013
2) Router Advertisement (RA): Esta mensagem e enviada
em dois momentos, sempre que e solicitada atraves de uma RS
(enviado quando um novo no ingressa na rede) ou de tempos
em tempos pre determinados a fim de manter as informacoes
atualizadas nos nos pertencentes a rede.
3) Neighbor Solicitation (NS): Esta mensagem e enviada
pelo no aos seus vizinhos (outros nos da rede) e desempenha
03 (tres) funcoes basicas para o funcionamento do protocolo
IPv6, atraves da mensagem NS o no faz a descoberta de
enderecos fsicos a partir dos enderecos logicos, verifica se os
vizinho estao acessveis e verifica se existem IPv6 duplicados
na vizinhanca.
4) Neighbor Advertisement (NA): A mensagem de NA e
enviada tanto em resposta as NS quanto para informar a
vizinhanca sobre alteracoes em um dispositivo da rede.
5) Redirect: Quando um roteador identifica uma rota mel-
hor para determinada comunicacao (entre dois pontos), ele
envia uma Redirect a este no informando que a rota para esta
comunicacao deve ser alterada.
C. IPSec
O IPv6 traz nativamente importantes solucoes para comuns
ameacas de seguranca. O mais significativo e a utilizacao
mandatorio do IPSec em todos os nos que trabalham com
o protocolo. Na especificacao IPv4 foi definido que qualquer
dado enviado por um pacote IP nao receberia em sua camada
qualquer tipo de criptografia, ficando na responsabilidade
da camada de aplicacao criptografar as informacoes. O uso
mandatorio de IPSec (RFC 4301 de 2005) faz com que
a criptografia nessa camada sempre esteja disponvel para
utilizacao na rede, podendo ou nao ser habilitada.
A melhor alternativa para a seguranca em nvel de aplicacao
e fornecida na camada de rede, onde todo o conteudo dos
pacotes IP, e mesmo os proprios cabecalhos IP, sao protegidos.
Essa solucao apresenta muitas vantagens. Ela esta disponvel
para todo o trafego IP entre qualquer par de lados e, portanto,
e util para proteger dados de aplicacoes e tambem pode ser
usada para proteger trocas de roteamento e sinalizacao. O
IPSEC e a base da seguranca em nvel de rede. Ele e usado
para autenticar o emissor das mensagens, para verificar se
os dados da mensagem nao foram adulteradas e para ocultar
informacoes de olhos nao autorizados ?.
O IPSec utiliza cabecalhos AH e ESP para prover seguranca
a informacao fazendo a criptografia do seu conteudo e
fornecendo uma comunicacao segura fim-a-fim. O IPSec pode
ser utilizado de duas formas, Modo Transporte ou Modo Tunel.
1) Modo Transporte: Neste modo existe a necessidade
de configuracao nos dois pontos envolvidos na comunicacao
(emissor e receptor). No modo transporte o cabecalho IP
mantem-se original, e o IPSec protege apenas os cabecalhos
superiores sendo inserido logo apos o cabecalho IP e antes
dos cabecalhos das camadas superiores.
2
Figura 1: Pacote original encapsulado para modo transporte
2) Modo Tunel: Neste modo de utilizacao a configuracao
e realizada nos roteadores de borda e o pacote IP e protegido
por inteiro, onde todo o pacote e encapsulado dentro de outro
pacote IP, este recebe um novo cabecalho IP externo que
permite a comunicacao entre os pontos emissor e receptor.
Figura 2: Pacote original encapsulado para modo tunel
3) Gerenciamento de Chaves: A fim de garantir a
seguranca na troca de informacoes o IPSec utiliza o compar-
tilhamento de chaves para verificar e garantir a autenticacao,
integridade e criptografia das informacoes trocadas. Esta dar-
se-a atraves de distribuicao automatica ou manual. Para garan-
tir a troca destas chaves por um meio ainda nao seguro o IPSec
sugere a utilizacao do protocolo IKE (Internet Key Exchange),
que trabalha em duas fases, na primeira a autenticidade dos
dispositivos e checada atraves de uma serie de mensagens
trocadas, apos esta checagem e gerada uma chave ISAKMP
(Internet Security Association Key Management), na segunda
fase sao geradas as chaves para o AH e ESP a patir da
ISAKMP.
Descrito na RFC 2409, o Internet Key Exchange consiste
no padrao criado pela IETF responsavel por especificar uma
metodologia segura para a troca de chaves entre duas pontas,
visando fazer com que essas se autentiquem entre si e entrem
em acordo quando ao meio utilizado para assegurar dados
transmitidos, ou seja, este protocolo e utilizado entre junto a
duas pontas IPSec para que essas estabelecam uma relacao de
confianca entre si antes de transmitirem dados confidenciais?.
III. V ULNERABILIDADES E AMEACAS
Por seu pouco tempo de uso muitos ataques dos quais
nao haviam sido pensados anteriormente acontecem. O grafico
abaixo, emitido pela NVD (National Vulnerability Database),
que e um repositorio de ocorrencias de vulnerabilidades do
governo dos EUA, retrata o cenario de vulnerabilidades por
ano.
SEGURANCA DA INFORMACAO, 2 DE DEZEMBRO 2013
Figura 3: Vulnerabilidades que envolvem IPv6 durante o inter-
valo de 2002 e 2013. O cenario mostra que conforme o IPv6
tem sido utilizado vulnerabilidades veem sendo descobertas?.
Alem de possveis vulnerabilidades do proprio protocolo
existe tambem a vulnerabilidade humana. Acontece que os
administradores de redes implementavam redes com IPv4
seguindo um modelo que nao era o de internet fim-a-fim, mod-
elo esse proposto, difundido e recomendado pela especificacao
IPv6. A questao e que quantidade de endereco agora nao
e mais preocupacao, e os dispositivos conectados em uma
determinada rede recebem por sua vez enderecos IPs validos
(roteaveis na internet), diferente das redes IPv4 que, sem
sua grande maioria, dispositivos se conectavam por detras de
algum NAT que detinha um endereco de uso externo (internet).
Vulnerabilidade soluvel atraves de polticas e treinamentos
aplicados no recurso humano da rede. Ataques conhecidos do
protocolo IPv4 continuam valendo para o IPv6, as contrame-
didas para as vulnerabilidades que as permitem, sao a maneira
com que se configura a rede e as ferramentas que serao usadas
como defesa.
Ataques ao IPv6 tem suas particularidades. Vejamos alguns
tipos de ataques.
A. Varredura de rede
Aqui uma particularidade importante e que gera certos mitos
quanto a esse tipo de ataque. Sub-redes IPv6 implementam
geralmente a VLSM(Variable Length Subnet Masks) /64 que
em um endereco IPv6 corresponde a exatos 264 ou seja
1,8446744071019 hosts. Em um metodo de escaneamento
convencional de uma sub-rede IPv4 de 254 hosts isso de-
moraria poucos segundos para ser feito, ja numa rede que
implementa IPv6, descobrir quais hosts estao vivos pode
demorar alguns anos. Isso gera a impressao de que varreduras
em IPv6 sao impossveis, mas isso nao e verdade.
Defesas contra varredura de rede consistem em evitar a
descoberta de enderecos alterando a maneira com que eles sao
gerados em sua rede ou ate mesmo criptografando-os, fazendo
assim com que eles nao sejam passveis de previsao.
O Atacante pode diminuir o numero de hosts que precisa
escanear para descobrir nos vivos prevendo-os atraves de:
1) Reducao da varredura por causa da auto-configuracao:
Atraves de um no vivo descoberto, determinar o prefixo link-
local por exemplo fe80::xxxx:xxxx:xxxx:xxxx, os ultimos 64
bits serao autoconfigurados baseados no endereco MAC de
uma determinada interface na rede, essa tecnica se chama
SLAAC(Stateless address autoconfiguration).
3
Figura 4: Tecnica de geracao eui-64 para autoconfiguracao de
enderecos link-local
Por ser baseado no MAC, os 3 primeiros hexadec-
imais sao sempre iguais para equipamentos com inter-
face de mesmo fabricante. Digamos que um determinado
endereco link-local gerado pelo MAC e8:39:35:9b:c0:c9
fosse o fe80::ea39:35ff:fe9b:c0c9, sendo assim todos os
hosts com interface de mesmo fabricante teriam o endereco
fe80::ea39:35ff:fexx:xxxx o que daria um total reduzido de
hosts a serem escaneados de 224 , ou seja 16777216 hosts.
2) Varredura por solicitacoes Multicast: Se voce for cliente
da rede pode iniciar uma varredura apenas pingando aos
enderecos multicast de uma rede que sao enderecos para
facilitar roteamento dos pacotes aos grupos que lhe pertencem.
Figura 5: Enderecos multicast
Um simples ping6 ff02::1 nos retornaria todos os hosts vivos
na minha rede.
B. Vulnerabilidades do NDP
Um fato importante que vale ser ressaltado, e que a adicao
do NDP ao IPv6 trouxe vulnerabilidades daquele para esse.
Solucoes para essas vulnerabilidades foram pensadas e ja
fazem parte da especificacao do protocolo IPv6. Sao o Security
Neigboar Discovery (SEND) e o RAGuard, esses respectiva-
mente, solucoes para as vulnerabilidades de Falsificacao do
Neighboar Discovery e do Router Advertisement.
1) Falsificacao do Neighbor Discovery: Ao entrar em uma
determinada rede um no envia uma mensagem NS verificando
se seu endereco esta duplicado na rede, um host atacante
responde a esse no com uma mensagem NA informando um
DAD(Duplicate Address Detection). Um novo endereco IPv6
e aderido ao no e a solicitacao NS e reenviada, novamente
o atacante responde um NA tipo DAD. O processo se repete
ocasionando uma DoS(Denial of Service).
2) Falsificacao de Router Advertisement: Ao entrar em uma
determinada rede um no envia uma mensagem RS para desco-
brir os routers de seu link, uma mensagem RA e respondida
pelo atacante se passando por router. Dessa maneira todo o
trafego do no passa pelo atacante, podendo caracterizar um
ataque Man-in-the-middle ou DoS.
IV. C ONTRAMEDIDAS
A. SEND
Extensao de seguranca do NDP, o SEND (SEcure Neigbor
Discovery;) prove camadas de protecao ao Protocolo de de-
SEGURANCA DA INFORMACAO, 2 DE DEZEMBRO 2013
Ameaca Contramedida SEND
NS/NA Spoofing Assinatura RSA e campo CGA presente nas
mensagens;
Vizinho indisponvel
Falha de deteccao SEND requer que o laco respondendo ao NS
inclua uma assinatura RSA e prove que tem
autorizacao para verificar a vizinhanca;
DAD
DoS Inclusao de assinatura RSA e solicitacao de
autorizacao de NA enviado como resposta
ao DAD;
Falsificacao de RSA Requer que os anuncios de Router con-
tenham assinatura RSA e que sejam autor-
izados;
Ataques do tipo Replay Campo Nonce e seu par Timestamp.
Tabela I: Ameacas e respectivas contramedidas do SEND
scoberta de vizinhanca, inseguro e susceptvel a interferencias
e ataques maliciosos. A intencao e garantir uma barreira ao
NDP, utilizando autenticacao dos dispositivos, atraves de uma
serie de opcoes, como chaves CGA, campos Timestamp e
Nonce, e Assinaturas RSA?.
Pode ser feita atraves de um repositorio central/local ou de
forma descentralizada. No modelo centralizado, uma entidade
global (IANA e/ou RIRs regionais) validaria os roteadores,
forneceria uma chave e, para utilizacao do SEND, bastaria
uma configuracao dos dispositivos com a chave fornecida.
No modelo descentralizado, uma colecao de chaves publicas
confiaveis sao geradas e distribudas pelos dispositivos. Esse
modelo permitiria que dispositivos operassem sem o SEND,
mas garantiria a utilizacao dele nos roteadores que tem as
chaves geradas anteriormente. Atualmente nao existem muitas
implementacoes funcionais do SEND, o que dificulta estudos
de impactos de performance.
1) CGA Cryptographically Generated Addresses: Endereco
gerado criptograficamente. Antes de requerer o endereco, cada
nodegarante um par de chave publica-privada e o CGA
verifica essa chave. Assim, a CGA garante que cada remetente
da mensagem NDP e o dono do endereco de origem.
2) Timestamp e Nonce: Os campos evitam ataques do tipo
replay, protegendo a conexao quando ela ainda nao esta estab-
elecida (Timestamp) e mensagens pareadas do tipo solicitation-
advertisement (Nonce) - garantindo que a uma resposta nao
pode ser dada a uma solicitacao ja enviada.
3) Certification Path Solicitation: Certificacao de cam-
inho. Autorizacoes sao garantidas para os roteadores e hosts;
roteadores recebem certificacoes de uma agencia certificadora
e os hosts recebem autorizacao para um determinado router.
As Certificacoes de caminho garantem que os dispositivos se
conectam apenas a roteadores certificados.
4) Assinatura RSA: Cada mensagem NDP e protegida por
uma assinatura baseada em chave publica. Essas assinaturas
mantem a integridade das mensagens e autentica a identidade
do remetente. Por questao de compatibilidade, essa opcao e
mandatoria.
B. RA-Guard
Solucao mais simples que o SEND, que trata somente dos
problemas dos pacotes do tipo Router Advertisement, es-
4
pecificada na RFC6105, fornece suporte para bloquear (filtrar)
mensagens maliciosas do tipo RA.
1) Definicoes e Restricoes: Aplicavel a switchs de camada
2, capazes de implementar o protocolo, nao pode ser utilizado
em meios compartilhados, conexoes diretas ou switchs sem a
capacidade RA-Guard. O funcionamento e simples: permitir
pacotes de RA apenas de portas previamente conhecidas e
configuradas. Todos os outros RAs vindos de outras portas
sao descartados, impedindo que equipamentos se anunciem
ou falsifiquem anuncios na rede. O ideia nao e substituir
o SEND, e sim complementa-lo, mesmo por que, alem de
ser mais robusto, o SEND permite bloquear ataques do tipo
Neigbor Solicitation, que nao sao objetivados pelo RA-
Guard. Verificamos que o mecanismo RA-Guard e efetivo
somente quando todas as mensagens trafegam atraves do
dispositivos L2 (camada 2). O mecanismo tambem nao protege
ambientes onde existe um trafego IPv6 tunneled?.
2) Funcionamento: Como ja mencionado, o RA-Guard ex-
amina os pacotes do tipo RA e decide se deve, ou nao, permiti-
los, baseado em informacoes configuradas no equipamento.
Algumas informacoes importantes:
Porta;
Endereco IPv6 de origem;
Lista de Prefixos;
E as seguintes configuracoes sao efetuadas e verificadas:
Portas permitidas/bloqueadas para receber e enviar RAs;
Endereco de origem permitido/bloqueado para o RA;
Prefixos permitidos (ou listas de prefixos);
Preferencia de controle do Router.
Com base nessas informacoes, o RA e encaminhado ao
destino, ou descartado.
V. C ONSIDERAC OES F INAIS
A transicao do IPv4 ao IPv6 e inevitavel. Analisados
nesse artigo, os protocolos de seguranca do IPv6 estao em
desenvolvimento, e alguns ainda nao podem ser totalmente
analisados, devido as dificuldades de implementacao ou falta
de equipamentos adequados. Algumas medidas, que eram
opcionais na versao 4, agora sao mandatorias na versao 6,
como a utilizacao do IPSec. A melhoria no enderecamento
e outros preceitos, como agrupamento de protocolos anti-
gos no ICMPv6 e a adicao do NDP, permitem aos ad-
ministradores um melhor controle e simplificam as tarefas
de roteamento/seguranca. Na mesma medida do crescimento
da internet, aumentam tambem os tipos de ameacas, suas
complexidades, e o numero de ataques, exigindo melhorias
nas polticas de seguranca, e nos recursos humanos destacados
para configurar e lidar essas ferramentas.
R EFER ENCIAS
Adrian Farrel. The Internet and its protocols: a comparative
approach. Morgan Kaufmann Publishers, 2004.
Harkins Carrel. Rfc 2409 - the internet key exchange (ike).
http://www.ietf.org/rfc/rfc2409.txt, 1998.
NVD. Cve and cce vulnerability database. http://nvd.nist.gov/,
2013.
SEGURANCA DA INFORMACAO, 2 DE DEZEMBRO 2013 5

J.Arkko. Rfc 3971 - secure neighbor discovery (send). http:

//tools.ietf.org/html/rfc3971, 2005.
Eric Levy-Abegnoli. Rfc 6105 - ipv6 router advertisement
guard. http://tools.ietf.org/html/rfc6105, 2011.
CISCO. Technical review of ipv6 on the catalyst 6500
supervisor 2t. http://www.cisco.com/en/US/prod/collateral/
switches/ps5718/ps708/white paper c11-649628.html,
2011.
NIC.br. Curso ipv6. http://ipv6.br/, 2012.
R. Gagliano. Rfc 6494 - certificate profile and certificate
management for secure neighbor discovery (send). http:
//tools.ietf.org/html/rfc6494, 2012.
Cristina Basso. Implementacao de IPSec inegrado com o IPv6.
Tcc, Universidade Tecnologica Federal do Parana - Pato
Branco, 2011.