IPv6 First Hop Security. Fernando Gont

Documentos relacionados
Neighbor Discovery para IPv6: Ataques y Contramedidas

Análisis de Seguridad de Descubrimiento de Vecinos (Neighbor Discovery) para IPv6

Seguridad IPv6. Fernando Gont. Seminario virtual organizado por LACNIC

Seguridad de la información: ARP Spoofing

Seguridad IPv6: Ataque y Defensa. Fernando Gont

Neighbor Discovery. Juan C. Alonso

Implementando NAT64 / DNS64

Universidad Técnica Federico Santa María Departamento de Electrónica. Proyecto Redes de Computadores Elo322 Routers, Servidor Virtual y Seguridad

IPv6: Motivación y Desafíos. Fernando Gont

nos interesa, analizaremos la solución de la empresa

Coexistencia y Transición. Juan C. Alonso juancarlos@lacnic.net

cambiar la dirección IP) con independencia de la localización, movimiento e infraestructura de red utilizada.

Avances recientes en seguridad IPv6. Fernando Gont

Firewalls, IPtables y Netfilter

TUTORIAL: Cómo hacer más segura nuestra red MAC OS X

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

DHCP. Dynamic Host Configuration Protocol. Protocolo de Configuración Dinámica de Host. Administración de Redes de Computadores

DIRECCIONAMIENTO DE RED. Direcciones IPv4

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM

CAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO

Manual de operación Tausend Monitor

Capa de red de OSI. Semestre 1 Capítulo 5 Universidad Cesar Vallejo Edwin Mendoza emendozatorres@gmail.com

Redes de área local Aplicaciones y Servicios Linux Enrutamiento

Seguridad IPv6: mitos y realidades. Fernando Gont

Capitulo 3. Desarrollo del Software

Configuración Servidor DHCP

Agenda, continuación

INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD ADOLFO LÓPEZ MATEOS - ZACATENCO

66.69 Criptografía y Seguridad Informática FIREWALL

En caso de que el cliente nunca haya obtenido una concesión de licencia de un servidor DHCP:

Tesina: Integración de herramientas de seguridad para redes informáticas

CORE SECURITY. Recolección furtiva de información Ernesto Alvarez PAGE

APÉNDICE E: MANUAL DE USUARIO PARA EL SISTEMA DE MONITOREO DE REDES LAN.

MANUAL BÁSICO PARA CLIENTES

CONFIGURACIÓN BÁSICA TP-LINK APLICABLE A MODELOS: TL-WR841N & TL-WR841ND Sistemas Operativos de escritorio: Windows XP, Vista, 7, 8 y 8.

1. Dada la siguiente tabla, indique si los datos mostrados son correctos o no. Justifique. Dirección de red, Clase Mascara, Subred, Broadcast

GUÍA PARA LA CONFIGURACIÓN DE ESTATIZACIÓN DE IP

GATEWAYS COMO FIREWALLS

Protección contra ARP Spoofing Una guía multiplataforma.

Práctica de laboratorio Configuración de políticas de acceso y de valores de DMZ

La vida en un mundo centrado en la red

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Aviso de privacidad para

Seguridad ante ataques MiM (Man in the Middle) By Pablo E. Bullian pablo [dot] bullian [at] gmail [dot] com

Segmentación de trafico inalambrico mediante VLANS

ARP. Conceptos básicos de IP

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

Autoconfiguración Stateless Autoconfiguración Stateful (DHCPv6) Conclusiones

Protocolo ARP. Address Resolution Protocol

Cómo funciona? En la NAT existen varios tipos de funcionamiento: Estática

El esquema lógico de la red de la empresa. Switch. PCs Windows 7. La descripción del funcionamiento de la red es el siguiente

Título de la pista: Windows Server 2012 Detalles técnicos de redes

Instituto Tecnológico y de Estudios Superiores de Monterrey Práctica de Laboratorio 4 Implementación de un NAPT

Antes de pasar a explicar las posibles soluciones explicaremos conceptos importantes:

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula:

Problema bloqueo MAC (IOS previas a 10.7.X)

1 of 6. Visualizador del examen - ENetwork Chapter 5 - CCNA Exploration: Network Fundamentals (Versión 4.0)

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN.

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

How to: Servidor DHCP en Windows Server En este tutorial instalaremos:

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

IPv6. Autores: Belén Aldecoa Sánchez del Río Luis Alberto Ramon Surutusa

Universisdad de Los Andes Facultad de Ingeniería Escuela de Sistemas. Capa de Red. Mérida - Venezuela Prof. Gilberto Díaz

MANUAL DE PROCEDIMIENTO: CONFIGURACION DE CONEXION WIFI SEGURA EN EL HOGAR.

INSTITUTO TECNOLÓGICO DE SALINA CRUZ. Fundamentos De Redes. Semestre Agosto-Diciembre Reporte De Lectura

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

REDES DE ÁREA LOCAL. APLICACIONES Y SERVICIOS EN WINDOWS

Manual 123, LP-5420G Router. Cómo configurar el Control Parental. Manual 123, LP-5420G Router. Cómo configurar el Control Parental.

SEcure Neighbor Discovery (SEND) Alberto García Martínez U. Carlos III de Madrid

Versión 4 - Tutoriales

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

Internet, conceptos básicos

Experiencia 5 : Firewall

Manual de cuarentena de usuario de Mail Auditor

Cómo configurar el filtro de correo en el Servidor

CCNA 3 EXAMEN 7 SU PUNTUACION ES 100%. RESPUESTAS CORRECTAS AL PRIMER INTENTO: 21/21 EJERCICIO COMPLETADO

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

Router Teldat. Proxy ARP

TUTORIAL - DHCP. RAFAEL BRITO HERNÁNDEZ ( ) Sistema III-Grupo 1 Profesor: José Doñe

MECANISMOS DE TRANSICIÓN MECANISMOS DE TRANSICIÓN. Alberto Cabellos Aparicio

HOWTO: Cómo configurar SNAT

FILTRO ANTISPAM GUÍA DE CONFIGURACIÓN PARA CUENTAS IMAP

MICQ. Trabajo Práctico Final Seminario de Ingeniería en Informática I Facultad de Ingeniería, UBA. Junio Cátedra: Pablo Cosso

LICENCIA PLATAFORMA ERM

COPIA DE SEGURIDAD

INSTITUTO TECNOLOGICO DE LAS AMERICAS (ITLA) Nombre: Brayhan E. Acosta Hiciano. Matricula: Materia: Sistema Operativo III

IPv6 Autoconfiguración de Direcciones Stateless

(decimal) (hexadecimal) 80.0A.02.1E (binario)

WINDOWS : SERVIDOR DHCP

Instalación y Configuración de un Servidor FTP

Servidor DNS sencillo en Linux con dnsmasq

Introducción a las Redes de Computadoras

Introducción a redes Ing. Aníbal Coto Cortés

PROGRAMA DE ESTUDIO Área de Formación : Optativa Programa elaborado por:

Redes de área local: Aplicaciones y servicios WINDOWS

REDES INFORMATICAS: Protocolo IP

Roles y Características

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

Transcripción:

IPv6 First Hop Security Fernando Gont FLIP6 2012 Quito, Ecuador. Mayo 7-8, 2012

Motivación de esta Presentación Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 2

Motivación de esta presentación Tarde o temprano desplegarás IPv6 En realidad, seguramente ya lo has desplegado parcialmente IPv6 representa algunos desafíos en materia de seguridad: Qué podemos hacer al respecto? Opción #1 Opción #2 Opción #3

Motivation de esta presentación (II) Analizar algunos de los desafíos existentes, con el fin de encararlos correctamente Describir problemas, proponiendo soluciones

IPv6 First Hop Security Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 5

IPv6 First Hop Security Mecanismos utilizados en una red local para mitigar posibles ataques Posibles puntos de acción: sistemas finales (hosts) switch local router local (first-hop router) Conceptos ya conocidos del mundo IPv4: Firewalls host-based/network-based Monitoreo de resolución de direcciones (por ej. arpwatch) FIltrado de paquetes en layer-2 (por ej. DHCP snooping) etc

Firewalls en IPv6 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 7

Introducción Filtrado stateful Necesita mantener estado para realizar su labor Posible en firewalls basados en hosts No aplicable en todos los firewalls basados en red (potencial de DoS) Filtrado stateless No precisa mantener estado para realizar su labor Requiere toda la información relevante en un mismo paquete Particularmente interesante en firewalls basados en red (para evitar vectores de DoS)

Problema En IPv6, la cadena de encabezados puede ser virtualmente infinita y fragmentada! El filtrado state-less se hace imposible.

Solución Propuesta relevante: draft-gont-6man-oversized-header-chains Requiere que todos los encabezados estén en el primer fragmento En la práctica, dichos paquetes patológicos serán descartados

Seguridad IPv6 en Layer-2 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 11

Introducción Consiste básicamente en: Inspeccionar tráfico de resolución de direcciones Filtrado de tráfico de configuración de red Implementado en IPv4 mediante: arpwatch DHCP-snooping etc La version IPv6 consistiría en: Inspección de traffico de resolución de direcciones Inspección de tráfico de auto-configuración y DHCPv6

Problema Complejidad del tráfico a procesar en layer-2 Ejemplo:

Solución al filtrado en layer-2 Descartar paquetes potencialmente maliciosos: El primer fragmento no contiene la cadena de encabezados completa El Hop Limit es 255 La dirección de origen o destino es utilizada en SLAAC o DHCPv6 Propuestas relevantes: draft-ietf-v6ops-ra-guard-implementation: Pasó el WGLC draft-gont-opsec-dhcpv6-shield: recién publicado :-)

Solución al monitoreo en layer-2 Prohibir el uso de fragmentación con Neighbor Discovery No es necesario! Se puede enviar la misma información en multiples paquetes En posibles casos de uso, es indeseable: Por ej. introduce un vector de DoS en SEND Propuestas relevantes: draft-gont-6man-nd-extension-headers: en discusión en el 6man wg

Rastreo de direcciones IPv6 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 16

Introducción El rastreo colaborativo de direcciones es de suma utilidad. Ejemplo: Se infecta un host, y realiza actividad maliciosa Nos reportan la dirección IP del incidente Deseamos saber que sistema usó esa dirección IP en ese momento Situación en el mundo IPv4: La configuración de red se hace via DHCP El servidor DHCP mantiene un registro de los mapeos IP->MAC address

Problema IPv6 utiliza SLAAC cofiguración descentralizada No existe un log centralizado de IPv6 MAC Muchos sistemas implementan direcciones temporales: Las direcciones cambian permanentemente No es posible mantener un registro estatico Si dificulta el rastreo de direcciones IPv6

Solución #1 Monitorear el uso de direcciones IPv6 Escribimos ipv6mon: Realiza un escaneo local Detecta nuevas direcciones Prueba cada dirección para detectar cambios Publicaremos ipv6mon en el corto plazo Licencia GPL Portable (al menos Linux y *BSD)

Solución #2 Deshabilitar el uso de direcciones temporales Desventajas: Implicancias negativas en privacidad Debe realizarse equipo por equipo Propuesta relacionada: draft-gont-6man-slaac-policy Permite al router local especificar la politica de SLAAC deseada Por ej. solo direcciones estables, sin preferencias, etc. I-D siendo discutido en el 6man wg

Solución #3 Utilizar DHCPv6 Ventajas: Permite replicar en IPv6 nuestra experiencia del mundo IPv4 Problemas: Algunas plataformas no lo soportan Requiere administraccion de SLAAC+DHCPv6 Tema de frecuentes debates religiosos en la IETF!

Algunas conclusiones Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 22

KISS principle Es deseable tener paridad de funcionalidad con IPv4 Asimismo, en la medida que sea posible y tenga sentido......utilizar mecanismos y conocimientos del mundo IPv4!

Trabajo a futuro El objetivo debería ser no repetir con IPv6 los mismos problemas de seguridad sufridos con IPv4 Esto puede lograrse, Haciendo mejoras en los protocolos (donde haya lugar) Documentando problemas (incluso si no conocemos solución alguna) Incrementando la producción de herramientas de auditoría. Necesitamos IPv6... y necesitamos que sea lo mas seguro posible

Preguntas? Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 25

Gracias! Fernando Gont fgont@si6networks.com IPv6 Hackers mailing-list http://www.si6networks.com/community/ www.si6networks.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback