INSTITUTO FEDERAL DO ESPRITO SANTO

CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES

FABIANO DE ASSIS TEIXEIRA

MEDIDAS DE SEGURANA PARA AS PRINCIPAIS VULNERABILIDADES DO

PROTOCOLO IPv6

SERRA
2014
 FABIANO DE ASSIS TEIXEIRA

MEDIDAS DE SEGURANA PARA AS PRINCIPAIS VULNERABILIDADES DO

PROTOCOLO IPv6

Proposta de Trabalho de Concluso de Curso

apresentado a Coordenadoria de Cursos Superiores
em Informtica do Instituto Federal do Esprito
Santo, como requisito parcial para a obteno do
ttulo de Tecnlogo em Redes de Computadores.

Orientador: Prof. Me. Srgio Nery Simes

Co-orientador: Prof. Esp. Gilberto Sudr

SERRA
2014
 Dados Internacionais de Catalogao na Publicao (CIP)

T266m Teixeira, Fabiano de Assis

Medidas de segurana para as principais vulnerabilidades do
protocolo IPv6 / Fabiano de Assis Teixeira. 2014.
82 f.; il. ; 30 cm

Orientador: Prof. Me. Srgio Nery Simes.

Co-orientador: Prof. Esp. Gilberto Sudr
Monografia (graduao) Instituto Federal do Esprito Santo,
Coordenadoria dos Cursos Superiores de Informtica, Curso
Superior de Tecnologia em Redes de Computadores, 2014.

1. Redes de computao - Protocolos. I. Simes, Srgio Nery.

II. Sudr, Gilberto. III Instituto Federal do Esprito Santo. IV. Ttulo.

CDD: 004.6
 AGRADECIMENTOS

Primeiramente a Deus, que em todos os momentos nunca me deixou desistir dos

meus objetivos.

A toda minha famlia que sempre me incentivou e em especial a minha esposa e filha,
Alessandra e Alice, pelo amor, pela pacincia e compreenso nos momentos de
ausncia e menor dedicao devido aos estudos.

Aos meus orientadores, por me auxiliarem no desenvolvimento deste trabalho, mas

principalmente ao professor Sergio Nery que me acompanhou, estimulou, cobrou e
me criticou muito, com objetivo de ensinar a metodologia e a melhor forma para
descrever um trabalho de concluso de curso.

Aos membros da banca examinadora pela disposio em analisar esse trabalho.

Agradeo a todos aqueles que direta ou indiretamente colaboraram para a realizao

deste trabalho.
 RESUMO

A escassez de endereos pblicos do protocolo IPv4 tem motivado uma crescente

migrao para o protocolo IPv6. O IPv6 foi concebido visando sanar essa e outras
deficincias do protocolo IPv4. Dentre as muitas mudanas destacam-se: mobilidade,
mecanismos de segurana e suporte s aplicaes multimdia em tempo real.
Entretanto, ainda existem algumas vulnerabilidades no IPv6 que no foram sanadas.
O objetivo deste trabalho apresentar e discutir as principais vulnerabilidades do
protocolo IPv6 e demonstr-las na prtica em um ambiente de testes, bem como
propor contramedidas para contorn-las. Foi implementado um cenrio de testes com
IPv6, no qual realizaram-se vrios ataques. Em todos os testes realizados na
configurao padro foi possvel explorar as vulnerabilidades existentes no protocolo.
Em seguida, aplicou-se algumas contramedidas como a configurao do firewall e do
protocolo IPSec, que resultaram na reduo e/ou extino das vulnerabilidades
estudadas. Assim, sugerimos que, aps a migrao para o protocolo IPv6, sejam
realizadas pelo menos as contramedidas apresentas neste trabalho para que haja um
nvel mnimo de segurana na rede.

Palavras-chave: Protocolo IPv6. Segurana. Vulnerabilidade. Invaso.

 ABSTRACT

The shortage of public IPv4 addresses has motivated an increasing migration to IPv6.
IPv6 was designed aiming to solve this and other shortcomings of IPv4, among many
changes we have: mobility, security mechanisms and real time multimedia support
applications. However, there are still some vulnerabilities in IPv6 which have not been
resolved yet. The objective of this work is to present and discuss the most important
vulnerabilities of IPv6, as well as demonstrate them in practice in a test environment
and propose security measures to avoid them. A laboratory with a IPv6 environment
was implemented, in which several invasion tests were conducted. In all tests using
default configuration it was possible to exploit vulnerabilities in protocol. Then, some
security measures were applied such as firewall and IPSec protocol configuration,
resulting in a reduction and / or elimination of vulnerabilities studied. Thus, we suggest
that the security measures presented in this work should be performed to ensure a
minimum level of network security.

Keywords: Protocol IPv6. Security. Vulnerabilities. Invasion.

 LISTA DE FIGURAS

Figura 1 - Formato dos cabealhos IPv4 e IPv6. ....................................................... 19

Figura 2 - Cadeia de cabealhos de extenso .......................................................... 20

Figura 3 - Authentication Header............................................................................... 21

Figura 4 - Encapsulating Security Payload ................................................................ 23

Figura 5 - Endereo IPv6 representado em bits ........................................................ 24

Figura 6 - Autoconfigurao stateless ....................................................................... 27

Figura 7 Funcionamento do IPSec ............................................................................ 29

Figura 8 - Localizao do protocolo ICMPv6 ............................................................. 32

Figura 9 - Formato do pacote ICMPv6 ...................................................................... 32

Figura 10 - Ambiente de teste.....................................................................................43

Figura 11 - Funcionamento do SCAN - Descoberta de vizinho ................................. 45

Figura 12 - Inicio de ataque SCAN Descoberta de vizinhana ............................... 46

Figura 13 - Redirecionado trfego ............................................................................. 47

Figura 14 - Inicio de ataque MitM e DoS Redirecionamento de trfego...................48

Figura 15 - Funcionamento do ataque ICMPv6DAD...................................................48

Figura 16 - Parar servio DHCP ................................................................................ 49

Figura 17 - Configurao IP da vtima ....................................................................... 50

Figura 18 - Inicio de ataque ICMPv6 DAD ................................................................ 50

Figura 19 - Iniciar DHCP ........................................................................................... 51

Figura 20 - Reiniciar as configuraes de rede no cliente ......................................... 51

Figura 21 - Funcionamento do ataque com anncio de roteador falso ..................... 52

Figura 22 - Gateway no configurado ....................................................................... 53

Figura 23 - Ataque MitM Anncio de roteador ........................................................ 53

Figura 24 - Funcionamento do ataque com vrios anncios de roteadores

falsos ......................................................................................................................... 54

Figura 25 - Incio do ataque com gateway aleatrios ................................................ 55

Figura 26 - Funcionamento com mensagem multicast .............................................. 56

Figura 27 - Incio do ataque com mensagens multicast ............................................ 56

Figura 28 - Abrir configuraes de firewall ................................................................ 57

Figura 29 - Inicio da configurao IPSec ................................................................... 58

Figura 30 - 1 passo para configurao do IPSec ..................................................... 58

Figura 31 - 2 passo para configurao do IPSec ..................................................... 59

Figura 32 - 3 passo para configurao do IPSec ..................................................... 60

Figura 33 - 4 passo para configurao do IPSec ..................................................... 61

Figura 34 - 5 passo para configurao do IPSec ..................................................... 61

Figura 35 - 6 passo para configurao do IPSec ..................................................... 62

Figura 36 - 7 passo para configurao do IPSec ..................................................... 63

Figura 37 - 8 passo para configurao do IPSec ..................................................... 63

Figura 38 - Conexo entre servidor e cliente aps configurao do IPSec ............... 64

Figura 39 - 1 passo para configurar regra ICMP echo request para mquinas
autenticadas .............................................................................................................. 65
Figura 40 - 2 passo para configurar regra ICMP echo request para mquinas
autenticadas .............................................................................................................. 65

Figura 41 - 1 passo para configurar regra anncios de roteador ............................. 66

Figura 42 - 2 passo para configurar regra anncios de roteador ............................. 67

Figura 43 - Configuraes das regras do firewall ...................................................... 67

Figura 44 - Resultado do ataque SCAN......................................................................68

Figura 45 Pacotes forjados..................................................................................... 69

Figura 46 - Captura de pacotes ................................................................................. 70

Figura 47 - Resultado do ataque MitM ...................................................................... 70

Figura 48 - Resultado do ataque ICMPv6 DAD ......................................................... 71

Figura 49 - Captura de IP atravs do ataque ICMPv6 DAD ...................................... 71

Figura 50 - Resultado do ataque com gateway falso ................................................ 72

Figura 51 - Resultado do ataque com gateway aleatrios ........................................ 74

Figura 52 - Representa o uso de CPU antes do ataque ............................................ 75

Figura 53 - Resultado do ataque com mensagens Multicast ..................................... 75

 LISTA DE QUADROS

Quadro 1 - Alocao de prefixos ............................................................................... 25

Quadro 2 - Resumo dos resultados............................................................................76

 SUMRIO

1 INTRODUO ............................................................................................. 14

1.1 JUSTIFICATIVA ............................................................................................ 15

1.2 OBJETIVOS .................................................................................................. 15

1.2.1 Objetivo geral ............................................................................................. 15

1.2.2 Objetivos especficos................................................................................. 16

2 REFERENCIAL TERICO ........................................................................... 17

2.1 INTRODUO AO IPV6 ................................................................................ 17

2.2 CARACTERSTICA DO IPV6 ........................................................................ 18

2.2.1 Formato do cabealho IPV6 ....................................................................... 19

2.2.1.1 AH - Authentication Header (Autenticao do cabealho) ............................ 21

2.2.1.2 ESP - Encapsulating Security Payload (Encapsulamento de dados de

segurana) ................................................................................................................ 22

2.2.2 Endereamento IPV6 .................................................................................. 23

2.2.2.1 Stateful (com estado) .................................................................................... 26

2.2.2.2 Stateless (sem estado) ................................................................................. 26

2.2.3 Suporte nativo a segurana ...................................................................... 28

2.2.3.1 IPSec ............................................................................................................ 29

2.3 SERVIOS BSICOS EM REDES IPV6 ....................................................... 31

2.3.1 ICMPV6 ........................................................................................................ 31

2.3.2 NDP Neighbor Discovery Protocol ......................................................... 33

2.4 VULNERABILIDADES DO IPV6 .................................................................... 35

2.5 TRABALHOS RELACIONADOS ................................................................... 37

2.5.1 Estudo de vulnerabilidade do IPSEC em redes IPV6 ............................... 37

2.5.2 Anlise de segurana do protocolo IPV6 .................................................. 38

2.5.3 Anlise da segurana em redes puramente IPV6..................................... 38

3 METODOLOGIA .......................................................................................... 39

3.1 FERRAMENTA DE TESTE ........................................................................... 39

3.1.1 THC-IPV6 Toolkit ......................................................................................... 39

3.1.2 Wireshark ................................................................................................... 41

3.2 AMBIENTE DE TESTE ................................................................................. 42

3.3 TIPOS DE ATAQUE ...................................................................................... 44

3.3.1 Ataque SCAN Descoberta de vizinhana ............................................... 44

3.3.2 Ataque MitM e DoS Redirecionamento de trfego................................ 46

3.3.3 Ataque MitM e DoS ICMPv6 DAD ........................................................... 48

3.3.4 Ataque MitM Anncio de roteador ......................................................... 51

3.3.5 Ataque DoS Anncios de roteadores .................................................... 53

3.3.6 Ataque DoS - Mensagens Multicast .......................................................... 55

3.4 CONTRAMEDIDAS PARA OS ATAQUES .................................................... 57

4 RESULTADOS ............................................................................................. 68

4.1 ATAQUE SCAN DESCOBERTA DE VIZINHANA ................................... 68

4.2 ATAQUE MitM E DoS REDIRECIONAMENTO DE TRFEGO ................. 69

4.3 ATAQUE MitM E DoS ICMPv6 DAD .......................................................... 71

4.4 ATAQUE MitM ANNCIO DE ROTEADOR ............................................... 72

4.5 ATAQUE DoS ANNCIOS DE ROTEADORES ........................................ 73

4.6 ATAQUE DoS - MENSAGENS MULTICAST ................................................ 75

5 CONCLUSO ............................................................................................... 78

REFERNCIAS ............................................................................................. 80
 14

1 INTRODUO

Atualmente, o protocolo IPv6 vem sendo implantado gradativamente em todo

mundo. Segundo o Google, trs por cento dos usurios j esto utilizando esta
tecnologia (IPv6.br, 2014). Com isto, o IPv6 vai se consolidando no mundo da
internet, onde mais aplicaes esto se preparando para o uso desta tecnologia.

Com a consolidao do IPv6 tem aumentado o nmero de usurios interessados por

esta tecnologia, tendo em vista que este novo modelo de endereamento possui
muitos recursos, tais como: novo formato do cabealho, suporte a novas tecnologias
de rede, configurao de endereamento com ou sem estado, segurana embutida,
melhor suporte para a qualidade dos servios (QoS), infraestrutura hierrquica e
eficincia de roteamento e endereamento, novo protocolo para interao entre ns
vizinhos e capacidade de extenso (PRESSAMAN, 2007). Assim, diante de muitos
benefcios surgidos com a implantao do IPv6, surge a preocupao com a
segurana.

Nesse contexto, a Salient Federal Systems, empresa de engenharia de TI,

identificou uma srie de incidentes que envolvem ataques ao IPv6 (LOPES, 2014).
Atravs desses ataques pode-se descobrir informaes importantes e at mesmo
confidenciais, de modo que, antes de implementar o protocolo IPv6, necessrio
avaliar as vulnerabilidades e identific-las com a finalidade de diminuir o risco de
invaso deste ambiente.

Todavia, a conscincia sobre a importncia do IPv6 no vem sendo acompanhada

de esforos direcionados para questes relacionadas segurana (OLIVEIRA,
2012).
 15

1.1 JUSTIFICATIVA

Tendo em vista o crescimento do nmero de usurios conectando-se internet e a

disponibilidade de endereos IPv4 se esgotando, tornou-se imprescindvel estudar o
novo protocolo IPv6. Entretanto, este protocolo apresenta algumas vulnerabilidades,
que se no forem corrigidas podero ser exploradas por um invasor. Assim, neste
trabalho, esperamos contribuir com informaes relevantes segurana de redes
que sero implementadas sob o novo protocolo de comunicao, evidenciando a
existncia de falhas na segurana que comprometem a confiabilidade e
confidencialidade na rede.

1.2 OBJETIVOS

1.2.1 Objetivo geral

Realizar um estudo das principais vulnerabilidades do protocolo IPv6, avaliando o

impacto destas em um ambiente corporativo e sugerir contramedidas, nos casos em
que forem possveis.
 16

1.2.2 Objetivos especficos

Implementar um ambiente com IPv6 para realizar testes de penetrao;

Avaliar, atravs dos testes de penetrao, os riscos que as principais

vulnerabilidades do protocolo IPv6 podem oferecer;

Sugerir contramedidas para reduzir os riscos na implantao do protocolo

IPv6 em um ambiente corporativo.
 17

2 REFERENCIAL TERICO

2.1 INTRODUO AO IPv6

A evoluo da internet global sempre influenciou o crescimento da arquitetura

TCP/IP. Na dcada de 1990, os pesquisadores argumentaram que o IPv4 seria
insuficiente para as novas aplicaes, visto que a expanso global da rede seria
dada de maneira desenfreada (COMER, 2006). Assim, com os milhes de usurios
que se tornaram dependentes da internet, caminha-se para a situao prevista h
mais de duas dcadas.

Isso ocorre porque o protocolo IPv4 reserva 32 bits numerados de 0 a 31 para

endereamento, resultando em pouco mais de 4 bilhes de endereos distintos,
sendo que o nmero de computadores com IP pblico, ou seja, publicados na
internet, cresce vertiginosamente. Alm disso, crescem as expectativas de um
aumento, ainda maior, quanto ao uso de IP entre pessoas e dispositivos com alguma
tecnologia de comunicao a partir da internet (ARAUJO; ALMEIDA; SILVA, 2012).

Diante de tal contexto, mesmo com a grande quantidade de recursos que visam
melhorar a utilizao dos endereos pblicos, o IPv4 tende a esgotar-se em poucos
anos. Segundo o Ncleo de Informao e Coordenao do Ponto BR (NIC.br),
responsvel pelo registro nacional de endereos IP para o Brasil., em conjunto com
o Registro de Endereamento da Internet para a Amrica Latina e o Caribe
(LACNIC), declaram que o estoque de endereos IPv4 atinge o limite previsto,
considerando o determinado pela poltica regional para a fase de esgotamento deste
recurso (COMPUTERWORLD, 2014).
 18

Diante de um possvel colapso da internet, grupos de pesquisadores foram

motivados a desenvolver um novo modelo de endereamento TCP/IP que suprisse a
necessidade da humanidade em relao conectividade com o mundo. Esse novo
modelo foi denominado de IPv6, surgindo como uma nova verso do IP e baseado
nos princpios que fizeram o sucesso do IPv4, porm, com a capacidade de suprir as
falhas apresentadas por ele.

A IETF, em 1993, formalizou atravs da RFC 1550, as pesquisas sobre a nova

verso do protocolo IP. Logo foram levantadas questes para serem discutidas e
colocadas em prticas na prxima verso, tais como: escalabilidade, segurana e
administrao de rede, suporte a QoS, mobilidade, polticas de roteamento e
transio.

2.2 CARACTERSTICA DO IPv6

As principais caractersticas do IPv6 so: formato do cabealho mais simples,

espao de endereamento expandido, suporte melhorado para extenses e opes,
escalabilidade, configurao de endereos stateless (sem estado) e statefull (com
estado), suporte nativo segurana, suporte nativo a mobilidade, suporte melhorado
a QoS e um novo protocolo para interao entre ns vizinhos (SARAIVA, 2013).
 19

2.2.1 Formato do cabealho IPv6

O formato do cabealho foi projetado para suportar, desde sua criao, tcnicas e
mecanismos que simplificam e aperfeioam os processos que antes dependiam de
outros protocolos ou configuraes no IPv4 (SARAIVA, 2013). O IPv6 muda o
formato em relao ao IPv4, apresentando um cabealho com base simplificada que
utiliza somente campos essenciais, excluindo de forma opcional os outros campos,
ou seja, caso seja necessria a adio de algum campo opcional, este pode ser
adicionado atravs do cabealho de extenso (COMER, 2006).

Alguns campos do cabealho do IPv6 referem-se diretamente a campos do

cabealho IPv4. A figura 1 apresenta o formato dos cabealhos IPv4 e IPv6:

Figura 1 - Formato dos cabealhos IPv4 e IPv6.

Fonte: (GONT, 2014).

 20

Alm de ter um cabealho mais simplificado, porm maior que o IPv4, o IPv6 possui
cabealhos de extenso que permitem maior flexibilidade ao datagrama, oferecendo
maior agilidade na comunicao entre os roteadores (PRAZER, 2007).

Exemplificando, o protocolo IPv4 inclui no cabealho base todas as informaes

opcionais, enquanto o IPv6 trata essas informaes atravs de cabealhos de
extenso. Estes localizam-se entre os cabealhos base e o da camada superior, no
possuindo quantidade ou tamanho fixo. Existe, ainda, a cadeia de cabealhos, que
ocorre quando vrios cabealhos concatenados esto no mesmo pacote, sendo
adicionados em srie nessa situao. A figura 2 descreve este caminho.

Figura 2 - Cadeia de cabealhos de extenso

Fonte: (MOREIRAS, 2012).

As especificaes contidas nas RFC 2402 e 2406 definem seis cabealhos de

extenso. Neste trabalho sero apresentados com mais detalhes os cabealhos
Authentication Header e Encapsulating Security Payload.
 21

2.2.1.1 AH - Authentication Header (autenticao do cabealho)

Este responsvel pelo provimento de confidencialidade, autenticao e integridade

dos datagramas IPv6. identificado pelo valor 51 no campo Prximo Cabealho, e
faz parte do cabealho do IPSec Internet Protocol Security (RFC 2460, 2014).

Um pacote contendo este cabealho no pode ser fragmentado pela origem. Caso
haja a fragmentao em datagramas com AH, estes sero descartados, pois isso
evita que a rede seja atacada por sobreposio de fragmentos, e como os
datagramas so rejeitados em nvel de IP, reduz tambm ataques conhecidos como
negao de servio (PRAZER, 2007). A Figura 3 apresenta onde atua este
cabealho.

Figura 2 - Authentication Header

Fonte: (CUNHA, 2014).

 22

2.2.1.2 ESP - Encapsulating Security Payload (encapsulamento de dados de

segurana)

Possui a mesma responsabilidade do cabealho de autenticao, porm, voltado

para os processos de criptografia, e sempre deve ser configurado junto com os
servios de checagem de integridade e autenticao (AH), a fim de se evitar ataques
do tipo criptoanaltico (SILVEIRA, 2012).

O roteador de borda ao receber um datagrama ir aplicar ESP antes de envi-lo ao

prximo n, e caso este seja um fragmento, o roteador ir juntar todos os
datagramas do pacote, remont-lo e aplicar o ESP.

Para receber um datagrama, o roteador com ESP implementado ir avaliar os

campos que indicam fragment offset no cabealho de fragmentao. Caso eles
apresentem valores indicativos de fragmento, ou seja, offset diferente de 0 e/ou m
igual a 1, o datagrama ser descartado afim de se evitar o ataque de duplicao de
pacotes (PRAZER, 2007).

Neste contexto, quando o roteador de borda receber este datagrama realizar a

autenticao e verificar sua integridade, se validados os requisitos, ocorrer a
descriptografia dos dados e o datagrama ser enviado ao seu destino. Assim, o
pacote ser descriptografado pelo ltimo gateway antes do destinatrio (RFC 2460,
2014). A figura 4 descreve o funcionamento deste cabealho.
 23

Figura 3 - Encapsulating Security Payload

Fonte: (CUNHA, 2014).

2.2.2 Endereamento IPv6

O protocolo IPv6 tem como principal caracterstica e justificativa para o seu

desenvolvimento o aumento no espao para endereamento, juntamente com a
otimizao de tabelas de roteamento (HAGEN, 2002). Possui endereos de 128 bits,
podendo ter um total de 3,4x10^38 endereos. Este nmero foi pensado justamente
para que no futuro no houvesse a necessidade de migrar novamente para um novo
padro (GUIA DO HARDWARE, 2014).

No IPv6 cada endereo ocupa 8 grupos de 16 bits, representando aproximadamente

79 octilhes de vezes a quantidade de endereos IPv4 e representa, tambm, mais
de 56 octilhes de endereos por ser humano na Terra, considerando-se a
populao estimada em 6 bilhes de habitantes. Assim, em razo de tal dimenso
de endereos disponveis, para cada equipamento eletrnico existir um endereo
IPv6 (COMER, 2006).
 24

A representao dos endereos IPv6 ser dividida em oito grupos de 2 bytes,

separando-os por :, escritos com dgitos hexadecimais (0-F). A figura 5 mostra esta
representao:

Figura 4 - Endereo IPv6 representado em bits

Fonte: (PRAZER, 2007).

Para representar um endereo IPv6 no h distino entre letras maisculas e

minsculas, pois o referido protocolo no case sensitive. Alm disso, a fim de
melhorar a escrita para endereos mais extensos, permitida a simplificao da
notao.

Para se ter ideia, permitido omitir os zeros a esquerda de cada bloco de 16 bits,
bem como substituir uma sequncia longa de zeros por ::. Entretanto, quando
houver dois ou mais grupos de zeros, separados por um grupo que no seja de
zeros, s ser possvel omitir os grupos da esquerda com ::, enquanto os outros
sero representados por 0. Segue exemplo:

2001:0000:0000:0025:0000:0000:210E:AB29

2001::25:0:0:210E:AB29
 25

A utilizao da notao CIDR outra forma de representar o endereo IPv6, pois

permite que um endereo seja seguido por uma barra e um nmero inteiro, como no
IPv4, representada na forma, por exemplo: 2001:db8:3003:2::/64. Isto serve para
especificar a mscara de rede, que tem a mesma finalidade no IPv4 (FOURAZAN,
2006).

H tambm alguns prefixos de endereamento que j foram estabelecidos e no

devem ser utilizados para endereamentos comuns. O quadro 1 descreve essa
situao:

Quadro 1 - Alocao de prefixos

Incio da faixa de Frao do espao

Prefixos Extenso da
Alocao endereamentos em de endereos
binrios Mscara em bits
Hexadecimal geral

Reservado 0000 0000 0:: /8 8 1/256

Reservado para
0000 001 200:: /7 7 1/128
NSAP

Reservado para
0000 010 400:: /7 7 1/128
IPX

Endereos
Unicast Globais 001 2000:: /3 3 1/8
Agregados

Unicast local ao
1111 1110 10 FE80:: /10 10 1/1024
enlace

Unicast local
1111 1110 11 FEC0:: /10 10 1/1024
instalao

Multicast 1111 1111 FF00:: /8 8 1/256

Fonte: (MILLER, 1998).

 26

O IPv6 possui 3 tipos de endereos: unicast, anycast e multicast, este ltimo

servindo para substituir os endereos broadcast (RFC 3513, 2014). Alm disso, o
IPv6 possui duas maneiras de distribuir endereos automaticamente, conhecidas
como stateful (com estado) e stateless (sem estado).

2.2.2.1 Stateful (com estado)

conhecido como DHCPv6, sendo usado quando um roteador no for encontrado

ou as mensagens de auto resposta so configurados para usar DHCPv6.

O servidor com esta configurao possui as mesmas funcionalidades do DHCP em

IPv4 fornecendo ao cliente um endereo IP. No entanto, uma vez que o IPv6 no
usa transmisso como IPv4, o DHCPv6 escuta em dois endereos multicast:
FF02::1:2 e FF05::01:03.

2.2.2.2 Stateless (sem estado)

Esta tcnica uma das inovaes do IPv6, utilizada para sites que no necessitam
conhecer seus endereos IPs.
 27

O stateless possibilita a comunicao entre hosts com suporte apenas ao IPv6 e

outros com apenas o IPv4. Para tal, so utilizados os endereos MAC dos
adaptadores de rede associados s informaes fornecidas pelos roteadores.

Para este tipo de endereamento praticamente se exclui um dos problemas

encontrados em uma rede, o endereo duplicado, pois neste caso, os NICs
teoricamente so nicos no mundo. Entretanto, caso acontea de se encontrar uma
placa com mesmo endereo fsico de outra na mesma rede, ou se substitui a
interface, ou se fora um endereo manualmente.

A figura 6 representa o processo de autoconfigurao do endereo IP de uma

estao, em que ocorre a unio entre o prefixo da rede e o NIC da interface de rede
da estao.

Figura 5 - Autoconfigurao stateless

Fonte: (THOMAS, 1996).

 28

2.2.3 Suporte nativo a segurana

Para descrever este assunto, vale ressaltar que o propsito do IPv4 estava voltado
para interligar redes de pesquisas acadmicas, e por isso a segurana no foi
priorizada.

Com o crescimento da Internet surgiram diversas vulnerabilidades, as quais foram

exploradas prejudicando a manuteno da integridade dos dados, sendo necessrio
adicionar novos mecanismos ao protocolo para que o mesmo se tornasse mais
confivel.

Neste contexto, com intuito de melhorar a segurana do IPv4, foram desenvolvidos

muitos mecanismos onde o IPSec pode ser considerado fundamental, pois
implementa criptografia e autenticao de pacotes na camada de rede. No entanto,
o IPSec no pde ser implementado nativamente no IPv4 devido ao uso do NAT que
impede o mapeamento do IP real que originou os pacotes. J no IPv6 essa
implementao tornou-se possvel garantindo a integridade, a confidencialidade e a
autenticidade dos dados, sendo que os mecanismos de autenticao e
encapsulamento do IPSec so integrados ao IPv6. Alm disto, seu suporte
obrigatrio em todos os ns, no permitindo as conexes que utilizam NAT, pois
como o IPSec no consegue identificar o pacote, o mesmo descartado (BRAGA,
2011).
 29

2.2.3.1 IPSec

IPSec um conjunto de protocolos que proveem servios de autenticidade e

condencialidade para comunicaes na Internet (KENT; ATKINSON, 2014). A
Figura 7 ilustra seu funcionamento.

Figura 6 Funcionamento do IPSec

Fonte: (Technet, 2014).

Sua funo garantir que o datagrama IP no modelo de comunicao m-a-m, no

tenha as informaes, sobre a camada IP, modificada por nenhuma mquina
intermediria na Internet.

Nesse contexto, o IPSec possui um mtodo padro para a segurana dos dados que
trafegam sobre o TPC/IP, atuando na camada de rede do modelo OSI (Open
Systems Interconnection), diferindo dos protocolos SSL (Secure Sockets Layer) e
TLS (Transport Layer Security) que operam desde a camada de transporte at a
 30

camada de aplicao, tornando a segurana mais flexvel com relao ao trfego de

rede.

No IPv6, a implementao do IPSec visa fornecer maior segurana s informaes

em comunicao entre pontos. Essa segurana de criptografia e autenticao de
pacotes na camada de rede tem o objetivo de promover integridade,
confidencialidade e autenticidade aos dados. Devido a estas configuraes s
tcnicas de ataque antes utilizadas no protocolo IPv4 ficaram impossibilitadas, como
spoofing (falsificao de endereo), ataque de negao de servio DoS (Denial of
Service) e anlise do trfego de pacotes sniffing.

Em contrapartida, apesar de proteo dos dados, o IPSec no pode ser

implementado em algumas mensagens ICMPv6, pois para autentic-las utilizando o
cabealho AH preciso que os ns tenham seus endereos j definidos, o que no
ocorre em algumas mensagens ICMPv6 relacionadas descoberta de vizinhana e
anncio de roteadores. Para ocorrer a negociao de chaves pelo protocolo IKE
(Internet Key Exchage) os recursos de descoberta e anncio no funcionariam
corretamente, tornando-se invivel o processo de autoconfigurao de endereos e
deteco de erros pelo protocolo IPv6 (MOREIRAS, 2012).

Com relao segurana, ele utiliza recursos independentes para realizar suas
funes, pois est definido no IETF que os algoritmos de criptografia sero usados
pelas funes AH e ESP e no diretamente pelo IPSec.

Ainda sobre este assunto, existe o conceito de Associao de Segurana - AS como

sendo um dos fundamentais do IPSec. identificada unicamente por trs
parmetros: o SPI (Security Parameter Index), o endereo IP de destino e o
identificador do protocolo (AH ou ESP), sendo esta associao de segurana
baseada em uma conexo que viabiliza o trfego de servios seguros, a qual, por
sua vez, garantida pela utilizao dos protocolos AH, ESP, ou ainda de ambos.
Vale ressaltar que, no caso de se usar AH e ESP em conjunto, mais de uma AS
deve ser definida (OLIVEIRA, 2012).
 31

2.3 SERVIOS BSICOS EM REDES IPv6

Os servios bsicos do IPv6 esto diretamente relacionados com a segurana da

rede e, caso estes servios no estejam bem configurados de forma gerencivel e
sejam constantemente monitorados, oferecero vulnerabilidades.

Atualmente existem vrios servios bsicos em funcionamento, dentre eles o

ICMPv6 (Internet Control Message Protocol version 6) e o NDP (Neighbor Discovery
Protocol). Um responsvel, basicamente, por tratar informaes obtidas atravs da
troca de mensagens e o outro responsvel por identificar e aprender
caractersticas de rede da vizinhana, respectivamente.

2.3.1 ICMPv6

O protocolo ICMPv6 tem funes de informar as caractersticas da rede, alm de

realizar diagnsticos e relatar erros no processamento de pacotes. Isto ocorre por
meio das informaes que so obtidas pela troca de mensagens ICMP entre
roteadores e hosts de uma rede. Estas mensagens so divididas em mensagem de
erro e mensagem de informao, atravs delas, por exemplo, que podemos obter
a situao de conectividade de um host (OLIVEIRA, 2012).

O pacote ICMPv6 identificado no cabealho IPv6 pelo valor 58, localiza-se aps os
cabealhos base do IPv6, caso no exista cabealhos de extenso, conforme figura
8.
 32

Figura 7 - Localizao do protocolo ICMPv6

Fonte: (IPv6.br, 2014).

O ICMPv6 possui um cabealho de estrutura simples, baseado em quatro campos

bsicos conforme figura 9.

Figura 8 - Formato do pacote ICMPv6

Fonte: (IPv6.br, 2014).

Segue abaixo a descrio de cada campo:

 33

Type (8 bits): especifica o tipo da mensagem e, assim, determina o formato do

corpo da mensagem (campo Data). Um exemplo o valor 2, que indica a
mensagem Packet Too Big.

Code (8 bits): apresenta algumas informaes adicionais sobre o motivo da

mensagem. Um exemplo de seu uso seria a indicao motivo de uma falha de
conexo entre dois dispositivos. Numa mensagem Destination Unreachable,
o valor 0 representa a no existncia de rota para o destino.

Checksum (16 bits): utilizado na deteco de dados corrompidos no

cabealho ICMPv6 e em parte do cabealho IPv6.

Data: mostra as informaes relativas ao tipo da mensagem, podendo ser

desde diagnsticos de rede at erros. Seu tamanho varivel de acordo com
a mensagem. Porm, no pode exceder o tamanho de MTU mnimo do IPv6
(1280 bits).

2.3.2 NDP Neighbor Discovery Protocol

O protocolo de descoberta de vizinho foi desenvolvido sob a finalidade de resolver

os problemas de interao entre ns vizinhos em uma rede. Para isso ele atua sobre
dois aspectos primordiais na comunicao IPv6, a autoconfigurao de ns e a
transmisso de pacotes (OLIVEIRA, 2012).

Na autoconfigurao de ns, o protocolo fornece suporte para a realizao de trs

funcionalidades: Descoberta de parmetros, Autoconfigurao de endereos e
Deteco de endereos duplicados. A transmisso de pacotes do suporte dada
 34

para a realizao de seis funcionalidades: Descoberta de roteadores, Descoberta de

prefixo, Resoluo de endereos, Deteco de ns vizinhos, Redirecionamento e
Determinao do prximo salto.

O protocolo NDP foi construdo com base nas mensagens do protocolo ICMPv6 para
a realizao de suas tarefas. Combinando essas funcionalidades, temos um
eficiente disseminador de informaes na rede. Para isto cinco tipos de mensagens
ICMPv6 foram criados para facilitar o trabalho do NDP, tais como:

Mensagens de Solicitao de Roteador (Router Solicitation message) Essa

solicitao enviada pelo host a fim de solicitar aos roteadores que enviem
informaes sobre suas rotas. Isso o auxiliar da definio de um gateway
padro.

Mensagens de Anncios de Rota (Router Advertisement message) Tem

como objetivo a divulgao de informaes sobre rotas dos roteadores. A
disseminao destes dados feita periodicamente ou quando h uma
Mensagem de Solicitao de Roteador.

Mensagem de Solicitao de Vizinho (Neighbor Solicitation message)

Solicitado pelos ns de origem via multicast, requer informaes dos ns
vizinhos sobre endereamentos de portas de sada da rede local, os quais
so repassados adiante para outros ns. Para se saber a distncia a que
esto destes vizinhos utiliza-se mensagens do tipo unicast.

Mensagem de Anncio de Vizinho (Neighbor Advertisement message)

Trata-se da resposta Mensagem de Solicitao de Vizinhana enviada ao
n solicitante.

Mensagens de Redirecionamento O roteador utiliza-se destas mensagens

pra informar aos hosts os melhores caminhos pelos quais eles devero enviar
seus datagramas a fim de atingirem seus destinos.
 35

Essas funcionalidades foram desenvolvidas para que as redes baseadas em IPv6

prescrevessem menor complexidade em suas configuraes, tornando-se uma rede
autnoma. Assim que um dispositivo se conecta rede, o protocolo inicia um
processo de integrao rede de forma automtica, buscando vizinhana e
anunciando sua presena na rede para outros dispositivos (FLORENTINO, 2012).

2.4 VULNERABILIDADES DO IPv6

Atualmente j foram detectadas vrias vulnerabilidades no protocolo IPv6, tais como

a falsificao do neighbor Discovery, falsificao do router advertisement, falta de
autenticao, utilizao do MAC na definio do IP, tnel automtico, 6to4 e falta de
familiaridades com o modelo fim a fim (MOREIRAS, 2012).

Sabendo destas vulnerabilidades e conhecendo a necessidade da implantao do

protocolo IPv6, a Salient Federal Systems, empresa de TI, identificou uma srie de
incidentes que envolvem ataques ao IPv6, tais como resoluo de DNS, trfego de
IPv6 encapsulado em redes IPv4, Type 0 Routing Heade e Routing Header Type 0.
Verificou-se que necessrio avaliar estas vulnerabilidades, para identificar uma
forma de corrigi-las, antes de realizar quaisquer modificaes no ambiente de rede
(LOPES, 2014).

O surgimento de novas vulnerabilidades inevitvel medida que se realiza maior

aprofundamento, a nvel de estudos, sobre o protocolo IPv6. No segundo Frum
Brasileiro de CSIRTS (Computer Security Incident Response Teams), ocorrido em
2013 (CERT.BR, 2014), foram citadas novas vulnerabilidades, tais como:
 36

A possibilidade de utilizar multicast para realizar o reconhecimento numa

determinada rede, descobrindo todos os hosts ativos.

Vulnerabilidades relacionadas aos cabealhos de extenso podem ser

exploradas de diferentes formas:

o Cadeias com mltiplos cabealhos, ou cabealhos mal formados,

podem ser usadas em ataques de DoS.

o Informaes podem ser enviadas sem que firewalls analisem o

contedo dos pacotes.

A descoberta de vizinhana (neighbour discovery) tem algumas falhas:

o possvel criar Router Advertisements (RA) falsos, para um ataque

man in the middle, ou de negao de servio.

o possvel congelar computadores Windows enviando RAs em grandes

quantidades na rede.

o possvel falsificar respostas na descoberta de vizinhos, criando

ataques do tipo man in the middle.

o possvel responder ao processo de deteco de endereos

duplicados, em um ataque de negao de servio.

O DHCPv6 tambm tem vulnerabilidades que podem ser exploradas:

o Ao solicitar endereos em excesso a um servidor DHCPv6 stateful

pode-se esgotar o bloco disponvel, ou ao menos a quantidade de
memria usada pelo servidor para armazenar as informaes, num
ataque de negao de servio.
 37

Algumas dessas falhas tem possibilidades de proteo parcial (RA Guard, por
exemplo). Outras devem ser tratadas e monitoradas (CERT.BR, 2014).

2.5 TRABALHOS RELACIONADOS

Neste tpico destacarei alguns trabalhos cujas pesquisas e estudos contriburam

para a elaborao deste trabalho de concluso de curso.

2.5.1 Estudo de vulnerabilidade do IPSEC em redes IPv6

Oliveira (2012) fez um estudo no qual testou mtodos de ataque ao trfego de

pacotes como Man in the Middle, Spoofing e Sniffing, em uma rede IPv6 protegida
com a segurana IPSec em sistemas operacionais atuais que possuem suporte
transmisso de dados em IPv6, mais especifico a segurana AH (Autentication
Header), ESP (Encapsulating Security Payload) parte dos mecanismos de
segurana do protocolo IPSec obrigatrio no protocolo IPv6 (OLIVEIRA, 2012).

Aps descrever os conceitos principais do protocolo IPv6 o autor descreveu os

riscos existentes da implementao do IPv6 e os meios de minimiz-los, concluindo
que a implementao IPSec nativo para IPv6 e os novos mecanismos para o novo
protocolo, tornaram promissores a segurana no trfego de dados.
 38

2.5.2 Anlise de segurana do protocolo IPv6

Alexandre e Cassian (2008) abordam os principais conceitos do protocolo IPv6, e

apresentam vulnerabilidades oriundas de ataques possveis utilizando o protocolo
ICMPv6. Estudam as novas funcionalidades do protocolo e a identificao de novas
ameaas segurana que podem surgir com a m implementao do IPv6. O
trabalho deles importante, pois, alm de apresentar as vulnerabilidades, trata de
aspectos mais tcnicos sobre o assunto (ALEXANDRE; CANSIAN, 2008).

2.5.3 Anlise da segurana em redes puramente IPv6

O autor apresenta as caractersticas do protocolo IPv6, que visa oferecer maior

segurana mandatria, utilizando o IPSec. Esse trabalho realizou uma anlise sobre
a segurana do novo protocolo da Internet, o ipv6, abordando um estudo terico e
testes de comunicao em uma rede puramente IPv6 (GODINHO, 2005). O trabalho
apresentado por GODINHO (2005) teve grande contribuio neste projeto pois, alm
de apresentar as vulnerabilidades, trata de aspectos mais detalhados sobre os
conceitos de segurana, abordando tcnicas de ataques e defesa bastantes
significativos para ajudar na compreenso do protocolo.
 39

3 METODOLOGIA

Para explorar as principais vulnerabilidades do IPv6 foi criado um ambiente de rede,

onde trs mquinas virtuais foram implementadas com trs sistemas operacionais
diferentes: Windows Server 2008 R2 WS2008, Windows 7 W7 e Ubuntu 11.04.
Sendo que o computador com Ubuntu possui a THC-IPv6 Toolkit que uma
ferramenta de teste usada para explorar vulnerabilidade em rede IPv6 e o Wireshark
um software que analisa os pacotes capturados, j nos computadores com WS2008
e W7 foram realizadas configuraes no IP Security Polices do Windows para
associaes seguras.

3.1 FERRAMENTA DE TESTE

Para realizao dos testes foram usadas as ferramentas THC-IPv6 Toolkit e o

software de captura de pacotes o Wireshark.

3.1.1 THC-IPv6 Toolkit

 40

THC-IPv6 Toolkit (The Hackers Choice) kit de ferramentas utilizadas para atacar
as vulnerabilidades do IPv6. O The Hackers Choice - THC um grupo de
pesquisadores, que realiza estudos na rea de segurana, definindo como foco de
suas pesquisas encontrar falhas de segurana e certific-las para que as
informaes estejam seguras (THC, 2014).

uma ferramenta disponvel apenas para sistemas operacionais Linux, sendo que
seu funcionamento realizado em modo terminal, a fim de promover testes de
segurana relacionados ao protocolo IPv6. Esta, por sua vez, explora muitas
vulnerabilidades, tais como: MitM (Man in the Middle), NS Spoofer, NA Spoofer, DoS
e DDoS.

Por se tratar de um kit de ferramentas, o THC possui muitas ferramentas para

explorar a segurana do IPv6. Abaixo segue as principais:

Parasite6: Ferramenta que se aproveita das mensagens icmp neighbor

solitication/advertisement para aplicar tcnicas de spoofer ou Man in the
Middle);

Alive6: um scan de IPv6, usa a tcnica de envio de mensagem de

descoberta de vizinhana para obter endereos IP ativos na rede;

Dnsdict6: Paralisar dicionrio DNS por fora bruta;

Fake_router6: Envia anncios falsos da presena de um novo roteador na

rede;

Redir6: Redirecionador de trfego inteligente, ideal para testes de (Man in the

Middle);

Toobig6: altera o MTU dos pacotes.

 41

Detectar-new-ip6: Usado para detectar novos dispositivos ip6 que aderiram

rede, voc pode executar um script para verificar automaticamente esses
sistemas.

Dos-novo-ip6: Esta ferramenta detecta novos dispositivos ip6 e dizer-lhes que

o seu IP escolhido colide na rede (DOS).

Trace6: Utiliza o comando traceroute6 muito rpido com suportes ICMP6

solicitao de eco e TCP-SYN.

Flood_router6: Inundar um alvo com roteador anncios aleatrios

Flood_advertise6: Inundar um alvo com anncios vizinho aleatrios

Fuzz_ip6: Ferramenta usada como difusor para ipv6

Implementation6: Executa vrias verificaes de implementao de IPv6

3.1.2 Wireshark

um software que analisa pacotes enviados e transmitidos pela rede, verificando os

dados capturados e organizando-os de acordo com o protocolo.

Possui uma interface grfica, onde so visualizados os dados capturados e descritos

de forma organizada em uma lista de informaes, sendo que esta pode ser salva e,
 42

caso o administrador no possua tempo para analis-la imediatamente, poder ser

feita posteriormente.

classificado como um sniffer, pois escuta todo trfego transitado na rede e possui
a funo de verificar se h problemas na rede, verificando as conexes suspeitas ou
outras atividades relacionadas rede.

Atravs deste software possvel:

Capturar os dados da Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, IP

clssico sobre ATM e interface loopback;

Editar e converter os arquivos capturados via linha de comando. 750

protocolos podem ser dissecados;

Salvar ou imprimir a sada em texto plano ou PostScript;

Exibir dados de forma refinada usando um filtro;

Usar filtros de exibio para destacar seletivamente e exibir informaes

coloridas no sumrio;

Salvar no disco todas as partes dos dados de rede capturados.

3.2 AMBIENTE DE TESTE

 43

Os computadores desse ambiente transmitiro dados pela rede, onde estes sero
capturados atravs de ferramentas que utilizam tcnicas de sniffers e,
posteriormente, os dados capturados fornecero informaes importantes para
realizao de ataques, explorando as vulnerabilidades deste protocolo. Alm de
realizar ataques e obter resultados das principais vulnerabilidades, sero
apresentadas contramedidas, visando oferecer maior segurana na utilizao do
IPv6. A figura 10 mostra este ambiente implementado.

Figura 10 - Ambiente de teste

Micro 1 - Vtima; SO: Windows 7; Servidor

IPv6: 2001:db8::3 Para os ataques de SO: Windows Server 2008 R2
SCAN, MitM e Mensagens multicast; IPv6: 2001:db8::2
IPv6: DHCPv6 Para os outros ataques.

Micro 2: Atacante
SO: Ubuntu 11.04
IPv6:2001:db8::4

No ambiente de rede montado, o micro 1 far o papel de vtima e o micro 2 de

atacante, bem como existir o servidor que ter vrias funes, destacando-se as
seguintes: DHCP e DNS.
 44

3.3 TIPOS DE ATAQUE

Os testes a serem realizados esto descritos abaixo, sendo que em todos sero
mostrados como se realizam os ataques, os impactos ocasionados e apresentadas
contramedidas.

Ataques Scan - Descoberta de vizinhana

Ataque de MitM e/ou DoS:

o Redirecionamento de trfego

o ICMPv6 DAD (Duplicate Address Detection)

o Anncio de roteador

Ataque de DoS:

o Anncios de roteadores

o Mensagens multicast

3.3.1 Ataque SCAN Descoberta de vizinhana

 45

Estes ataques so importantes para o invasor ter conhecimento dos alvos a serem
testados, pois, atravs da resposta obtida, o atacante pode explorar, atravs de
outras ferramentas, portas abertas e buscar outras vulnerabilidades. Este ataque
possvel no IPv6 por possui um conjunto de protocolos para a descobertas de rede,
que denominam-se Neighbour Discovery e Neighbour Solicitation protocols, que
aceitam, caso no configurados, comunicaes advindas de atacantes
(ETHICALHACKERNET, 2014).

No entanto, para que a realizao deste teste seja eficaz, necessrio que todos
hosts ativos da rede estejam com endereos definidos como escopo global ou que
tenham endereos link local da rede. A figura 11 ilustra o funcionamento do ataque.

Figura 11 - Funcionamento do SCAN - Descoberta de vizinhana

 46

Segue abaixo o caminho para a realizao do ataque:

Abra o terminal na mquina atacante;

Digite alive6 <interface>, nos testes realizados neste trabalho foram

utilizados a interface eth2, como mostra figura 12.

Figura 12 - Incio de ataque SCAN Descoberta de vizinhana

3.3.2 Ataque MitM e DoS Redirecionamento de trfego

A realizao deste ataque em IPv4 baseia-se no funcionamento das peties ARP e

das mensagens DHCP, ambas enviadas ao endereo de broadcast da rede.
Portanto, qualquer mquina pode responder a estas mensagens, falsificando assim
a informao. Em IPv6, no se adiciona uma segurana especial neste caso; a
diferena est na utilizao do ICMPv6 para a realizao destas peties e tambm
na utilizao de endereos multicast, pois em IPv6 no h endereos de broadcast.

O funcionamento desse ataque ocorre quando o cliente (vtima) precisa estabelecer

comunicao com o servidor, e no momento em que a mquina cliente envia uma
petio ICMPv6 para um ou mais ns da rede, o atacante pode utilizar a ferramenta
 47

parasite6 para enviar uma resposta afirmando que o MAC solicitado est
relacionado ao seu endereo IP, redirecionando todo o trfego local para o seu
prprio sistema. A figura 13 ilustra o funcionamento da rede aps o ataque bem
sucedido.

Figura 13 - Redirecionado trfego

Segue abaixo as configuraes para realizao deste ataque:

Abra o terminal na mquina (linux) atacante;

Digite parasite6 <interface>, como mostra figura 14.

 48

Figura 14 - Inicio de aAtaque MitM e DoS Redirecionamento de trfego

3.3.3 Ataque MitM e DoS ICMPv6 DAD

Consiste em utilizar a checagem DAD, necessria quando se quer atribuir um

endereo IP a uma interface de rede. A mquina que deseja utilizar um endereo IP
envia uma mensagem ICMP6 para verificar se o endereo j est sendo usado, mas
a ferramenta dos-new-ip6 ir impedir que se atribua novos endereos IPs na rede,
afirmando que esto sendo utilizados todos os endereos. A figura 15 ilustra o
funcionamento deste ataque.

Figura 15- Funcionamento do ataque ICMPv6 DAD

 49

Descreve-se abaixo uma sequncia intuitiva para realizao do ataque:

Para o servio DHCPv6 no servidor, conforme figura 16;

Figura 16 - Parar servio DHCP

Abra o prompt de comando na mquina da vtima;

Digite ipconfig /release, para limpar as configuraes de rede;

Digite ipconfig, para verificar que no possui endereo IPv6 global, conforme
figura 17;
 50

Figura 17 - Configurao IP da vtima

Abra o terminal na mquina (linux) do atacante;

Digite dos-new-ip6 <interface> como mostra figura 18;

Figura 18 - Inicio de ataque ICMPv6 DAD

Inicialize o servio DHCPv6 no servidor conforme figura 19;

 51

Figura 19 - Iniciar DHCP

Abra o prompt de comando na mquina da vtima;

Digite ipconfig /renew, para solicitar ip ao servidor DHCPv6 conforme figura

20;

Figura 20 - Reiniciar as configuraes de rede no cliente

3.3.4 Ataque MitM Anncio de roteador

 52

Com este ataque possvel redirecionar o trfego de um host com IP mvel ao

destino escolhido. O atacante envia anncio de roteador, a vtima aceita-o como
verdadeiro e configura a sada do trfego da rede para a mquina atacante. A figura
21 ilustra o funcionamento deste ataque.

Figura 21 - Funcionamento do ataque com anncio de roteador falso

Abaixo, o caminho para a realizao do ataque:

Abra o prompt de comando da vtima e digite ipconfig para saber as

configuraes de IP que possuem conforme figura 22;
 53

Figura 22 - Gateway no configurado

Abra o terminal na mquina (linux) atacante;

Digite fake_router6 <interface> <IP_da_rede>, como mostra a figura 23;

Figura 23 - Ataque MitM Anncio de roteador

3.3.5 Ataque DoS Anncios de roteadores

Este ataque faz com que a mquina da vtima fique travada, pois o uso da CPU
chega a 100%, sendo necessrio reinicializar todo sistema para normalizao do
uso da CPU e outros servios. Ocorre quando o atacante envia vrias ofertas de
anncios de novas redes a uma vtima, que tenta configurar todas ao mesmo tempo,
 54

isto gera interrupo dos servios, sendo necessrio a reinicializao do sistema

operacional. A figura 24 ilustra o funcionamento deste ataque.

Figura 24 - Funcionamento do ataque com vrios anncios de roteadores falsos

Tal ataque pode ser realizado da seguinte forma:

Abra o terminal (linux) do atacante;

Digite floof_router6 <interface>, conforme figura 25;

 55

Figura 25 - Incio do ataque com anncios de roteadores falsos

3.3.6 Ataque DoS - Mensagens Multicast

Para compreenso deste ataque, faz-se necessrio descrever seu funcionamento

com o protocolo IPv4. Consiste no envio de pacotes ao endereo de broadcast para
realizar um ataque de DoS uma mquina, para isso utiliza-se o endereo da vtima
como origem, e todas as mquinas da rede respondem vtima, amplificando seu
trfego e provocando o resultado esperado.

J no IPv6, como foi comentado anteriormente, no h endereos de broadcast,

porm, possvel realizar um ataque anlogo utilizando o endereo de multicast de
todos os nodos locais. A figura 26 ilustra o funcionamento deste ataque.
 56

Figura 26 - Funcionamento com mensagem multicast

Para realizao deste ataque, segue abaixo as etapas para sua execuo:

Abra o terminal (linux) do atacante;

Digite smurf6 <interface> [endereo_da_vtima], como mostra figura 27;

Figura 27 - Incio do ataque com mensagens multicast

 57

3.4 CONTRAMEDIDAS PARA OS ATAQUES

Para se defender dos ataques citados neste trabalho, faz-se necessrio configurar o
IPSec nas mquinas da rede, bem como alterar algumas regras no firewall do
Windows. Assim, segue o caminho para a configurao do IPSec, ressaltando que
os procedimentos citados abaixo sero necessrios tanto na mquina da vtima,
quanto na do servidor:

Clique em Iniciar -> executar -> digite wf.msc e aperte Enter, como a figura
28;

Figura 28 - Abrir configuraes de firewall

Clique com o Boto direito em servio de conexo segura -> clique em nova
regra conforme figura 29;
 58

Figura 29- Inicio da configurao IPSec

Selecione a opo servidor-a-servidor -> clique em Prximo, conforme figura

30;

Figura 30 - 1 passo para configurao do IPSec

Nesta etapa pode-se criar filtros IP de entrada e sada, mas no presente teste
no foi necessria tal configurao, como mostra a figura 31;
 59

Figura 31 - 2 passo para configurao do IPSec

Selecione a primeira opo, requerendo autenticao para conexes de

entrada e sada, como mostra a figura 32;
 60

Figura 32 - 3 passo para configurao do IPSec

Marque a opo avanado -> clique customizar, como mostra a figura 33;
 61

Figura 33 - 4 passo para configurao do IPSec

Para o primeiro mtodo de autenticao, clique em adicionar, como mostra a

figura 34;

Figura 34 - 5 passo para configurao do IPSec

 62

Selecione o tipo de autenticao. Para este teste foi escolhido a opo com
chave compartilhada, com nome de seguro, conforme a figura 35;

Figura 35 - 6 passo para configurao do IPSec

Clique em OK, depois em OK e depois prximo;

Marque as trs opes, como mostra a figura 36;

 63

Figura 36- 7 passo para configurao do IPSec

D um nome para a regra, figura 37;

Figura 37 - 8 passo para configurao do IPSec

 64

Depois de criada a regra no servidor, execute os mesmos passos na mquina

cliente, aps, verifique se foi estabelecida a conexo entre eles clicando em
monitoramento -> Associao de segurana -> Modo principal, como mostra a figura
38;

Figura 38 - Conexo entre servidor e cliente aps configurao do IPSec

Aps as configuraes do IPSec, faz-se necessrio alterar as configuraes das

regras do firewall tanto de entrada quanto de sada das conexes:

Com relao essas alteraes, inicia-se configurando o servidor para responder a

ICMP Echo request ICMPv6, somente de mquinas autenticadas e para isto
descreve-se as configuraes detalhadas para tal configurao.

Clique em Regras de entrada/Regras de sada -> d dois cliques Active

Directory Domain Controller Echo Request (ICMPv6-In) -> Na parte de
Aes selecione Permitir conexes se seguro, como mostra figura 39;
 65

Figura 39 - 1 passo para configurar regra ICMP echo request para mquinas autenticadas

Marque a opo de s permitir conexo se for segura, conforme figura 40;

Figura 40 - 2 passo para configurar regra ICMP echo request para mquinas autenticadas
 66

Feitas as configuraes acima, a prxima etapa consiste em modificar as regras dos

sistemas de rede bsico, tanto do cliente quanto do servidor, para que
aceitem/respondam pacotes de vizinhos seguros.

Clique em regras de entrada -> d dois cliques sistema de rede bsico

Anncio de Roteador (ICMPv6-Entrada), como mostra figura 41. Aps
realizar este procedimento, repita para todos sistema de rede bsico;

Figura 41 - 1 passo para configurar regra anncios de roteador

Marque a opes Permitir a conexo, se for segura, como mostra a figura

42. Aps realizar este procedimento, repita para todos sistema de rede
bsico";
 67

Figura 42 - 2 passo para configurar regra anncios de roteador

Aps configuraes das regras citadas acima, as regras no firewall

devero ter as configuraes conforme figura 43.

Figura 43 - Configuraes das regras do firewall

 68

4 RESULTADOS

Com os ataques simulados foi possvel identificar algumas vulnerabilidades no

protocolo IPv6, sendo que aps cada teste descreve-se os resultados tanto do
ataque quanto da defesa, informando quais foram os impactos que eles ofereceram
rede. No quadro 4.1 sero mostrados os ataques, as contramedidas e os
resultados obtidos neste trabalho.

4.1 ATAQUE SCAN DESCOBERTA DE VIZINHANA

O resultado deste ataque enumera uma lista de hosts ativos da rede pesquisada. A
figura 44 mostra esta lista;

Figura 44 - Resultado do ataque SCAN

Com o resultado do ataque foi possvel obter o IP da vtima e do servidor. Assim o

atacante poder explorar as vulnerabilidades dos hosts ativos na rede, extraindo as
informaes por ele desejadas.
 69

Aps as configuraes de contramedidas, no foi possvel mais explorar os

computadores ativos na rede, dificultando os possveis ataques a serem realizados
pelo atacante, pois ter que utilizar de outras ferramentas, a fim de obter essas
configuraes.

4.2 ATAQUE MitM E DoS REDIRECIONAMENTO DE TRFEGO

A figura 45 mostra os pacotes sendo falsificados, ocasionando na negao do

servio para o cliente;

Figura 45 Pacotes Forjados

Para visualizar o que ocorre com os pacotes transmitidos neste ataque, a figura 46
ilustra o momento em que os pacotes falsificados so enviados para a vtima,
informando que o IP 2001.db8::2 (servidor) o MAC passa a ser do atacante
(00:0c:29:b4:4d:74), isso fora o cliente a atualizar sua tabela, Neighbor Cache. Este
procedimento realizado pelos ns da rede, com objetivo de redirecionar todo
trfego para o atacante.
 70

Figura 46 - captura de pacotes

Aps inicializar o ataque vtima no conseguir obter mais respostas s

solicitaes enviadas ao servidor, pois estar solicitando informaes ao atacante e
no ao servidor. A figura 47 mostra o resultado;

Figura 47 - Resultado do Ataque MitM

Com o resultado do ataque, foi possvel observar que ocorre interrupo na

comunicao entre a vtima e o servidor, de maneira que esta interrupo pode
ocasionar grandes prejuzos, dependendo da importncia da comunicao entre os
hosts.

Aps as configuraes de contramedidas, o ataque MitM e DoS Redirecionamento

de trfego no teve mais negao de servios entre as mquinas, pois no ocorreu
mais captura de pacotes durante a transmisso de dados entre o servidor e cliente.
 71

4.3 ATAQUE MitM E DoS ICMPv6 DAD

Com este ataque, ir aparecer para o cliente aps realizar os processos do item
3.3.3, uma janela informando que o houve um conflito de IP, como mostra figura 48;

Figura 48 - Resultado do Ataque ICMPv6 DAD

A figura 49 mostra a mquina atacante capturando todos IPs que foram atribudos
pelo DHCP;

Figura 49 - Captura de IP atravs do Ataque ICMPv6 DAD

A vtima solicita IP, porm, a resposta do servidor DHCPv6 capturada pelo

atacante, ocasionando duplicao de endereo na rede. Este ataque pode fazer com
 72

que um computador utilizado para servios essenciais no consiga estabelecer

conexo com a rede.

Aps as configuraes de contramedidas, o ataque de DAD no conseguiu fazer

com que o cliente obtivesse IP. A mquina cliente conseguiu obter IP, isto revela que
ao habilitar o IPSec o atacante no consegue capturar os IPs oferecidos pelo
DHCPv6.

4.4 ATAQUE MitM ANNCIO DE ROTEADOR

Aps realizar os procedimentos descritos no item 3.3.4, aparecer para o cliente, ao

abrir novamente o prompt, o gateway falso configurado conforme figura 50;

Figura 50 - Resultado do ataque com gateway falso

A vtima identifica que h um roteador enviando anncios e, como o Windows aceita

este tipo de mensagem, as configuraes de rede so alteradas. A partir desta
modificao, os dados trafegados pela vtima passaro pela mquina do atacante,
 73

que analisar os pacotes, capturando as informaes mais importantes para uma

possvel invaso ou outro tipo de ataque.

Aps as configuraes de contramedidas, o ataque com roteador falso mquina

cliente no alterou as configuraes de rede, pois ao habilitar a regra no firewall do
Windows, informando que somente aceitaria alterar as configuraes de gateway se
a conexo fosse segura e como os pacotes do enviado pelo atacante era falso, o
ataque foi frustrado.

4.5 ATAQUE DoS ANNCIOS DE ROTEADORES

Com este ataque, o micro 1 ter a performance de uso da CPU em 100%, devido
grande quantidade de pacotes enviados a sua interface de rede. Alm disto, ocorre a
identificao e configurao de novas redes, ocasionando na inutilizao do
computador, conforme figura 51;
 74

Figura 51 - Resultado do ataque com gateway aleatrios

Foi possvel observar que mesmo depois de parar o ataque, o consumo da CPU no
diminuiu, sendo necessrio reiniciar a mquina. Alm disso, possvel observar uma
sequncia de roteadores falsos unidos na mquina da vtima, concluindo o objetivo
do teste.

Aps as configuraes de contramedidas, este ataque no alterou as configuraes

de rede do cliente, pois a mquina no aceitava mais as configuraes de
roteadores que no estavam na sua lista de segurana. Porm, como ocorre um
excesso de requisies, o processamento permaneceu 100% (cem por cento)
durante o ataque. No entanto, no houve necessidade de reiniciar o computador,
pois no instante em que foi encerrado o ataque, a mquina voltou a operar
normalmente.
 75

4.6 ATAQUE DoS - MENSAGENS MULTICAST

Atravs deste ataque, foi possvel observar que a performance do micro 1 antes da
invaso possui o funcionamento da CPU normal. Porm, aps o ataque passou para
100% (cem por cento) de uso, impossibilitando a utilizao dos servios desta
mquina, conforme as figuras 52 e 53 respectivamente demonstram;

Figura 52 - Representa o uso de CPU antes do ataque

Figura 53 - Resultado do ataque com mensagens Multicast

 76

Aplicando as configuraes de contramedidas, exceto, o IPSec, este ataque no

alterou o uso da CPU de forma significativa, no ocasionando a negao dos
servios. No entanto, no possvel impedir o ataque de forma completa utilizando s
os recursos do sistema operacional.

Para melhor compreenso dos ataques e contramedidas executadas neste trabalho,

o quadro 2 descreve detalhadamente quais foram as medidas de segurana
aplicadas para cada ataque, com objetivo de esclarecer o entendimento na
implementao do protocolo em questo.

Quadro 2 - Resumo dos resultados

Sistema Tipos de ataque Medida de segurana aplicada Resultados com medidas de
Operacional segurana aplicada
Ataques Scan Configurar: IPSec, anncio e solicitao de Protegido, no houve captura de
Descoberta de descoberta de vizinhos para o modo dados.
vizinhana seguro.
Ataques MitM - Configurar: IPSec Protegido, no teve DoS.
Redirecionamento
de trfego.
Ataques MitMe Configurar: IPSec, anncio e solicitao de Protegido, no ocorreu
DoS ICMPv6 descoberta de vizinhos para o modo duplicao de endereos.
DAD seguro, anncio e solicitao de roteador
para o modo seguro.
Ataques MitM - Configurar: IPSec, anncio e solicitao de Protegido, os pacotes forjados
Anncio de descoberta de vizinhos para o modo no conseguiram alterar as
Windows roteador falso seguro, anncio e solicitao de Roteador configuraes de rede da vtima.
Server 2008 para o modo seguro.
R2 e Ataques DoS - Configurar: IPSec, anncio e solicitao de Protegido parcialmente, pois as
Windows 7 Anncios de descoberta de vizinhos para o modo configuraes de rede no foram
roteadores seguro, anncio e solicitao de roteador alteradas, porm o
para o modo seguro. processamento da CPU provocou
durante o ataque a
impossibilidade de utilizar a
mquina.

Ataques DoS - Configurar: ouvinte multicast, consulta Protegido parcialmente, pois o

Mensagens ouvinte multicast, pacote muito grande, processamento da CPU
Multicast. relatrios de ouvinte multicast e multicast permaneceu alterado durante o
v2. Foi necessrio desabilitar a regra do ataque, no entanto no
IPSec. influenciou nas atividades do
computador.
 77

Com o detalhamento descrito no quadro acima, pode-se verificar os impactos das

vulnerabilidades estudadas neste trabalho, apresentando os resultados destas em
um ambiente operacional. Tambm descreve-se as medidas de segurana e os
resultados obtidos, onde verificou-se que para todos ataques foi possvel defende-
los. No entanto, os ataques de DoS, anncios de roteadores e mensagens multicast,
no foram possveis cont-los totalmente, sendo portanto alvos de pesquisas
futuras.
 78

5 CONCLUSO

Neste trabalho, realizou-se um estudo envolvendo as principais vulnerabilidades do

protocolo IPv6. Este protocolo apresenta diversas vulnerabilidades e um estudo
sobre todas elas foge ao escopo deste trabalho. No entanto, algumas
vulnerabilidades exigem maior preocupao do administrador de redes, por serem
mais frequentes ou mais crticas oferecendo maior potencial de prejuzos rede ou
ao computador. Desta maneira, selecionamos as vulnerabilidades de acordo com o
grau de impacto.

Estas vulnerabilidades foram exploradas por testes de invaso atravs dos ataques:
SCAN Descoberta de Vizinhos, MitM e DoS Redirecionamento de trfego, MitM
e DoS Deteco de endereo duplicado, MitM Mensagem de anncio de
roteador falso, DoS Mensagens de anncios de roteadores falsos e mensagens
multicast. Constatou-se que a configurao padro do protocolo no suficiente
para conter as invases. Aps alguns ajustes de configuraes de segurana,
principalmente no que se refere ao IPSec e algumas regras de firewall, vrias
dessas vulnerabilidades foram minimizadas, impedindo que parte ou mesmo o
trfego inteiro fosse desviado por um invasor. Assim, para que o protocolo IPv6 seja
implementado de forma mais segura essencial alterar as configuraes padro.

Os testes mostraram que ao ativar o IPSec em conjunto com as regras de firewall,

os hosts passaram a responder apenas mensagens de outros computadores que
esto na sua lista de confiana, descartando as que no possuem a chave para uma
AS (associao de segurana). Desta forma, as mquinas clientes passaram a
rejeitar os pacotes forjados de mquinas fora de sua lista de confiana, tais como:
anncios de descobertas de vizinhana, anncios de roteadores, ouvintes multicast
e pacotes muitos grandes.

Nesse contexto, alguns estudos na rea de segurana sugerem o uso do IPSec em

conjunto com outras tcnicas, tais como: o controle de acesso baseado em RADIUS
 79

com o padro IEEE 802.1x, os quais tem por objetivo dificultar que computadores,
no autorizados, acessem a rede e o monitoramento do trfego por meio de
softwares como o NDPMon que visa detectar ataques aleatrios e evitar a
criptografia dos dados.

Diante do exposto, conclui-se que a migrao para o protocolo IPv6 uma

necessidade real e inevitvel, mas devido aos problemas de segurana,
imprescindvel implement-lo juntamente com outras tcnicas. Assim, sugerimos que
o administrador de rede implemente pelo menos as contramedidas bsicas
apresentadas neste trabalho, a fim de minimizar os problemas de segurana
inerentes ao protocolo.
 80

REFERNCIAS

ALEXANDRE, Leandro Arabi; CANSIAN, Adriano Mauro. Anlise de segurana do

protocolo IPv6. Cincias da Computao Instituto de Biocincias, Letras e
Cincias Exatas. So Jos do Rio Preto 2008.

BRAGA, Fagner Geraldes. A Continuidade da internet passa pelo IPv6. Trabalho

de concluso de curso. Faculdade de Tecnologia do Estado de So Paulo. So
Paulo, 2011.

CERT.BR. Desafios do IPv6 para profissionais de segurana. Disponvel em:

<http://www.cert.br/forum2013/slides/ForumCSIRTs2013-IPv6.pdf>. Acesso em:
mar. 2014.

COMER, Douglas E. Interligao de redes com TCP/IP. 5. ed. Rio de Janeiro:

Elsevier, 2006.

COMPUTERWORLD. Esgota o estoque de IPv4 na Amrica Latina. Disponvel

em: <http://computerworld.com.br/seguranca/2014/06/10/esgota-o-estoque-de-ipv4-
na-america-latina/>. Acesso em: maio 2014.

ETHICALHACKERNET. Exploiting IPv6 Network Stack: A Pen-tester Approach.

Ago. 2009. Disponvel em: < http://ethicalhackernet.blogspot.com.br/2009/08/
exploiting-ipv6-network-stack-pen.html >. Acesso em: maio 2014.

FERNANDO GONT. Hacking IPv6 Networks. Disponvel em:

<http://www.gont.com.ar>. Acesso em: jun. 2014.

FLORENTINO, Adilson A. IPv6 na prtica. 1. ed. So Paulo: Linux New Media,

2012.
 81

GODINHO, Jnior et al. Anlise da segurana em redes puramente IPv6. Curso

de Sistemas de Informao Centro Universitrio Luterano de Palmas. Tocantins
2005.

GUIA DO HARDWARE. Entendendo o IPv6. Disponvel em:

<http://www.hardware.com.br/livros/redes/entendendo-IPv6.html >. Acesso em: fev.
2014.

HAGEN, Silvia. IPv6 Essentials. [s. l.]: OReilly, 2002.

IPv6.br. Portal sobre IPv6 do NIC.br. Disponvel em: <http://ipv6.br/>. Acesso em:
fev. 2014

KENT, S. A.; ATKINSON, R. IP Authentication Header. nov. 1998. Disponvel em:

<http://www.rfc-editor.org/rfc/rfc2402.txt>. Acesso em: abr. 2014.

LOPES, Emanoel. Vulnerabilidades do IPv6 comeam a preocupar. Disponvel

em: <http://blog.emanoel.pro.br/vulnerabilidades-do-IPv6-comecam-a-preocupar/>.
Acesso em: fev. 2014.

MILLER, Mark A. Implementing IPv6: Migrating to the Next Generation Internet

Protocols. New York,USA: M&T Books,1998.

MOREIRAS, A. M. et al. Apostila de IPv6 bsico. So Paulo: Ncleo de Informao

e Coordenao do Ponto BR - NIC.br, 2012.

OLIVEIRA, Ricardo Sato de. Estudo de vulnerabilidade do IPSec em redes IPv6.

Monografia. Centro Universitrio Eurpides de Marlia 2012.

PRAZER, Elisnaldo Santiago. IPv6 versus IPv4: caractersticas, instalao e

compatibilidade. Trabalho de concluso de curso. UnICESP Brasilia - 2007.

RFC 2460 - Internet Protocol, Version 6 (IPv6). Disponvel em:

<http://tools.ietf.org/html/rfc2460>. Acesso em: fev. 2014
 82

RFC 3513 - Internet Protocol Version 6 (IPv6) Addressing Architecture.

Disponvel em: <http://tools.ietf.org/html/rfc3513>. Acesso em: fev. 2014.

SARAIVA, Adailton. Proposta de migrao do protocolo IPv4 para o protocolo

IPv6 no datacenter do IFES. Trabalho de concluso de curso. Instituto Federal do
Espirito Santo, ES 2013.

SILVA, Lino Sarlo da. Virtual Private Network (VPN). So Paulo: Novatec, 2003.

SILVEIRA, Andr Manoel da. Rede IPv6 com integrao IPv4. Trabalho de
concluso de curso. Centro Federal de Educao Tecnolgica de Santa Catarina.
So Jos SC - 2012.

Technet. Conexes do DirectAccess. Disponvel em:

<http://technet.microsoft.com/pt-br/library/dd637767%28WS.10%29.aspx>. Acesso
em: jun 2014.

THC. THC THE HACKERS A CHOICE. THC-IPv6 Toolkit. Disponvel em:

<http://www.thc.org/>. Acesso em: maio 2014.

THOMAS, Stephen A. IPng and TCP/IP Protocols: implementing the next

generation internet .Canad,USA: Wiley Computer Publishing, 1996.

CUNHA, Walter. IPSEC - IP Security Protocol. Disponvel em:

<http://waltercunha.com/blog/wp-content/uploads/downloads/2011/03/Resumo_
IPSEC.pdf>. Acesso em: jun 2014.