Académique Documents
Professionnel Documents
Culture Documents
Fernando Gont
proyecto realizado para
Agenda
Breve descripcin del trabajo realizado para UK CNI Introduccin al Descubrimiento de Vecinos (Neigbor Discovery) en IPv6 Mecanismo de resolucin de direcciones en IPv6 Ataques contra el mecanismo de resolucin de direcciones en IPv6 IPv6 Stateless Address Auto-Configuration (SLAAC) Ataques contra SLAAC Evasin de Router Advertisement Guard (RA-Guard) Conclusiones Preguntas y respuestas
Est basado en mensajes ICMPv6 Provee en IPv6 una funcionalidad anloga a la provista en IPv4 por ARP y DHCPv4
El Host 1 enva un NS: Quien tiene la direccin IPv6 2001:db8::1? El Host 2 responde con una NA: Yo tengo la direccin 2001:db8::1, y la MAC address correspondiente es 06:09:12:cf:db:55. El Host 1 cachea la informacn recibida en el Neighbor Cache durante un tiempo (esto es una optimizacin similar al ARP cache) El Host 1 puede ahora enviarle paquetes al Host 2
Si la Target Link-layer address anunciada no existe, el trfico termina siendo descartado, y se logra una Denegacin de Servicio (DoS) Si la Target Link-layer address anunciada se corresponde con la del atacante, entonces se puede lograr un ataque de tipo Hombre en el Medio (Man In the Middle)
El host configura una direccin link-local Chequea que la direccin sea nica es decir, realiza el procedimiento de Deteccin de Direccin Duplicada (DAD)
Enviar un NS, y ver si se obtiene respuesta
3. 4. 5.
El host enva un mensaje Router Solicitation Al recibir una respuesta, se configura una direccin IPv6 tentativa Chequea que la direccin sea nica es decir, realiza el procedimiento de Deteccin de Direccin Duplicada (DAD)
Enviar un NS, y ver si se obtiene respuesta
6.
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Code | Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Reserved | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options ... +-+-+-+-+-+-+-+-+-+-+-+-
SLAAC en IPv6
algunos ataques de ejemplo
Denegacin de Servicio
Explotar el mecanismo de Deteccin de Direcciones Duplicadas (DAD)
Esperar la recepcin de mensajes Neighbor Solicitation que utilicen la direccin IPv6 no-especificada (::) como direccin IPv6 Origen. Cuando se recibe tal mensaje, responder con un Neighbor Advertisement Como resultado, se considerar que la direccin tentativa no era nica, y por ende DAD fallar.
El mecanismo RA-Guard depnde de la capacidad de dicho dispositivo de identificar los mensajes Router Advertisement
Paquete Original
NH=44
NH=60
NH=58
Primer Fragmento
NH=44
NH=60
NH=58
Segundo Fragmento
Fragmentation Dest. Options Fragmentation Dest. Options Header Header Header Header
Paquete Original
NH=44
NH=60
NH=60
Primer Fragmento
NH=44
NH=60
NH=58
Segundo Fragmento
Fragment D. Opt. Dest. Options Fragment Hdr. D. Opt. Dest. Options Header Header Header Hdr. Header
Resultados
Incluso un simple encabezado de Destination Options es suficiente apra evadir implementaciones de RA-Guard. La combinacin de fragmentacin con varios encabezados de destindo hace imposible que un dispositivo de capa 2 pueda detectar que un mensaje Router Advertisement est atravesando el dispositivo.
Conclusiones
Es evidente que llevar un tiempo considerable hasta que la madurez de las implementaciones de IPv6 sea comparable con al de la de las implementaciones de IPv4. Es peligroso que las organizaciones desplieguen tecnologas y mitigaciones sin un slido conocimiento de las mismas.
Preguntas?
Agradecimientos
CNPI, organizadores de este evento, y Uds., los asistentes