IPv6 Network Reconnaissance LACSEC 2012 Quito, Ecuador. Mayo 10, 2012.

Slides:



Advertisements
Presentaciones similares
Seminario virtual organizado por LACNIC
Advertisements

Resultados de un análisis de seguridad de las especificaciones de la IETF de los protocolos TCP e IP Fernando Gont UTN/FRH, Argentina proyecto realizado.
Resultados de un análisis de seguridad de IPv6
Direccionamiento de red
Resultados de una evaluación de seguridad del Protocolo de Internet (IP) Fernando Gont proyecto realizado para UK Centre for the Protection of National.
Direccionamiento IP.
DIDACTIFICACION DE IPv6 3.2 Stateless. Introducción a IPv6 RFC 4862: Stateless Address Autoconfiguration (SLAC) En la configuración stateless los equipos.
DIRECCIONAMIENTO IP.
Direccionamiento IP y Subredes.
Internet Protocol Version 6
DHCP Redes de computadores: un enfoque descendente basado en Internet, 2ª edición. Jim Kurose, Keith Ross.
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.
Recapitulando... Examen final REDES 2. Agosto – Diciembre 2007.
Comunicación de Datos I
Protocolo DHCP.. DHCP es un protocolo estándar propuesto. Su estado es electivo. Las especificaciones actuales de DHCP se pueden encontrar en el RFC 1541.
TECNOLOGÍA DE TELECOMUNICACIONES
Capítulo 8: Direccionamiento IP
© 2008 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 9: División de redes IP en subredes.
Objetivos Identificar la importancia presente y futura del Protocolo IPv6 Conocer acerca de sus especificaciones técnicas y sus características de funcionamiento.
IMPLEMENTACION DE IPV6 EN EN UN DISPOSITIVO CISCO.
¿Qué es una red? Una red es la unión de dos o más ordenadores de manera que sean capaces de compartir recursos, ficheros, directorios, discos, programas,
DIRECCIONAMIENTO IP (P RIMERA PARTE ) Juan Carlos Rodríguez Gamboa.
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Chapter 11: Traducción de Direcciones para IPv4 Routing And Switching.
Seguridad IPv6 Lanzamiento Mundial de IPv6 - Mendoza Ciudad de Mendoza, Argentina. Junio 6, 2012.
Capítulo 2. Direccionamiento Instalación y Mantenimiento de Servicios de Redes Locales I.E.S. Murgi Curso Jose L. Berenguel Gómez Mª Jose Peinado.
IPv6 First Hop Security FLIP Quito, Ecuador. Mayo 7-8, 2012.
Introducción y Experiencias en el IETF Lanzamiento Mundial de IPv6 - Mendoza Ciudad de Mendoza, Argentina. Junio 6, 2012.
Subredes José Luis García Aparici. ¿Qué es una subred? Cuando una red de computadoras se vuelve muy grande, conviene dividirla en subredes, por los siguientes.
Capa de Red OSI Integrantes Carlos Mario Estrada Puerta Alejandra Barragán Santiago Ramírez Santa.
Ing. Jessica Izquierdo Direccionamiento IP y Subredes.
Redes y Comunicación de Datos II Ing. Raúl Calienes Núñez Universidad José Carlos Mariátegui Escuela Profesional de Ingeniería de Sistemas e Informática.
© 2008 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 9: División de redes IP en subredes.
DOCENTE: Lic. Juan Araujo Herencia.  El punto de acceso es un dispositivo de capa 2, por intermedio de estos dispositivos, las estaciones Wireless.
Capítulo 4: Capa Red - IV ELO322: Redes de Computadores
Internet Protocols (IPs)
Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:
UF0854: Instalación y configuración de los nodos de una red local.
Arquitectura de Redes Curso
Capítulo 8, Sección 8.6: IPsec
Direccionaminto IP. INTRODUCCIÓN.
Capítulo 4: Capa Red - IV ELO322: Redes de Computadores
Capítulo 4: Capa Red - II ELO322: Redes de Computadores
Capítulo 8, Sección 8.6: IPsec
DEFINICIÓN Una dirección de IP v4 es un número binario de 32 bits (4 octetos). Cada octeto (8 bits) de una dirección IP se convierte a su número decimal.
Conceptos y protocolos de enrutamiento. Capítulo 6
Subnetting Basics REDES 417.
CONCEPTOS BÁSICOS DE INTERNET
DIRECCIONAMIENTO IPV4 Prof.: Nelson Calderón.
DIRECCIONES IP Y SUBREDES
ICAS REDES Y SUBREDES LIA. Reginaldo Sánchez Carranza.
Direccionamiento IP Y Subredes.
UNIDAD I. Diseño de redes de datos.
Características redes de video
Capa de Red: comunicación de host a host  La Capa de red o Capa 3 de OSI: Provee servicios para intercambiar secciones de datos individuales a través.
1 Dirección IP - Características Las direcciones IP se denominan direcciones lógicas. Tienen un direccionamiento Jerárquico. Representan una conexión de.
66.69 Criptografía y Seguridad Informática FIREWALL.
Configuración de rutas resumidas y estáticas flotantes.
Capítulo 8: Introducción a redes
Materiales para el instructor Capítulo 7: Asignación de direcciones IP
Sistema Automático de Defensa.
8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.
DHCP - Principios básicos de routing y switching.
Javier Rodríguez Granados
Arquitectura de Redes Curso
INSTRUCTOR: Mg. CARLOS MARTÍN CORONADO HOYOS MÓDULO INTRODUCTION TO NETWORKS (CISCO)
INSTRUCTOR: Mg. CARLOS MARTÍN CORONADO HOYOS MÓDULO INTRODUCTION TO NETWORKS (CISCO)
Guillermo Cicileo BGP en IPv6 Guillermo Cicileo
Curso Redes (IS20) -Capítulo 5 1 Redes (IS20) Ingeniería Técnica en Informática de Sistemas Práctica 3- Estudio de tráfico sobre LAN
AHP ANALYSIS OF CLOUD COMPUTING SERVICE PROVIDERS FOR HIGHER EDUCATION.
Transcripción de la presentación:

IPv6 Network Reconnaissance LACSEC 2012 Quito, Ecuador. Mayo 10, 2012

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Acerca de... ● Actualmente trabajando para SI6 Networks ● He trabajado en análisis de seguridad de protocolos de comunicaciones para: ● UK NISCC (National Infrastructure Security Co-ordination Centre) ● UK CPNI (Centre for the Protection of National Infrastructure) ● Participo activamente en la IETF (Internet Engineering Task Force) ● Actual moderador del Foro de Seguridad de LACNIC ● Más información en:

LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 3 IPv4 Network Reconnaissance (recap)

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Revisión ● Direcciones de 32 bits ● Densidad de hosts en red elevada ● Técnica tradicional == fuerza bruta ● Seleccionar el rango de direcciones deseado ● Enviar pruebas (ICMP echo, TCP {SYN, ACK}, UDP ● Esperar respuestas ● La escala del problema es pequeña ● Fuerza bruta == “suficientemente bueno”

LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 5 Leyendas Urbanas sobre IPv6 Network Reconnaissance

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Leyenda urbana “Debido al gran espacio de direcciones IPv6, los ataques de escaneo son imposibles. Escanear un /64 tomaría años” Es realmente el espacio de búsqueda de un / direcciones?

LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 7 IPv6 Network Reconnaissance (global)

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Formato de Direcciones Globales IPv6 ● Diferentes políticas de selección de IID: ● Embeber la MAC address (SLAAC tradicional) ● Embeber la dirección IPv4 (por ej., 2001:db8:: ) ● Low-byte (por ej., 2001:db8::1, 2001:db8::2, etc.) ● Wordy (por ej., 2001:db8::dead:beef) ● Indicado por una tecnología de transición Global Routing PrefixSubnet IDInterface ID | n bits | m bits | 128-n-m bits |

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Direcciones IPv6 en el mundo real ● Malone midió (*) las politicas de asignación de direcciones en escenarios reales Hosts Routers Malone, D., "Observations of IPv6 Addresses", Passive and Active Measurement Conference (PAM 2008, LNCS 4979), April 2008,.

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Direcciones con IEEE IDs embebidos ● En la práctica, el espacio de búsqueda es a lo sumo ~2 24 bits – posible! ● Los 24 bits de bajo orden no son necesariamente aleatorios: ● Una organización compra una gran cantidad de equipos ● Usualmente, los equipos tienen direcciones MAC consecutivas ● Las MACs se suelen distribuir por regiones geográficas IEEE OUI FF FE Lower 24 bits of MAC | 24 bits | 16 bits | 24 bits | Adivinable o conocido Conocido Desconocido

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Direcciones con IEEE IDs embebidos (II) ● Las tecnologías de virtualización presentan un caso interesante ● Virtual Box utiliza el OUI 08:00:27 (espacio de busqueda: ~2 24 ) ● VMWare ESX utiliza: ● MACs automaticas: OUI 00:05:59, y siguientes 16 bits tomados de la dirección IPv4 del host real (espacio de búsqueda: ~2 8 ) ● MACs manualmente configuradas:OUI 00:50:56 y restantes bits en el rango 0x x3fffff (espacio de búsqueda: ~2 22 )

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Direcciones IPv6 basadas en IPv4 ● Simplemente incluyen una dirección IPv4 en el IID ● Ejemplo: 2000:db8:: ● El espacio de búsqueda es el mismo que el correspondiente a IPv4

LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 13 IPv6 Network Reconnaissance (local)

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Escaneo local ● Se trata de un problema completamente diferente ● Se reduce notablemente el espacio de búsqueda utilizando direcciones multicast (por ej. ff02::1) ● Se pueden utilizar tecnicas adicionales como: ● mDNS ● LLNR ● En el peor de los casos, puede utilizarse sniffing ● En sintesis, es un problema muy dificil de mitigar

LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 15 Mitigando IPv6 Network Reconnaissance

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Stable privacy-enhanced addresses ● draft-gont-6man-stable-privacy-addresses propone generar los Interface IDs como: ● F(Prefix, Iface_index, Network_ID, secret_key) ● Donde: ● F() es una PRF (por ej., una función de hash) ● Iface_index es un número pequeño que identifica a la NIC ● Network_ID podría ser, por ejemplo el SSID de una red inalámbrica ● El resto de los parametros deberían ser obvios ;-)

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Stable privacy-enhanced addresses (II) ● Esta función proporciona direcciones que: ● No son predecibles ● Son estables en una misma subred (importante para O&M) ● cambian al moverse de una red a otra ● Propuesta aceptada por el 6man wg de la IETF ● Aunque parece haber resistencia a hacer un “update” formal de los estandares correspondientes.

LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 18 Algunas conclusiones

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Mitos, leyendas urbanas, y hechos... “Cuando estudias cualquier materia o consideras cualquier filosofía pregúntate solamente: Cuales son los hechos, y cual es la verdad que los hechos corroboran. Nunca te desvíes, ya sea por lo que deseas creer, o lo por lo que tu piensas que podría tener un efecto benéfico en la sociedad; solo debes mirar única y exclusivamente cuales son los hechos” – Bertrand Russell

LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 20 Preguntas?

© 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Gracias! Fernando Gont IPv6 Hackers mailing-list

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.