03 seguranca redesi-pv6
-
Upload
patricio-cardoso-bomfim -
Category
Software
-
view
138 -
download
0
Transcript of 03 seguranca redesi-pv6
![Page 1: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/1.jpg)
Segurança em Redes IPv6
Adilson Aparecido Floren9no Portal do IPv6
![Page 2: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/2.jpg)
Mitos com relação a Segurança de Redes IPv6
• IPv6 é mais Seguro que IPv4 ?
• IPSEC resolve todos os problemas ?
• Se não tenho IPv6 na rede, posso ignorá-‐lo ?
• Comunicação fim-‐a-‐fim IPv6 é segura ?
![Page 3: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/3.jpg)
IPv6 é mais seguro que IPv4 ???
• Protocolos criados em épocas diferentes • Protocolo IPv4 tem quase 30 anos de uso em larga escala e IPv6 não
• Todas as Best Prac9ces de Segurança são baseadas em IPv4
![Page 4: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/4.jpg)
Incidentes de Segurança com IPv6
![Page 5: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/5.jpg)
Novas SuperOcies de Ataque
![Page 6: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/6.jpg)
Impacto das Vulnerabilidades
![Page 7: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/7.jpg)
Vulnerabilidades IPv6
![Page 8: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/8.jpg)
Quais são os problemas ???
![Page 9: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/9.jpg)
IPsec resolve todos os problemas ?
• Garante auten9cação e criptografia em camada 3 • Não resolve problemas relacionados a descoberta segura de vizinhança e ataques a camada de aplicação
![Page 10: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/10.jpg)
Se não tenho IPv6 na rede, posso ignorá-‐lo ???
• Muitos disposi9vos vem com IPv6 habilitado • Firewalls e outras proteções v4 only são inúteis !
![Page 11: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/11.jpg)
Sistemas com IPv6 habilitado
![Page 12: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/12.jpg)
Comunicação fim-‐a-‐fim é segura ???
• Firewalls, NIPS e outros elementos podem atuar com intermediários
• Técnicas de transição podem se valer de algum 9po de tradução que causa obscuridade
![Page 13: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/13.jpg)
Um novo mundo com novas ameaças...
![Page 14: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/14.jpg)
Ataques a Redes IPv6
![Page 15: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/15.jpg)
Alvos nas 7 camadas
![Page 16: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/16.jpg)
Ataques na camada 2
• Falsificação da tabela de vizinhança
• Manipulação do mecanismo de descoberta de endereços duplicados
• Anúncios RA falsos • DHCPv6 Starva9on
![Page 17: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/17.jpg)
Vulnerabilidades da Autoconfiguração
![Page 18: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/18.jpg)
Falsificação de Anúncios RA
![Page 19: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/19.jpg)
Explorando os cabeçalhos de Extensão
![Page 20: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/20.jpg)
Ataques de camada 3
• Captura de pacotes em texto claro – Eavesdropping
• IPv6 Spoofing – Man-‐in-‐the-‐Middle
![Page 21: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/21.jpg)
Pacotes IPv6 a Mostra
![Page 22: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/22.jpg)
Descoberta Segura de Vizinhança
• Secure Neighbor Discovery – SEND – consiste em um protocolo que permite a auten9cação dos vizinhos IPv6 através do uso de chaves públicas que são usadas para compor a iden9ficação do host usando endereços gerados criptograficamente.
![Page 23: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/23.jpg)
Descoberta Segura de Vizinhança
• Na verdade, um par de chaves RSA é gerado (uma pública e outra privada). A chave pública é usada para compor o ID de host, que é alterado a cada mensagem enviada. A chave privada é usada para assinar a mensagem e garan9r a auten9cidade da mesma
![Page 24: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/24.jpg)
RA Guard e ND Inspec9on
• O RA Guard e o ND Inspec9on são a versão IPv6 do serviço conhecido como DHCP Snooping, o qual tem por obje9vo barrar ataques baseados no troca de mensagens ARP e DHCP. Router> enable
Router# configure terminal Router(config)# ipv6 neighbor tracking
Router(config)# ipv6 nd inspec9on policy policy1 Router(config-‐nd-‐inspec9on)# drop-‐unsecure Router(config-‐nd-‐inspec9on)# device-‐role router Router(config-‐nd-‐inspec9on)# trusted-‐port
Router(config)# interface fastethernet 0/0 Router(config-‐if)# ipv6 nd inspec9on ajach-‐policy policy policy1
![Page 25: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/25.jpg)
RA Guard e ND Inspec9on
• Com estes serviços a9vos, a tabela de vizinhança criada no Switch é usada como base para validar mensagens RS/RA e NS/NA suspeitas.
![Page 26: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/26.jpg)
Firewall e Túneis Automá9cos
• O que mais assusta em termos de implementação é a volta do modelo fim-‐a-‐fim e a perda da obscuridade proporcionada pelo NAT, que dá uma falsa sensação de segurança, já que o IP das máquinas não é divulgado na Internet.
• Túneis Automá9cos tendem a tornar as conexões mais lentas pois usam proxies distantes – desabilitá-‐los é a melhor prá9ca ! R1(config)# ipv6 access-‐list ENTRADA
R1(config-‐ipv6-‐acl)# permit tcp 2001:DB8:1::/48 any established R1(config-‐ipv6-‐acl)# deny tcp any any R1(config-‐ipv6-‐acl)# exit R1(config)#interface s1/0 R1(config-‐if)# ipv6 traffic-‐filter ENTRADA in
![Page 27: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/27.jpg)
Criando pacotes IPv6 para teste
![Page 28: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/28.jpg)
IPv6 Tool Kit
![Page 29: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/29.jpg)
NDPMon – Monitorando a vizinhança IPv6
![Page 30: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/30.jpg)
THC IPv6 – The Hackers Choice !
![Page 31: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/31.jpg)
IPv6 Hackit !
![Page 32: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/32.jpg)
Recomendações Finais...
• Usar extensões de privacidade apenas em comunicações externas
• Cuidado com endereços mul9cast • Filtre serviços desnecessários no Firewall • Cuidado com as mensagens ICMPv6 • Cuidado com cabeçalhos de extensão e fragmentação de pacotes
• Use IPSEC sempre que necessário
![Page 33: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/33.jpg)
Maiores detalhes em... IPv6 na Prá9ca !
5. Segurança em Redes IPv6 IPv6 é mais seguro ? Novas Superficies de Ataque
Tipos de ataque em Redes IPv6 Protegendo a Rede IPv6 Descoberta Segura de Vizinhança Recomendações para aumentar a Segurança em Redes IPv6 A9vidade Prá9ca – Configuração de IPSEC
Resumo da a9vidade
![Page 34: 03 seguranca redesi-pv6](https://reader031.fdocumentos.com/reader031/viewer/2022030319/58e78e681a28abc52e8b49eb/html5/thumbnails/34.jpg)
Dúvidas ???