Post on 18-Apr-2015
SEGURANÇA NO IPv6SEGURANÇA NO IPv6
Alunos:Hugo Azevedo de JesusLeonardo Batista da Silva RosaMárcio Romério Pinheiro de Farias
Orientador: André Luís Arantes
INSTITUTO CIENTÍFICO DE ENSINO SUPERIOR E PESQUISAINSTITUTO CIENTÍFICO DE ENSINO SUPERIOR E PESQUISA
FACULDADE DE CIÊNCIAS GERENCIAISFACULDADE DE CIÊNCIAS GERENCIAIS
CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃOCURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO
SUMÁRIO
Introdução Problema Objetivos Hipótese As camadas TCP/IP, DHCP e Switch Datagrama IPv6
SUMÁRIO
Tabela de vizinhos ou Tabela ARP do IPv6
Pacote ICMPv6 Cabeçalho AH e ESP Metodologias Resultados Discussões Conclusão
INTRODUÇÃO
“A comunicação é uma das maiores necessidades da sociedade humana desde os primórdios de sua existência… a comunicação à longa distância se tornava cada vez mais uma necessidade e um desafio...”
(Soares; Lemos; Colcher, 1995)
INTRODUÇÃO
EVOLUÇÃO DA COMUNICAÇÃOEVOLUÇÃO DA COMUNICAÇÃO
Telégrafo – 1844 (Samuel F.B.Morse); Telefone – 1876 (Alexander Graham
Bell); Celular – 1973 (Martin Cooper); Computador – 1940;
INTRODUÇÃO
EVOLUÇÃO DOS COMPUTADORESEVOLUÇÃO DOS COMPUTADORES
Máquinas grandes e complexas e trabalhavam isolodas;
Computadores menores e compartilhavam periféricos;
Desenvolvimento do Microcomputador surgindo as redes corporativas;
INTRODUÇÃO
SURGIMENTO DA INTERNETSURGIMENTO DA INTERNET
A Internet supriu a necessidade de teleprocessamento;
Possibilitou interconexão de empresas, pessoas e governos;
Acesso a informações e recursos de valores inestimáveis;
INTRODUÇÃO
TCP/IP ou TCP/IPv4TCP/IP ou TCP/IPv4
Protocolo padrão de comunicação entre máquinas
Independente de plataforma e Sistemas Operacionais
INTRODUÇÃO
TCP/IP ou TCP/IPv4TCP/IP ou TCP/IPv4
Espaço de endereçamento de 32 bits
Suporta aproximadamente 4,3 bilhões de endereços
INTRODUÇÃO
PROBLEMAS COM O IPv4PROBLEMAS COM O IPv4
Expansão da Internet nos anos 90; Atualmente 68% dos endereços IPs
estão sendo utilizados; Quantidade limitada de endereços IP’s Possui diversas vulnerabilidades;
INTRODUÇÃO
Internet Protocol version 6 (IPv6)
Quantidade de endereços IP’s: Espaço de endereçamento de 128
bits; Suporta aproximadamente 340
decilhões de endereços; Garantia de segurança;
INTRODUÇÃO
Redução das tabelas de roteamento; Protocolo passível de expansão; Simplificação do datagrama do
protocolo ; Coexistência com o IPv4;
TIPOS DE ENDEREÇOS
IPv4: 192.168.1.1;
IPv6: FE80::202:44FF:FE1A:3F17;
MECANISMOS DE SEGURANÇA DO IPv6
ENCAPSULATING SECURITY PAYLOAD (ESP): Confidencialidade; Integridade;
AUTHENTICATION HEADER (AH): Autenticidade;
ENCAPSULATING SECURITY PAYLOAD(ESP)
Provê confiabilidade e integridade dos dados trafegados;
Pode ser utilizado no modo transporte ou em tunelamento;
Utiliza originalmente o algoritmo DES para criptografia dos dados;
AUTHENTICATION HEADER (AH)
Provê assinatura do remetente; Garante ao destinatário que não houve
alteração da origem do pacote; Autenticação sob algoritmo Message
Digest 5 (MD5); Prevenção de ataques como Replay,
Spoofing e Hijacking;
INTRODUÇÃO
PESQUISA EXPERIMENTAL;
Analisar se os mecanismos de segurança do IPv6 garantem a autencidade dos dados;
OBJETIVO GERAL
Constatar se o AH implementado no IPv6 pode garantir a autenticidade das informações;
OBJETIVO ESPECÍFICO
Expor a história do IPv6;
Mostrar as melhorias trazidas pelo IPv6;
Apresentar os mecanismos de segurança trazidos pelo IPv6;
HIPÓTESE
O IPv6 garante a autenticidade da origem dos dados por meio do mecanismo de segurança AH, quando transmitidos dados de um computador para outro;
REFERENCIAL TEÓRICO
SOARES, LEMOS, COLCHER. Redes de computadores;
TANENBAUM. Redes de computadores;
GODINHO JR. Análise de segurança com protocolo IPv6;
TCP / IP
TCP / IP
Protocolo aberto, público e independente de equipamentos ou sistemas operacionais;
Não define protocolos para o nível físico, possibilitando implementação sobre uma grande variedade de protocolos já existentes, tais como: Ethernet, Token Ring e X.25;
TCP / IP
o esquema de endereçamento do TCP/IP permite designar unicamente qualquer máquina, mesmo em redes globais como a Internet;
inclui protocolos do nível de aplicação que atendem muito bem à demanda de serviços imposta pelos usuários;
DATAGRAMA IPv6
DATAGRAMA IPv6
8 campos – total de 320 bits.
Simplificação em relação ao datagrama do IPv4 – não há mais campo de controle, uma vez que erros devem ser tratados em camadas inferiores
DATAGRAMA IPv6
ICMPv6
CARACTERÍSTICAS ICMPv6
Não há compatibilidade com o ICMP definido no IPv4;
Mantém as características de troca de mensagem da versão para Ipv4;
Ampliação no uso para relato de erros no processamento de pacotes e outros recursos da camada Internet;
PACOTE ICMPv6
TABELA DE VIZINHOS
Endereço físico / endereço lógico;
ARP do IPv6;
TABELA DE VIZINHOS
Habilita roteadores e hosts IPv6 a determinar o MAC Address de seus vizinhos do mesmo enlace, encontrar roteadores vizinhos e manter uma tabela de vizinhos;
TABELA DE VIZINHOS
Utiliza mensagens ICMPv6, endereços multicast do tipo Solicited-Node, para determinar os endereços MAC e verificar alcançabilidade de algum vizinho;
Neighbor Solicitation;
Neighbor Advertisement;
AUTHENTICATION HEADER (AH)
AUTHENTICATION HEADER (AH)
Identifica as entidades comunicantes, verificando se emissor e receptor correspondem aos anunciados no cabeçalho do pacote;
A ISO/IEC 17799:2000 explica que autenticidade é usada para confirmar a identidade alegada por um usuário.
AUTHENTICATION HEADER (AH)
Previne ataques como: Replay; Spoofing; Connection hijacking;
AUTHENTICATION HEADER (AH)
ENCAPSULATING SECURITY PAYLOAD (ESP)
ENCAPSULATING SECURITY PAYLOAD (ESP)
Fornece confidencialidade a datagramas IP por meio da criptografia de dados;
ISO/IEC 17799:2000 explica que confidencialidade é a garantia que a informação é acessível somente por pessoas autorizadas a terem o acesso.
ENCAPSULATING SECURITY PAYLOAD (ESP)
Previne ataques como: Replay; Particionamento de pacotes
cifrados; Sniffing;
ENCAPSULATING SECURITY PAYLOAD (ESP)
VALIDAÇÃO DA HIPÓTESE
VALIDAÇÃO DA HIPÓTESE
Hipótese: Verificar a autenticidade no IPv6;
Metodologia Geral; Três Metodologias Específicas; Três Resultados; Discussões;
METODOLOGIA GERAL
METODOLOGIA GERAL
Um ambiente de rede;
Três experimentos;
Cada experimento uma ferramenta;
Quatro replicações;
O AMBIENTE
DISPOSITIVO SISTEMA OPERACIONAL
CARACTERÍSTICAS DE REDE
MICRO1: Pentium4 2.4GHz
Linux: Fedora Core 4
Placa de rede PCI 10/100Mbps
MICRO2: AMD 500MHz
Linux: Fedora Core 4
Placa de rede PCI 10/100Mbps
MICRO3: AMD 2800+
Linux: Fedora Core 4
Placa de rede PCI 10/100Mbps
SWITCH 10/100Mbps
ROUTER ADSL Função DHCP
DESCRIÇÃO DOS EQUIPAMENTOS
FERRAMENTAS DE TESTE Sendip
1º experimento; Spoofing;
Netwox 2º experimento; Spoofing;
Ip 3º experimento; Pode praticar o Spoofing;
FERRAMENTAS EM GERAL
Ethereal: analizador de protocolos;
Ping6: envia pacotes ICMPv6 ICMPv6 RequestRequest;
SENDIP
METODOLOGIA ESPECÍFICA
SENDIP
RESULTADO
RESULTADO SENDIP
Devido a essa má formação do pacote não houve a necessidade do IPv6 atuar para garantir a autenticidade da origem dos dados por meio do AH quando transmitidos dados de um computador para outro.
NETWOX
METODOLOGIA ESPECÍFICA
NETWOX
RESULTADO
RESULTADO NETWOX
Em conseqüência do micro2 ter enviado um ICMPv6 Response sem que o micro3 tivesse solicitado, o IPv6 não garantiu a autenticidade da origem dos dados quando transmitidos dados de um computador para outro.
NETWOX
DISCUSSÃO
DISCUSSÃO NETWOX
Mas nesse caso o IPv6 também teria falhado na autenticação.
IP
METODOLOGIA ESPECÍFICA
IP
RESULTADO
RESULTADO IP
Em conseqüência do micro2 ter enviado um ICMPv6 Response para o micro1, o IPv6 não garantiu a autenticidade da origem dos dados.
IP
DISCUSSÃO
DISCUSSÃO IP
Quando visualizado esse conteúdo não foi encontrado o parâmetro AH, o que deveria ser obrigatório, pois a segurança no IPv6 é padrão e não uma opção.
DISCUSSÃO IP
Sistema Operacional: Fedora Core 4; IETF;
Segundo Goldinho Jr. (2004): Windows 2000; Windows XP; Slackware 10;
DISCUSSÃO IP
Pelo problema apresentado de que o cabeçalho AH ainda não estar presente no Sistema Operacional usado nos testes, esse protocolo não pode garantir a autenticidade da origem dos dados.
DISCUSSÃO IP
Vale ressaltar, então, que no teste com a ferramenta Netwox;
CONCLUSÃO