SEGURANÇA NO IPv6SEGURANÇA NO IPv6

Alunos:Hugo Azevedo de JesusLeonardo Batista da Silva RosaMárcio Romério Pinheiro de Farias

Orientador: André Luís Arantes

INSTITUTO CIENTÍFICO DE ENSINO SUPERIOR E PESQUISAINSTITUTO CIENTÍFICO DE ENSINO SUPERIOR E PESQUISA

FACULDADE DE CIÊNCIAS GERENCIAISFACULDADE DE CIÊNCIAS GERENCIAIS

CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃOCURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO

SUMÁRIO

Introdução Problema Objetivos Hipótese As camadas TCP/IP, DHCP e Switch Datagrama IPv6

SUMÁRIO

Tabela de vizinhos ou Tabela ARP do IPv6

Pacote ICMPv6 Cabeçalho AH e ESP Metodologias Resultados Discussões Conclusão

INTRODUÇÃO

“A comunicação é uma das maiores necessidades da sociedade humana desde os primórdios de sua existência… a comunicação à longa distância se tornava cada vez mais uma necessidade e um desafio...”

(Soares; Lemos; Colcher, 1995)

INTRODUÇÃO

EVOLUÇÃO DA COMUNICAÇÃOEVOLUÇÃO DA COMUNICAÇÃO

Telégrafo – 1844 (Samuel F.B.Morse); Telefone – 1876 (Alexander Graham

Bell); Celular – 1973 (Martin Cooper); Computador – 1940;

INTRODUÇÃO

EVOLUÇÃO DOS COMPUTADORESEVOLUÇÃO DOS COMPUTADORES

Máquinas grandes e complexas e trabalhavam isolodas;

Computadores menores e compartilhavam periféricos;

Desenvolvimento do Microcomputador surgindo as redes corporativas;

INTRODUÇÃO

SURGIMENTO DA INTERNETSURGIMENTO DA INTERNET

A Internet supriu a necessidade de teleprocessamento;

Possibilitou interconexão de empresas, pessoas e governos;

Acesso a informações e recursos de valores inestimáveis;

INTRODUÇÃO

TCP/IP ou TCP/IPv4TCP/IP ou TCP/IPv4

Protocolo padrão de comunicação entre máquinas

Independente de plataforma e Sistemas Operacionais

INTRODUÇÃO

TCP/IP ou TCP/IPv4TCP/IP ou TCP/IPv4

Espaço de endereçamento de 32 bits

Suporta aproximadamente 4,3 bilhões de endereços

INTRODUÇÃO

PROBLEMAS COM O IPv4PROBLEMAS COM O IPv4

Expansão da Internet nos anos 90; Atualmente 68% dos endereços IPs

estão sendo utilizados; Quantidade limitada de endereços IP’s Possui diversas vulnerabilidades;

INTRODUÇÃO

Internet Protocol version 6 (IPv6)

Quantidade de endereços IP’s: Espaço de endereçamento de 128

bits; Suporta aproximadamente 340

decilhões de endereços; Garantia de segurança;

INTRODUÇÃO

Redução das tabelas de roteamento; Protocolo passível de expansão; Simplificação do datagrama do

protocolo ; Coexistência com o IPv4;

TIPOS DE ENDEREÇOS

IPv4: 192.168.1.1;

IPv6: FE80::202:44FF:FE1A:3F17;

MECANISMOS DE SEGURANÇA DO IPv6

ENCAPSULATING SECURITY PAYLOAD (ESP): Confidencialidade; Integridade;

AUTHENTICATION HEADER (AH): Autenticidade;

ENCAPSULATING SECURITY PAYLOAD(ESP)

Provê confiabilidade e integridade dos dados trafegados;

Pode ser utilizado no modo transporte ou em tunelamento;

Utiliza originalmente o algoritmo DES para criptografia dos dados;

AUTHENTICATION HEADER (AH)

Provê assinatura do remetente; Garante ao destinatário que não houve

alteração da origem do pacote; Autenticação sob algoritmo Message

Digest 5 (MD5); Prevenção de ataques como Replay,

Spoofing e Hijacking;

INTRODUÇÃO

PESQUISA EXPERIMENTAL;

Analisar se os mecanismos de segurança do IPv6 garantem a autencidade dos dados;

OBJETIVO GERAL

Constatar se o AH implementado no IPv6 pode garantir a autenticidade das informações;

OBJETIVO ESPECÍFICO

Expor a história do IPv6;

Mostrar as melhorias trazidas pelo IPv6;

Apresentar os mecanismos de segurança trazidos pelo IPv6;

HIPÓTESE

O IPv6 garante a autenticidade da origem dos dados por meio do mecanismo de segurança AH, quando transmitidos dados de um computador para outro;

REFERENCIAL TEÓRICO

SOARES, LEMOS, COLCHER. Redes de computadores;

TANENBAUM. Redes de computadores;

GODINHO JR. Análise de segurança com protocolo IPv6;

TCP / IP

TCP / IP

Protocolo aberto, público e independente de equipamentos ou sistemas operacionais;

Não define protocolos para o nível físico, possibilitando implementação sobre uma grande variedade de protocolos já existentes, tais como: Ethernet, Token Ring e X.25;

TCP / IP

o esquema de endereçamento do TCP/IP permite designar unicamente qualquer máquina, mesmo em redes globais como a Internet;

inclui protocolos do nível de aplicação que atendem muito bem à demanda de serviços imposta pelos usuários;

DATAGRAMA IPv6

DATAGRAMA IPv6

8 campos – total de 320 bits.

Simplificação em relação ao datagrama do IPv4 – não há mais campo de controle, uma vez que erros devem ser tratados em camadas inferiores

DATAGRAMA IPv6

ICMPv6

CARACTERÍSTICAS ICMPv6

Não há compatibilidade com o ICMP definido no IPv4;

Mantém as características de troca de mensagem da versão para Ipv4;

Ampliação no uso para relato de erros no processamento de pacotes e outros recursos da camada Internet;

PACOTE ICMPv6

TABELA DE VIZINHOS

Endereço físico / endereço lógico;

ARP do IPv6;

TABELA DE VIZINHOS

Habilita roteadores e hosts IPv6 a determinar o MAC Address de seus vizinhos do mesmo enlace, encontrar roteadores vizinhos e manter uma tabela de vizinhos;

TABELA DE VIZINHOS

Utiliza mensagens ICMPv6, endereços multicast do tipo Solicited-Node, para determinar os endereços MAC e verificar alcançabilidade de algum vizinho;

Neighbor Solicitation;

Neighbor Advertisement;

AUTHENTICATION HEADER (AH)

AUTHENTICATION HEADER (AH)

Identifica as entidades comunicantes, verificando se emissor e receptor correspondem aos anunciados no cabeçalho do pacote;

A ISO/IEC 17799:2000 explica que autenticidade é usada para confirmar a identidade alegada por um usuário.

AUTHENTICATION HEADER (AH)

Previne ataques como: Replay; Spoofing; Connection hijacking;

AUTHENTICATION HEADER (AH)

ENCAPSULATING SECURITY PAYLOAD (ESP)

ENCAPSULATING SECURITY PAYLOAD (ESP)

Fornece confidencialidade a datagramas IP por meio da criptografia de dados;

ISO/IEC 17799:2000 explica que confidencialidade é a garantia que a informação é acessível somente por pessoas autorizadas a terem o acesso.

ENCAPSULATING SECURITY PAYLOAD (ESP)

Previne ataques como: Replay; Particionamento de pacotes

cifrados; Sniffing;

ENCAPSULATING SECURITY PAYLOAD (ESP)

VALIDAÇÃO DA HIPÓTESE

VALIDAÇÃO DA HIPÓTESE

Hipótese: Verificar a autenticidade no IPv6;

Metodologia Geral; Três Metodologias Específicas; Três Resultados; Discussões;

METODOLOGIA GERAL

METODOLOGIA GERAL

Um ambiente de rede;

Três experimentos;

Cada experimento uma ferramenta;

Quatro replicações;

O AMBIENTE

DISPOSITIVO SISTEMA OPERACIONAL

CARACTERÍSTICAS DE REDE

MICRO1: Pentium4 2.4GHz

Linux: Fedora Core 4

Placa de rede PCI 10/100Mbps

MICRO2: AMD 500MHz

Linux: Fedora Core 4

Placa de rede PCI 10/100Mbps

MICRO3: AMD 2800+

Linux: Fedora Core 4

Placa de rede PCI 10/100Mbps

SWITCH 10/100Mbps

ROUTER ADSL Função DHCP

DESCRIÇÃO DOS EQUIPAMENTOS

FERRAMENTAS DE TESTE Sendip

1º experimento; Spoofing;

Netwox 2º experimento; Spoofing;

Ip 3º experimento; Pode praticar o Spoofing;

FERRAMENTAS EM GERAL

Ethereal: analizador de protocolos;

Ping6: envia pacotes ICMPv6 ICMPv6 RequestRequest;

SENDIP

METODOLOGIA ESPECÍFICA

SENDIP

RESULTADO

RESULTADO SENDIP

Devido a essa má formação do pacote não houve a necessidade do IPv6 atuar para garantir a autenticidade da origem dos dados por meio do AH quando transmitidos dados de um computador para outro.

NETWOX

METODOLOGIA ESPECÍFICA

NETWOX

RESULTADO

RESULTADO NETWOX

Em conseqüência do micro2 ter enviado um ICMPv6 Response sem que o micro3 tivesse solicitado, o IPv6 não garantiu a autenticidade da origem dos dados quando transmitidos dados de um computador para outro.

NETWOX

DISCUSSÃO

DISCUSSÃO NETWOX

Mas nesse caso o IPv6 também teria falhado na autenticação.

IP

METODOLOGIA ESPECÍFICA

IP

RESULTADO

RESULTADO IP

Em conseqüência do micro2 ter enviado um ICMPv6 Response para o micro1, o IPv6 não garantiu a autenticidade da origem dos dados.

IP

DISCUSSÃO

DISCUSSÃO IP

Quando visualizado esse conteúdo não foi encontrado o parâmetro AH, o que deveria ser obrigatório, pois a segurança no IPv6 é padrão e não uma opção.

DISCUSSÃO IP

Sistema Operacional: Fedora Core 4; IETF;

Segundo Goldinho Jr. (2004): Windows 2000; Windows XP; Slackware 10;

DISCUSSÃO IP

Pelo problema apresentado de que o cabeçalho AH ainda não estar presente no Sistema Operacional usado nos testes, esse protocolo não pode garantir a autenticidade da origem dos dados.

DISCUSSÃO IP

Vale ressaltar, então, que no teste com a ferramenta Netwox;

CONCLUSÃO