Resultados de una evaluación de seguridad del Protocolo de Internet (IP) Fernando Gont proyecto realizado para UK Centre for the Protection of National.

Slides:



Advertisements
Presentaciones similares
Resultados de un análisis de seguridad de los protocolos TCP e IP Fernando Gont ekoparty 2008 Octubre 2, 2008 Somewhere only we know (*), Argentina © 2004.
Advertisements

Resultados de un análisis de seguridad de los protocolos TCP e IP
Resultados de un análisis de seguridad de los protocolos TCP e IP Fernando Gont (proyecto de investigación realizado para UK CPNI) 4ta Jornada de Seguridad.
Protocolos de Inter-red
CAZAS DE TESOROS Actividad didáctica para integrar internet en el currículo muy utilizadas en países anglosajones y de reciente introducción en España.
1 LACNIC V – 18 / 20 de noviembre - La Habana, Cuba Proceso de Desarrollo de Políticas Germán Valdez Director Políticas LACNIC.
Cuarto Foro Latinoamericano de IPv6 – FLIP-6 Monitoreo en IPv6 LACNIC IX – FLIP6 Ciudad de Guatemala 24 de Mayo de 2006.
Grupo de Trabajo Ventana de Asignaciones Presentado por: Enrique Torres
TEMA1. Servicios de Red e Internet. Protocolo IP
Programación Interactiva Aplicaciones Cliente-Servidor
Evaluaciones de Sistemas de Administración de la Seguridad SMSA
Resultados de un análisis de seguridad de las especificaciones de la IETF de los protocolos TCP e IP Fernando Gont UTN/FRH, Argentina proyecto realizado.
APLICAWEB SERVICIOS LEGALES DE PUERTO RICO
Fragmentación práctico 0: Se envía un paquete de H1 a H2 de 1300 bits (1320 en total con encabezamiento) P P P24600 P IdDespFinalBits.
Bienvenido a Marangatu'i, Módulo del Contribuyente de la SET!
“PROTOCOLOS DE COMUNICACIÓN ONLINE”
METODO DE ANALISIS DE FALLAS
Capítulo 20: TCP Servicio de transporte confiable
Servicios Web.
Resultados de un análisis de seguridad de IPv6
Punto 3 – Protocolo IP Juan Luis Cano. Internet Protocol (en español Protocolo de Internet) o IP es un protocolo no orientado a conexión usado tanto por.
CAPA DE RED DEL MODELO DE REFERENCIA OSI
Datagram IP, Fragmentación
Unidad 6 Calidad de Servicio: QOS
1 Un protocol analyzer recopila demasiada información, dificultando así el análisis y la interpretación. Este problema se resuelve aplicando filtros. Por.
Asesor en Promoción y Desarrollo de la Investigación (HSS/RF)
Evaluación de Productos
Investigación en acción
Seguridad del protocolo HTTP
Flujogramas de análisis publicaciones impresas (documento de trabajo, diseño de herramienta capacitación)
Aspectos básicos de networking: Clase 5
Guía de ayuda para la carga online de la Solicitud 2009 del Programa de Incentivos Para Docentes – Investigadores Elaborado por la Oficina de Incentivos.
TCP/IP V4 Redes de Computadoras uclv.
Sebastián Barbieri IP - ICMP Comunicación de Datos II Ingeniería en Sistemas – Facultad Cs. Exactas Universidad Nacional de Centro de la Prov. de Bs. As.
CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament d’Arquitectura de Computadors (Seminaris de CASO) Autors Protocolo IP v.6 Susana Lores Rubira.
Resultados de una evaluación de la seguridad del Transmission Control Protocol (TCP) Fernando Gont proyecto realizado para UK Centre for the Protection.
1 Capítulo 16: Datagramas IP y Reenvío de Datagramas ICD 327: Redes de Computadores Agustín J. González.
Información general del proyecto Nombre del proyecto Nombre de la organización Nombre del moderador.
PROTOCOLOS SNMP «VICTOR RAUL HAYA DE LA TORRE »
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.
EVALUACION INTERNA NIVEL MEDIO
Correo electrónico Internet
DIDACTIFICACION DE IPv6 2. CABECERA, DIRECC. Y CONFIG. BÁSICA
Orientaciones Prácticum
(Organización y Manejo de Archivos)
Implementación, Control y Cierre Lecciones Aprendidas
Funciones Capa de Transporte
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
1 MENSAJES DE CONTROL Y ERROR DE LA PILA TCP/IP Semestre 2 Capítulo 8 Carlos Bran
LAS WEBQUEST. ¿Qué es la webquest? El creador de las WebQuest, Bernie Dodge, profesor de tecnología educativa de la San Diego State University, las define.
DOMAIN NAME SYSTEM, SISTEMA DE RESOLUCIÓN DE NOMBRES). DNS.
©Copyright 2013 ISACA. Todos los derechos reservados Documentación Para gestionar efectivamente los riesgos, se requiere de una documentación adecuada.
Seguridad DNS. Javier Rodríguez Granados.
S EGURIDAD DNS - V ULNERABILIDADES, AMENAZAS Y ATAQUES. - M ECANISMOS DE SEGURIDAD. Luis Villalta Márquez.
1 Capítulo 19: Un mecanismo de reporte de errores (ICMP) ICD-327: Redes de Computadores Agustín J. González.
Protocolo DHCP.. DHCP es un protocolo estándar propuesto. Su estado es electivo. Las especificaciones actuales de DHCP se pueden encontrar en el RFC 1541.
Christian Monrreal Gonzalez Daryl Silverman Aguilar Gone
Maestría en Informática Aplicada a la Educación
ADMINISTRACIÓN DE REDES Análisis de Tráfico. Es el proceso de capturar tráfico de la red y de examinarlo de cerca para determinar qué está sucediendo.
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
File Transfer Protocol.
TCP garantiza que la información es recibida en orden. Para ello, cada paquete enviado tiene un número de secuencia. Cada uno de los dos procesos involucrados.
Jorge De Nova Segundo. SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo del nivel de aplicación.
Protocolos del modelo TCP/IP
Manejo de requerimientos.
Actividades de aprendizaje basadas en la red: WebQuest R e d d e P r o f e s o r e s I n n o v a d o r e s Módulo: Actividades de aprendizaje basadas en.
ANALISIS SEGURO DE TRABAJO (AST)
Programa Sobre Procesos de Negocios SCM y Logística. Integración de procesos que permite a empresas en crecimiento implementar las mejores prácticas en.
UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II E.I. L.E. Prof. Ramón Castro Liceaga XI. SEGURIDAD EN SERVIDORES DE NOMBRE (DNS).
ALUMNO ALUMNO: DIEGO URES LEGAJO LEGAJO: La prueba unitaria es la herramienta para la Calidad Presentación Trabajo Final de Grado.
Transcripción de la presentación:

Resultados de una evaluación de seguridad del Protocolo de Internet (IP) Fernando Gont proyecto realizado para UK Centre for the Protection of National Infrastructure 4to Evento de Seguridad en Redes de América Latina y el Caribe, LACNIC XII Ciudad de Panamá, Panamá. Mayo 24-29, 2009

Enunciado del problema Durante los últimos veinte años, el descubrimiento de vulnerabilidades en implementaciones de los protocolos TCP/IP, y en los propios protocolos, han llevado a la publicación de un gran número de reportes de vulnerabilidad por parte de fabricantes y CSIRTs. Si bien hubo bastante trabajo en el área de seguridad de IPv4, el mismo siempre estuvo esparcido en un sinnúmero de documentos y sitios web, muchos de los cuales proponen contramedidas a las mencionadas vulnerabilidades, sin realizar un análisis minucioso de las implicancia de las mismas sobre la interoperabilidad de los protocolos. Asimismo, el trabajo de la comunidad en esta área no ha reflejado cambios en las especificaciones correspondientes de la IETF. Es conocido en al comunidad que no puede realizarse una implementación segura del protocolo IPv4 a partir de las especificaciones de la IETF. Sin embargo, nunca se había hecho un esfuerzo en cambiar esta situación.

Descripción del proyecto En los últimos años, UK CPNI (Centre for the Protection of National Infrastructure) – antes UK NISCC (National Infrastructure Security Co- ordination Centre) – se propuso llenar este vacío para los protocolos TCP e IP. El objetivo fue producir documentos que sirvieran de complemento a las especificaciones de la IETF, con el fin de que, mínimamente, nuevas implementaciones no posean vulnerabilidades ya conocidas, y que las implementaciones existentes puedan mitigar estas vulnerabilidades. Finalmente, se esperaba llevar este material al ámbito de la Internet Engineering Task Force (IETF), para promover cambios en los estándares correspondientes.

Algunos resultados En julio de 2008 CPNI publicó el documento “Security Assessment of the Internet Protocol” – consistente en 63 paginas, que incluyen los resultados del análisis de seguridad del protocolo IPv4. El mismo se encuentra disponible en: Seguidamente, publicamos el mismo material como IETF I-D (draft-gont- opsec-ip-security-00.txt). El mismo se encuentra disponible en: El I-D fue adoptado por el opsec wg de la IETF a finales del 2008, para ser publicado en la categoría Informational. Hemos involucrado a distintos fabricantes para que revisen el documento en cuestión, lo analicen, y apliquen cambios en sus implementaciones de los protocolos en caso de considerarlo necesario.

Ejemplo: Implicancias de seguridad del campo Identification

El campo Identification (ID) Es utilizado por el mecanismo de fragmentación y reensamble El grupo de valores {Source Address, Destination Address, Protocol, Identification} identifica los fragmentos que corresponden a un determinado paquete original (sin fragmentar). Por tal motivo, el mismo grupo de valores no puede estar siendo utilizado para los fragmentos de mas de un paquete original. Si esto ocurriese, los fragmentos podrían ser reensamblados incorrectamente, con la consecuente pérdida del paquete resultante. Estas “colisiones de IP ID” tradicionalmente han sido evitadas utilizando un contador global para la inicialización del campo IP ID, incrementando dicho contador una vez por cada paquete IP enviado. De este modo, un determinado valor de IP ID se reutilizaba unicamente luego de que todos los otros valores hubieran sido utilizados.

Implicancias de seguridad La utilización de un contador global para la generación de los valores del IP ID permite que el campo en cuestión sea explotado para:  Obtener la cantidad de paquetes transmitidos por un sistema remoto en un determinado período de tiempo  Contar la cantidad de dispositivos fisicos detrás de un middle-box tal como un NAT.  Realizar un port-scanning the tipo stealth.

Determinando la cantidad de paquetes transmitidos El ataque envía un “paquete de prueba” (por ej., un ICMP echo request) a la víctima, y anota el IP ID de la respuesta obtenida (“IPID_1”). Luego envía un segundo paquete de prueba, y anota el IP ID de la respuesta obtenida (“IPID_2”). Así, la cantidad de paquetes transmitida por el sistema víctima será de: num_packets = IPID_2 - IP_1 -1

Contando sistemas detrás de un middle-box (I) Un posible escenario:

Contando sistemas detrás de un middle-box (II) Utilizando una herramienta como hping: # hping2 -c 10 -i 1 -p 80 -S HPING (eth ): S set, 40 headers + 0 data bytes 46 bytes from : flags=SA seq=0 ttl=56 id=57645 win=16616 rtt=21.2 ms 46 bytes from : flags=SA seq=1 ttl=56 id=57650 win=16616 rtt=21.4 ms 46 bytes from : flags=RA seq=2 ttl=56 id=18574 win=0 rtt=21.3 ms 46 bytes from : flags=RA seq=3 ttl=56 id=18587 win=0 rtt=21.1 ms 46 bytes from : flags=RA seq=4 ttl=56 id=18588 win=0 rtt=21.2 ms 46 bytes from : flags=SA seq=5 ttl=56 id=57741 win=16616 rtt=21.2 ms 46 bytes from : flags=RA seq=6 ttl=56 id=18589 win=0 rtt=21.2 ms 46 bytes from : flags=SA seq=7 ttl=56 id=57742 win=16616 rtt=21.7 ms 46 bytes from : flags=SA seq=8 ttl=56 id=57743 win=16616 rtt=21.6 ms 46 bytes from : flags=SA seq=9 ttl=56 id=57744 win=16616 rtt=21.3 ms hping statistic packets tramitted, 10 packets received, 0% packet loss round-trip min/avg/max = 21.1/21.3/21.7 ms Claramente, existen dos secuencias distintas de IP ID

Realizando un port-scanning de tipo “stealth” Enviando un paquete de prueba (ICMP echo reques) al “zombie”, el atacante puede identificar el estado de un puerto en el sistema víctima.

Aleatorizando el campo Identification Para mitigar las implicancias de seguridad de este campo, los valores de IP ID no deberían ser predecibles. Siempre se ha asumido que el uso de random() era inapropiado, ya que llevaría a colisiones de IP ID, y por ende traería problemas de interoperabilidad. Algunos sistemas tales como OpenBSD habían incorporado esquemas de PRNG para evitar la reutilización temprana de valores de IP ID. Sin embargo, se encontró que algunos de estos esquems producían secuencias predecibles. Realizando un analisis de protocolos de transporte connection-oriented y connection-less, se pueden obtener indicios sobre el tipo de PRNG apropiados para la selección de IP ID.

Protocolos connection-oriented Las implicancias de la fragmentación IP en materia de performance se conocen de hace mas de 20 años. Por tal motivo, la mayoría de los protocolos conenction-oriented (por ej., TCP) implementan mecanismos para evitar la fragmentación IP (por ej., Path-MTU Discovery) De cualquier modo, considerando las tasas de transferencia actuales, y que el campo IP ID es de 16 bits, los valores de IP ID serían reutilizados demasiado rápido independientemente del esquema de selección de IP ID utilizado. Por lo tanto, recomendamos no utilizar fragmentación para protocolos connection-oriented, y aleatorizar ( random() ) los valores utilizados para el campo IP ID de los paquetes resultantes.

Protocolos connection-less Típicamente carecen de:  Mecanismos de control de flujo  Mecanismos de secuenciación de paquetes  Mecanismos de confiabilidad Por tal motivo, se los utiliza asumiendo que:  Las aplicaciones serán utilizadas en entornos en los que el reordenamiento de paquetes es poco probable y/o poco importante.  Las tasas de transferencia serán lo suficientemente bajas como para que el control de flujo no sea necesario  La pérdida de paquetes es poco probable y/o poco importante. Por lo tanto, recomendamos aleatorizar ( random() ) el IP ID de los paquetes correspondientes. Las aplicaciones preocupadas por esta política deberían considerar la utilización de un protocolo de transporte connection-oriented.

Siguientes pasos Esperamos trabajar en una revisión del documento publicado por UK CPNI próximamente. Son bienvenidas sugerencias y revisiones del documento en cuestión. El IETF I-D (draft-ietf-opsec-ip-security) se encuentra en proceso de revisión. Son bienvenidas sugerencias y revisiones del documento en cuestión. Asimismo, sería interesante que se involucren en el proceso de decisión en la IETF (lista de correo del opsec wg). Mas información en:

Algunas conclusiones Usualmente se asume que, debido a la antigüedad de los protocolos “core” de la suite TCP/IP, todas las implicancias negativas de seguridad del diseño de los mismos han sido resueltas, o solo pueden resolverse mediante uso de IPsec. Las vulnerabilidades publicadas incluso en los últimos cinco años parecen indicar lo contrario. Curiosamente, este es el primer proyecto que, en 25 años de utilización de los protocolos TCP e IP, intenta hacer un análisis completo de las implicancias de seguridad de los mismos. La respuesta de la comunidad a este proyecto ha sido variada. Estamos en conocimiento de una variedad de esfuerzos en la comunidad de fabricantes para mejorar la seguridad de las implementaciones de TCP. Salvo en el caso de proyectos “open source”, a la fecha no ha habido resultados concretos.

Preguntas?

Agradecimientos UK CPNI, por su soporte en este proyecto. Carlos M. Martínez, por todo su trabajo para este evento de seguridad, y en la lista de seguridad de LACNIC. LACNIC, por su soporte para la presentación de los resultados de este proyecto en este evento. Fernando Gont

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.