SERRA
2014
FABIANO DE ASSIS TEIXEIRA
SERRA
2014
Dados Internacionais de Catalogao na Publicao (CIP)
CDD: 004.6
AGRADECIMENTOS
A toda minha famlia que sempre me incentivou e em especial a minha esposa e filha,
Alessandra e Alice, pelo amor, pela pacincia e compreenso nos momentos de
ausncia e menor dedicao devido aos estudos.
The shortage of public IPv4 addresses has motivated an increasing migration to IPv6.
IPv6 was designed aiming to solve this and other shortcomings of IPv4, among many
changes we have: mobility, security mechanisms and real time multimedia support
applications. However, there are still some vulnerabilities in IPv6 which have not been
resolved yet. The objective of this work is to present and discuss the most important
vulnerabilities of IPv6, as well as demonstrate them in practice in a test environment
and propose security measures to avoid them. A laboratory with a IPv6 environment
was implemented, in which several invasion tests were conducted. In all tests using
default configuration it was possible to exploit vulnerabilities in protocol. Then, some
security measures were applied such as firewall and IPSec protocol configuration,
resulting in a reduction and / or elimination of vulnerabilities studied. Thus, we suggest
that the security measures presented in this work should be performed to ensure a
minimum level of network security.
falsos ......................................................................................................................... 54
Figura 39 - 1 passo para configurar regra ICMP echo request para mquinas
autenticadas .............................................................................................................. 65
Figura 40 - 2 passo para configurar regra ICMP echo request para mquinas
autenticadas .............................................................................................................. 65
1 INTRODUO ............................................................................................. 14
3 METODOLOGIA .......................................................................................... 39
4 RESULTADOS ............................................................................................. 68
5 CONCLUSO ............................................................................................... 78
REFERNCIAS ............................................................................................. 80
14
1 INTRODUO
1.1 JUSTIFICATIVA
1.2 OBJETIVOS
2 REFERENCIAL TERICO
Diante de tal contexto, mesmo com a grande quantidade de recursos que visam
melhorar a utilizao dos endereos pblicos, o IPv4 tende a esgotar-se em poucos
anos. Segundo o Ncleo de Informao e Coordenao do Ponto BR (NIC.br),
responsvel pelo registro nacional de endereos IP para o Brasil., em conjunto com
o Registro de Endereamento da Internet para a Amrica Latina e o Caribe
(LACNIC), declaram que o estoque de endereos IPv4 atinge o limite previsto,
considerando o determinado pela poltica regional para a fase de esgotamento deste
recurso (COMPUTERWORLD, 2014).
18
O formato do cabealho foi projetado para suportar, desde sua criao, tcnicas e
mecanismos que simplificam e aperfeioam os processos que antes dependiam de
outros protocolos ou configuraes no IPv4 (SARAIVA, 2013). O IPv6 muda o
formato em relao ao IPv4, apresentando um cabealho com base simplificada que
utiliza somente campos essenciais, excluindo de forma opcional os outros campos,
ou seja, caso seja necessria a adio de algum campo opcional, este pode ser
adicionado atravs do cabealho de extenso (COMER, 2006).
Alm de ter um cabealho mais simplificado, porm maior que o IPv4, o IPv6 possui
cabealhos de extenso que permitem maior flexibilidade ao datagrama, oferecendo
maior agilidade na comunicao entre os roteadores (PRAZER, 2007).
Um pacote contendo este cabealho no pode ser fragmentado pela origem. Caso
haja a fragmentao em datagramas com AH, estes sero descartados, pois isso
evita que a rede seja atacada por sobreposio de fragmentos, e como os
datagramas so rejeitados em nvel de IP, reduz tambm ataques conhecidos como
negao de servio (PRAZER, 2007). A Figura 3 apresenta onde atua este
cabealho.
Para se ter ideia, permitido omitir os zeros a esquerda de cada bloco de 16 bits,
bem como substituir uma sequncia longa de zeros por ::. Entretanto, quando
houver dois ou mais grupos de zeros, separados por um grupo que no seja de
zeros, s ser possvel omitir os grupos da esquerda com ::, enquanto os outros
sero representados por 0. Segue exemplo:
2001:0000:0000:0025:0000:0000:210E:AB29
2001::25:0:0:210E:AB29
25
Reservado para
0000 001 200:: /7 7 1/128
NSAP
Reservado para
0000 010 400:: /7 7 1/128
IPX
Endereos
Unicast Globais 001 2000:: /3 3 1/8
Agregados
Unicast local ao
1111 1110 10 FE80:: /10 10 1/1024
enlace
Unicast local
1111 1110 11 FEC0:: /10 10 1/1024
instalao
Esta tcnica uma das inovaes do IPv6, utilizada para sites que no necessitam
conhecer seus endereos IPs.
27
Para descrever este assunto, vale ressaltar que o propsito do IPv4 estava voltado
para interligar redes de pesquisas acadmicas, e por isso a segurana no foi
priorizada.
2.2.3.1 IPSec
Nesse contexto, o IPSec possui um mtodo padro para a segurana dos dados que
trafegam sobre o TPC/IP, atuando na camada de rede do modelo OSI (Open
Systems Interconnection), diferindo dos protocolos SSL (Secure Sockets Layer) e
TLS (Transport Layer Security) que operam desde a camada de transporte at a
30
Com relao segurana, ele utiliza recursos independentes para realizar suas
funes, pois est definido no IETF que os algoritmos de criptografia sero usados
pelas funes AH e ESP e no diretamente pelo IPSec.
2.3.1 ICMPv6
O pacote ICMPv6 identificado no cabealho IPv6 pelo valor 58, localiza-se aps os
cabealhos base do IPv6, caso no exista cabealhos de extenso, conforme figura
8.
32
O protocolo NDP foi construdo com base nas mensagens do protocolo ICMPv6 para
a realizao de suas tarefas. Combinando essas funcionalidades, temos um
eficiente disseminador de informaes na rede. Para isto cinco tipos de mensagens
ICMPv6 foram criados para facilitar o trabalho do NDP, tais como:
Algumas dessas falhas tem possibilidades de proteo parcial (RA Guard, por
exemplo). Outras devem ser tratadas e monitoradas (CERT.BR, 2014).
3 METODOLOGIA
THC-IPv6 Toolkit (The Hackers Choice) kit de ferramentas utilizadas para atacar
as vulnerabilidades do IPv6. O The Hackers Choice - THC um grupo de
pesquisadores, que realiza estudos na rea de segurana, definindo como foco de
suas pesquisas encontrar falhas de segurana e certific-las para que as
informaes estejam seguras (THC, 2014).
uma ferramenta disponvel apenas para sistemas operacionais Linux, sendo que
seu funcionamento realizado em modo terminal, a fim de promover testes de
segurana relacionados ao protocolo IPv6. Esta, por sua vez, explora muitas
vulnerabilidades, tais como: MitM (Man in the Middle), NS Spoofer, NA Spoofer, DoS
e DDoS.
3.1.2 Wireshark
classificado como um sniffer, pois escuta todo trfego transitado na rede e possui
a funo de verificar se h problemas na rede, verificando as conexes suspeitas ou
outras atividades relacionadas rede.
Os computadores desse ambiente transmitiro dados pela rede, onde estes sero
capturados atravs de ferramentas que utilizam tcnicas de sniffers e,
posteriormente, os dados capturados fornecero informaes importantes para
realizao de ataques, explorando as vulnerabilidades deste protocolo. Alm de
realizar ataques e obter resultados das principais vulnerabilidades, sero
apresentadas contramedidas, visando oferecer maior segurana na utilizao do
IPv6. A figura 10 mostra este ambiente implementado.
Micro 2: Atacante
SO: Ubuntu 11.04
IPv6:2001:db8::4
Os testes a serem realizados esto descritos abaixo, sendo que em todos sero
mostrados como se realizam os ataques, os impactos ocasionados e apresentadas
contramedidas.
o Redirecionamento de trfego
o Anncio de roteador
Ataque de DoS:
o Anncios de roteadores
o Mensagens multicast
Estes ataques so importantes para o invasor ter conhecimento dos alvos a serem
testados, pois, atravs da resposta obtida, o atacante pode explorar, atravs de
outras ferramentas, portas abertas e buscar outras vulnerabilidades. Este ataque
possvel no IPv6 por possui um conjunto de protocolos para a descobertas de rede,
que denominam-se Neighbour Discovery e Neighbour Solicitation protocols, que
aceitam, caso no configurados, comunicaes advindas de atacantes
(ETHICALHACKERNET, 2014).
No entanto, para que a realizao deste teste seja eficaz, necessrio que todos
hosts ativos da rede estejam com endereos definidos como escopo global ou que
tenham endereos link local da rede. A figura 11 ilustra o funcionamento do ataque.
parasite6 para enviar uma resposta afirmando que o MAC solicitado est
relacionado ao seu endereo IP, redirecionando todo o trfego local para o seu
prprio sistema. A figura 13 ilustra o funcionamento da rede aps o ataque bem
sucedido.
Digite ipconfig, para verificar que no possui endereo IPv6 global, conforme
figura 17;
50
Este ataque faz com que a mquina da vtima fique travada, pois o uso da CPU
chega a 100%, sendo necessrio reinicializar todo sistema para normalizao do
uso da CPU e outros servios. Ocorre quando o atacante envia vrias ofertas de
anncios de novas redes a uma vtima, que tenta configurar todas ao mesmo tempo,
54
Para realizao deste ataque, segue abaixo as etapas para sua execuo:
Para se defender dos ataques citados neste trabalho, faz-se necessrio configurar o
IPSec nas mquinas da rede, bem como alterar algumas regras no firewall do
Windows. Assim, segue o caminho para a configurao do IPSec, ressaltando que
os procedimentos citados abaixo sero necessrios tanto na mquina da vtima,
quanto na do servidor:
Clique em Iniciar -> executar -> digite wf.msc e aperte Enter, como a figura
28;
Clique com o Boto direito em servio de conexo segura -> clique em nova
regra conforme figura 29;
58
Nesta etapa pode-se criar filtros IP de entrada e sada, mas no presente teste
no foi necessria tal configurao, como mostra a figura 31;
59
Marque a opo avanado -> clique customizar, como mostra a figura 33;
61
Selecione o tipo de autenticao. Para este teste foi escolhido a opo com
chave compartilhada, com nome de seguro, conforme a figura 35;
Figura 39 - 1 passo para configurar regra ICMP echo request para mquinas autenticadas
Figura 40 - 2 passo para configurar regra ICMP echo request para mquinas autenticadas
66
4 RESULTADOS
O resultado deste ataque enumera uma lista de hosts ativos da rede pesquisada. A
figura 44 mostra esta lista;
Para visualizar o que ocorre com os pacotes transmitidos neste ataque, a figura 46
ilustra o momento em que os pacotes falsificados so enviados para a vtima,
informando que o IP 2001.db8::2 (servidor) o MAC passa a ser do atacante
(00:0c:29:b4:4d:74), isso fora o cliente a atualizar sua tabela, Neighbor Cache. Este
procedimento realizado pelos ns da rede, com objetivo de redirecionar todo
trfego para o atacante.
70
Com este ataque, ir aparecer para o cliente aps realizar os processos do item
3.3.3, uma janela informando que o houve um conflito de IP, como mostra figura 48;
A figura 49 mostra a mquina atacante capturando todos IPs que foram atribudos
pelo DHCP;
Com este ataque, o micro 1 ter a performance de uso da CPU em 100%, devido
grande quantidade de pacotes enviados a sua interface de rede. Alm disto, ocorre a
identificao e configurao de novas redes, ocasionando na inutilizao do
computador, conforme figura 51;
74
Foi possvel observar que mesmo depois de parar o ataque, o consumo da CPU no
diminuiu, sendo necessrio reiniciar a mquina. Alm disso, possvel observar uma
sequncia de roteadores falsos unidos na mquina da vtima, concluindo o objetivo
do teste.
Atravs deste ataque, foi possvel observar que a performance do micro 1 antes da
invaso possui o funcionamento da CPU normal. Porm, aps o ataque passou para
100% (cem por cento) de uso, impossibilitando a utilizao dos servios desta
mquina, conforme as figuras 52 e 53 respectivamente demonstram;
5 CONCLUSO
Estas vulnerabilidades foram exploradas por testes de invaso atravs dos ataques:
SCAN Descoberta de Vizinhos, MitM e DoS Redirecionamento de trfego, MitM
e DoS Deteco de endereo duplicado, MitM Mensagem de anncio de
roteador falso, DoS Mensagens de anncios de roteadores falsos e mensagens
multicast. Constatou-se que a configurao padro do protocolo no suficiente
para conter as invases. Aps alguns ajustes de configuraes de segurana,
principalmente no que se refere ao IPSec e algumas regras de firewall, vrias
dessas vulnerabilidades foram minimizadas, impedindo que parte ou mesmo o
trfego inteiro fosse desviado por um invasor. Assim, para que o protocolo IPv6 seja
implementado de forma mais segura essencial alterar as configuraes padro.
com o padro IEEE 802.1x, os quais tem por objetivo dificultar que computadores,
no autorizados, acessem a rede e o monitoramento do trfego por meio de
softwares como o NDPMon que visa detectar ataques aleatrios e evitar a
criptografia dos dados.
REFERNCIAS
IPv6.br. Portal sobre IPv6 do NIC.br. Disponvel em: <http://ipv6.br/>. Acesso em:
fev. 2014
SILVA, Lino Sarlo da. Virtual Private Network (VPN). So Paulo: Novatec, 2003.
SILVEIRA, Andr Manoel da. Rede IPv6 com integrao IPv4. Trabalho de
concluso de curso. Centro Federal de Educao Tecnolgica de Santa Catarina.
So Jos SC - 2012.