Faculdade de Tecnologia Pastor Dohms
Vulnerabilidade IPV6 - (ICMPV6)
Diego Rosetti, Douglas Viana, Anderson Silva, Rafael Lopes
INTRODUÇÃO
O protocolo IPv6 é considerado mais simples, tem maior
velocidade de roteamento, qualidade de serviço e segurança
Apesar de ser mais seguro é esperado que novas falhas de
segurança apareçam a medida que redes IPv6 comecem a
ser implementadas.
FIGURA (OPCIONAL)
Protocolo ICMPv6 Possível ataque:
O protocolo ICMPv6 Neighbor Discovery(ND) é o substituto
do ARP (Address Resolution Protocol) utilizado nas
configurações de IPv4. Esse protocolo é utilizado para
traduzir um endereço de camada de rede para o endereço
MAC da camada de enlace. O ataque de Spoofing também é
realizado no protocolo ARP. A principal causa dessa
vulnerabilidade é a não utilização de chaves criptográficas
para a autenticação das partes durante a resolução do
endereço. Ataques de negativa de serviço (DoS) podem ser
efetuados
utilizando
mensagens
do
tipoNeighbor
Advertisement e Neighbor Solicitation, ainda com essa
última mensagem de Neighbor Solicitation é possível realizar
um mapeamento da rede.
O protocolo ICMPv6 DAD (Duplicate Address Detection) é
usado para detecção de endereços IP duplicados no
segmento de rede, essa técnica é utilizada no recurso de
auto-configuração. Para fazer isso, é utilizada uma
mensagem Neighbor Discovery Solicitation enviada pelo
computador que está configurando um determinado
endereço IP. Se algum host na rede responder essa
solicitação com uma mensagem Neighbor Discovery
Advertisement significa que o endereço IP está sendo usado
e a auto-configuração terá que ser feita novamente para
encontrar outro endereço ou então requisitar intervenção
humana. Esse cenário pode ser explorado com um atacante
sempre respondendo mensagens Neighbor Discovery
Advertisement para qualquer requisição que for feita no
mesmo segmento de rede, esse ato causa um evento
conhecido como DAD storms, que inunda a rede,
caracterizando um ataque de negativa de serviço.
A auto-configuração é um recurso que permite que o usuário
ao conectar seu computador na rede não necessite de
realizar manualmente a configuração de interfaces,
protocolos, endereços, etc.
Essa funcionalidade utiliza o ICMPv6 Neighbor Discovery e
o ICMPv6 DAD para verificar se o endereço configurado,
obtido através do ingresso em um grupo Multicast para tal
função, está em uso. Como já demonstrado anteriormente,
esses mecanismos utilizados pela auto-configuração são
vulneráveis a ataques de negativa de serviço, realizados no
momento de verificação de duplicação de endereços, e a
ataques de Spoofing, realizados pelo fato da autoconfiguração não utilizar criptografia de chaves públicas
para autenticar as mensagens trocadas. Outro aspecto
observado foi a ausência do IPSec no sistema operacional
utilizado nos testes.
Embora a extensão de segurança seja mandatória,
conforme a especificação publicada pelo IETF
(Internet Engineering Task Force), antes da configuração
manual de IPSec, foi possível capturar os
dados trafegados.
RESULTADOS / CONCLUSÃO
Das análises realizadas é possível observar que a adoção
do protocolo IPv6 pode expor a rede a uma nova variedade
de ataques, antes não existente em uma rede de
endereçamento IPv4.
Como toda nova tecnologia, o protocolo IPv6 ainda não é
amplamente implementado em sentido de programação do
protocolo e também utilização em redes, essas
vulnerabilidades, embora algumas sejam similares as
existentes em IPv4 e fáceis de mitigar, outras são
específicas do protocolo e não são mitigadas tão facilmente.
Caso não seja encontrada uma forma eficiente de mitigar
tais vulnerabilidades, pode ser feito o uso de um detector de
intrusão para prevenir a rede ou um computador isolado de
uma possível quebra de segurança.
O próximo passo desse trabalho é a implementação de
métodos eficientes para detecção de intrusão em redes
puramente IPv6, utilizando para isso o protocolo IPFIX,
definido pela IETF e implementado como padrão o Cisco
.Netflow System em sua versão nove, capaz de carregar
informações específicas geradas pelo protocolo IPv6.
Download
  1. No category

Diego Rosetti, Douglas Viana, Anderson Silva, Rafael Lopes

A Internet das Coisas

A Internet das Coisas

IPv6 uol - IPv6.br

IPv6 uol - IPv6.br

PROTOCOLO_IP

PROTOCOLO_IP

Introdução - Formação IPv6

Introdução - Formação IPv6

Slide 1 - Unisinos

Slide 1 - Unisinos

UTILIZANDO MIKROTIK PARA REDES LOCAIS COM O

UTILIZANDO MIKROTIK PARA REDES LOCAIS COM O

Endereçamento IPv6

Endereçamento IPv6

PPTX - Edirlei Soares de Lima

PPTX - Edirlei Soares de Lima

objecto - Formação IPv6

objecto - Formação IPv6

Go4IT pacote 2

Go4IT pacote 2

Mini-curso: Introdução ao IPv6 - I Fórum da Internet no Brasil

Mini-curso: Introdução ao IPv6 - I Fórum da Internet no Brasil

HowTo-Routing - Formação IPv6 RCTS

HowTo-Routing - Formação IPv6 RCTS

PILOTO IPv6

PILOTO IPv6

Arquitetura de Mobilidade IPv6 entre Cidades Digitais

Arquitetura de Mobilidade IPv6 entre Cidades Digitais

O Protocolo Ipv6

O Protocolo Ipv6

Um Framework Baseado no Protocolo IPv6 para Suporte a

Um Framework Baseado no Protocolo IPv6 para Suporte a

Cássio Geraldo Freitas - Sala de Aula

Cássio Geraldo Freitas - Sala de Aula

IPv6 Routing Header 0

IPv6 Routing Header 0

Aplicaç˜oes, benef´ıcios e desafios da utilizaç˜ao de IPv6 no cenário

Aplicaç˜oes, benef´ıcios e desafios da utilizaç˜ao de IPv6 no cenário

Implantação de Testbed IPv6 em uma rede 10 Gigabit

Implantação de Testbed IPv6 em uma rede 10 Gigabit

Curso de Engenharia de Computação IPV6

Curso de Engenharia de Computação IPV6

Paulo Dias dos Santos CONEXÃO COM A INTERNET POR MEIO

Paulo Dias dos Santos CONEXÃO COM A INTERNET POR MEIO