IPv6 First Hop Security FLIP6 2012 Quito, Ecuador. Mayo 7-8, 2012.

Slides:



Advertisements
Presentaciones similares
DHCP Protocolo de configuración dinámica de host.
Advertisements

Objetivos Identificar la importancia presente y futura del Protocolo IPv6 Conocer acerca de sus especificaciones técnicas y sus características de funcionamiento.
IMPLEMENTACION DE IPV6 EN EN UN DISPOSITIVO CISCO.
Introducción al Protocolo IPv6 Y su impacto en las PYMES.
Mecanismos de Transición
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 10: DHCP Routing and Switching Essentials.
Gestión de Servicios TI. 1.Si fuéramos responsables de TI hubiéramos hecho … Comunicado oficial de la empresa Informar a los pasajeros cuál es el problema.
Seguridad IPv6 Lanzamiento Mundial de IPv6 - Mendoza Ciudad de Mendoza, Argentina. Junio 6, 2012.
En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.
ANÁLISIS SERVICIOS VPN Y SU APLICACIÓN PRÁCTICA INTEGRANTES GRUPO 7: NICOLE FERNÁNDEZ - SEBASTIÁN OYANADEL.
Internet y las comunicaciones Hoy en día, con el uso tan extendido de internet y la tecnología para conectar dispositivos informáticos, casi cualquier.
Introducción y Experiencias en el IETF Lanzamiento Mundial de IPv6 - Mendoza Ciudad de Mendoza, Argentina. Junio 6, 2012.
Un modelo de Gestión Automatizada de Dispositivos IP mediante Software Libre Un Modelo de Gestión Automatizada de Dispositivos IP mediante Software Libre.
Laboratorio firewalls. Servicios firewalls ● NAT ● DMZ ● Reglas de filtrado ● Squid ● DNS ● DHCP ● SSH ● OpenVPN ● RSync.
IPv6 Network Reconnaissance LACSEC 2012 Quito, Ecuador. Mayo 10, 2012.
Promover el uso de herramientas innovadoras. Brindar asistencia técnica para comunicar, difundir y transferir metodologías. Coordinar sistemas transversales.
Capa de Red OSI Integrantes Carlos Mario Estrada Puerta Alejandra Barragán Santiago Ramírez Santa.
1 Analizador de Tráfico: WireShark DTIC – Mayo 2008 UNIVERSIDAD CENTRAL DE VENEZUELA RECTORADO DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES.
Icep Ingeniería en sistemas Informática II Gabriel Orozco martinez Cesar alfonso ventura sanchez 08/10/2016 Modelo osi capa de red.
Linux como Firewall. Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Implementación del enrutamiento entre VLAN Conmutación y conexión.
DOCENTE: Lic. Juan Araujo Herencia.  El punto de acceso es un dispositivo de capa 2, por intermedio de estos dispositivos, las estaciones Wireless.
Teleinformática y Comunicaciones
Internet Protocols (IPs)
Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:
ESTRUCTURA DE LOS PLANES DE LA ORGANIZACION
¿Dónde están? Los dispositivos Celulares, tablets, laptops, desktops, servidores ETC!!!
Conmutación de Ethernet
Configuración de un Microsoft Windows Server 2003 con el servicio DHCP para asignación de dinámica de direcciones IP. Requerimientos: Al menos dos Computadoras.
Pero …..¿dónde están? Con un dispositivo …… el mundo a tus pies
Ana Fernanda Rodríguez Hoyos
VENTAJAS DE ESTUDIAR VIRTUALMENTE
Capítulo 5: Capa Enlace de Datos IV
DIRECCIONAMIENTO IPV4 Prof.: Nelson Calderón.
Direcciones De Redes.
Sistemas de Información
Spoofing NOMBRES: David Ponciano Valdez Mamani
¿Qué es ITIL? “Information Technology Infrastructure Library”
Proceso de comunicación de datos
Conceptos y protocolos de enrutamiento. Capítulo 5
(Red de área local virtual o LAN virtual)
Conceptos y protocolos de enrutamiento. Capítulo 7
TIPOS DE INVESTIGACIÓN
Capa de Red: comunicación de host a host  La Capa de red o Capa 3 de OSI: Provee servicios para intercambiar secciones de datos individuales a través.
Protocolos Protocolos de red.
INTRODUCCION AL ENRUTAMIENTO “EL ROUTER”. Un router también conocido como enrutador, encaminador o rúter es un dispositivo que proporciona conectividad.
66.69 Criptografía y Seguridad Informática FIREWALL.
OBJETIVOS DE UNA INVESTIGACIÓN
Soporte al Sistema Operativo
PRESENTACIÓN.
Definiendo un esquema de seguridad para redes ATM en base a firewalls
Punto 7 – Agente Relay DHCP
Eslared 2006 Seguridad Informática
Componentes del protocolo DHCP
Capítulo 4: Contenidos 4.1 Introducción Plano de datos
Tema 2 – Servicio DHCP Punto 2 – Componentes Juan Luis Cano.
Materiales para el instructor Capítulo 7: Asignación de direcciones IP
Sistema Automático de Defensa.
Esmeralda, montse, martha, gloria
Sistemas de Comunicación Magistral Nro. 7
DHCP - Principios básicos de routing y switching.
Kick Off del Proyecto Fecha:
Javier Rodríguez Granados
Introducción a las redes locales
Licenciatura en Informática / Sistemas
Recomendar una estrategia
Pruebas de Seguridad en implementaciones k/v
Los protocolos de la capa de red del modelo OSI especifican el direccionamiento y los procesos que permiten que los datos de la capa de transporte sean.
Capítulo 4: Contenidos 4.1 Introducción Plano de datos
Curso Redes (IS20) -Capítulo 5 1 Redes (IS20) Ingeniería Técnica en Informática de Sistemas Práctica 3- Estudio de tráfico sobre LAN
Transcripción de la presentación:

IPv6 First Hop Security FLIP Quito, Ecuador. Mayo 7-8, 2012

Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 2 Motivación de esta Presentación

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Motivación de esta presentación ● Tarde o temprano desplegarás IPv6 ● En realidad, seguramente ya lo has desplegado parcialmente ● IPv6 representa algunos desafíos en materia de seguridad: Qué podemos hacer al respecto? Opción #1Opción #2Opción #3

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Motivation de esta presentación (II) ● Analizar algunos de los desafíos existentes, con el fin de encararlos correctamente ● Describir problemas, proponiendo soluciones

Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 5 IPv6 First Hop Security

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 IPv6 First Hop Security ● Mecanismos utilizados en una red local para mitigar posibles ataques ● Posibles puntos de acción: ● sistemas finales (hosts) ● switch local ● router local (first-hop router) ● Conceptos ya conocidos del mundo IPv4: ● Firewalls host-based/network-based ● Monitoreo de resolución de direcciones (por ej. arpwatch) ● FIltrado de paquetes en layer-2 (por ej. DHCP snooping) ● etc

Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 7 Firewalls en IPv6

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Introducción ● Filtrado stateful ● Necesita mantener estado para realizar su labor ● Posible en firewalls basados en hosts ● No aplicable en todos los firewalls basados en red (potencial de DoS) ● Filtrado stateless ● No precisa mantener estado para realizar su labor ● Requiere toda la información relevante en un mismo paquete ● Particularmente interesante en firewalls basados en red (para evitar vectores de DoS)

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Problema ● En IPv6, la cadena de encabezados puede ser virtualmente infinita – y fragmentada! ● El filtrado state-less se hace imposible.

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución ● Propuesta relevante: draft-gont-6man-oversized-header-chains ● Requiere que todos los encabezados estén en el primer fragmento ● En la práctica, dichos paquetes “patológicos” serán descartados

Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 11 Seguridad IPv6 en Layer-2

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Introducción ● Consiste básicamente en: ● Inspeccionar tráfico de resolución de direcciones ● Filtrado de tráfico de configuración de red ● Implementado en IPv4 mediante: ● arpwatch ● DHCP-snooping ● etc ● La version IPv6 consistiría en: ● Inspección de traffico de resolución de direcciones ● Inspección de tráfico de auto-configuración y DHCPv6

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Problema ● Complejidad del tráfico a procesar en layer-2 ● Ejemplo:

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución al filtrado en layer-2 ● Descartar paquetes potencialmente maliciosos: ● El primer fragmento no contiene la cadena de encabezados completa ● El Hop Limit es 255 ● La dirección de origen o destino es utilizada en SLAAC o DHCPv6 ● Propuestas relevantes: ● draft-ietf-v6ops-ra-guard-implementation: Pasó el WGLC ● draft-gont-opsec-dhcpv6-shield: recién publicado :-)

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución al monitoreo en layer-2 ● Prohibir el uso de fragmentación con Neighbor Discovery ● No es necesario! ● Se puede enviar la misma información en multiples paquetes ● En posibles casos de uso, es indeseable: ● Por ej. introduce un vector de DoS en SEND ● Propuestas relevantes: ● draft-gont-6man-nd-extension-headers: en discusión en el 6man wg

Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 16 Rastreo de direcciones IPv6

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Introducción ● El rastreo “colaborativo” de direcciones es de suma utilidad. ● Ejemplo: ● Se infecta un host, y realiza actividad maliciosa ● Nos reportan la dirección IP del incidente ● Deseamos saber “que sistema usó esa dirección IP en ese momento” ● Situación en el mundo IPv4: ● La configuración de red se hace via DHCP ● El servidor DHCP mantiene un registro de los mapeos IP->MAC address

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Problema ● IPv6 utiliza SLAAC → cofiguración descentralizada ● No existe un log centralizado de IPv6 → MAC ● Muchos sistemas implementan direcciones temporales: ● Las direcciones cambian permanentemente ● No es posible mantener un registro “estatico” ● Si dificulta el “rastreo” de direcciones IPv6

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución #1 ● Monitorear el uso de direcciones IPv6 ● Escribimos ipv6mon: ● Realiza un escaneo local ● Detecta nuevas direcciones ● Prueba cada dirección para detectar cambios ● Publicaremos ipv6mon en el corto plazo ● Licencia GPL ● Portable (al menos Linux y *BSD)

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución #2 ● Deshabilitar el uso de direcciones temporales ● Desventajas: ● Implicancias negativas en privacidad ● Debe realizarse equipo por equipo ● Propuesta relacionada: draft-gont-6man-slaac-policy ● Permite al router local especificar la politica de SLAAC deseada ● Por ej. “solo direcciones estables”, sin preferencias”, etc. ● I-D siendo discutido en el 6man wg

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución #3 ● Utilizar DHCPv6 ● Ventajas: ● Permite replicar en IPv6 nuestra experiencia del mundo IPv4 ● Problemas: ● Algunas plataformas no lo soportan ● Requiere administraccion de SLAAC+DHCPv6 ● Tema de frecuentes debates religiosos en la IETF!

Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 22 Algunas conclusiones

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 KISS principle ● Es deseable tener paridad de funcionalidad con IPv4 ● Asimismo, en la medida que sea posible y tenga sentido......utilizar mecanismos y conocimientos del mundo IPv4!

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Trabajo a futuro ● El objetivo debería ser no repetir con IPv6 los mismos problemas de seguridad sufridos con IPv4 ● Esto puede lograrse, ● Haciendo mejoras en los protocolos (donde haya lugar) ● Documentando problemas (incluso si no conocemos solución alguna) ● Incrementando la producción de herramientas de “auditoría”. ● Necesitamos IPv6... ● y necesitamos que sea lo mas seguro posible

Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 25 Preguntas?

© 2012 SI6 Networks. All rights reserved FLIP – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Gracias! Fernando Gont IPv6 Hackers mailing-list

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.