La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

IPv6 First Hop Security FLIP6 2012 Quito, Ecuador. Mayo 7-8, 2012.

Publicada porMercedes Toledo Toro Modificado hace 8 años

Presentaciones similares

Presentación del tema: "IPv6 First Hop Security FLIP6 2012 Quito, Ecuador. Mayo 7-8, 2012."— Transcripción de la presentación:

1 IPv6 First Hop Security FLIP6 2012 Quito, Ecuador. Mayo 7-8, 2012

2 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 2 Motivación de esta Presentación

3 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Motivación de esta presentación ● Tarde o temprano desplegarás IPv6 ● En realidad, seguramente ya lo has desplegado parcialmente ● IPv6 representa algunos desafíos en materia de seguridad: Qué podemos hacer al respecto? Opción #1Opción #2Opción #3

4 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Motivation de esta presentación (II) ● Analizar algunos de los desafíos existentes, con el fin de encararlos correctamente ● Describir problemas, proponiendo soluciones

5 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 5 IPv6 First Hop Security

6 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 IPv6 First Hop Security ● Mecanismos utilizados en una red local para mitigar posibles ataques ● Posibles puntos de acción: ● sistemas finales (hosts) ● switch local ● router local (first-hop router) ● Conceptos ya conocidos del mundo IPv4: ● Firewalls host-based/network-based ● Monitoreo de resolución de direcciones (por ej. arpwatch) ● FIltrado de paquetes en layer-2 (por ej. DHCP snooping) ● etc

7 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 7 Firewalls en IPv6

8 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Introducción ● Filtrado stateful ● Necesita mantener estado para realizar su labor ● Posible en firewalls basados en hosts ● No aplicable en todos los firewalls basados en red (potencial de DoS) ● Filtrado stateless ● No precisa mantener estado para realizar su labor ● Requiere toda la información relevante en un mismo paquete ● Particularmente interesante en firewalls basados en red (para evitar vectores de DoS)

9 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Problema ● En IPv6, la cadena de encabezados puede ser virtualmente infinita – y fragmentada! ● El filtrado state-less se hace imposible.

10 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución ● Propuesta relevante: draft-gont-6man-oversized-header-chains ● Requiere que todos los encabezados estén en el primer fragmento ● En la práctica, dichos paquetes “patológicos” serán descartados

11 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 11 Seguridad IPv6 en Layer-2

12 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Introducción ● Consiste básicamente en: ● Inspeccionar tráfico de resolución de direcciones ● Filtrado de tráfico de configuración de red ● Implementado en IPv4 mediante: ● arpwatch ● DHCP-snooping ● etc ● La version IPv6 consistiría en: ● Inspección de traffico de resolución de direcciones ● Inspección de tráfico de auto-configuración y DHCPv6

13 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Problema ● Complejidad del tráfico a procesar en layer-2 ● Ejemplo:

14 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución al filtrado en layer-2 ● Descartar paquetes potencialmente maliciosos: ● El primer fragmento no contiene la cadena de encabezados completa ● El Hop Limit es 255 ● La dirección de origen o destino es utilizada en SLAAC o DHCPv6 ● Propuestas relevantes: ● draft-ietf-v6ops-ra-guard-implementation: Pasó el WGLC ● draft-gont-opsec-dhcpv6-shield: recién publicado :-)

15 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución al monitoreo en layer-2 ● Prohibir el uso de fragmentación con Neighbor Discovery ● No es necesario! ● Se puede enviar la misma información en multiples paquetes ● En posibles casos de uso, es indeseable: ● Por ej. introduce un vector de DoS en SEND ● Propuestas relevantes: ● draft-gont-6man-nd-extension-headers: en discusión en el 6man wg

16 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 16 Rastreo de direcciones IPv6

17 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Introducción ● El rastreo “colaborativo” de direcciones es de suma utilidad. ● Ejemplo: ● Se infecta un host, y realiza actividad maliciosa ● Nos reportan la dirección IP del incidente ● Deseamos saber “que sistema usó esa dirección IP en ese momento” ● Situación en el mundo IPv4: ● La configuración de red se hace via DHCP ● El servidor DHCP mantiene un registro de los mapeos IP->MAC address

18 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Problema ● IPv6 utiliza SLAAC → cofiguración descentralizada ● No existe un log centralizado de IPv6 → MAC ● Muchos sistemas implementan direcciones temporales: ● Las direcciones cambian permanentemente ● No es posible mantener un registro “estatico” ● Si dificulta el “rastreo” de direcciones IPv6

19 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución #1 ● Monitorear el uso de direcciones IPv6 ● Escribimos ipv6mon: ● Realiza un escaneo local ● Detecta nuevas direcciones ● Prueba cada dirección para detectar cambios ● Publicaremos ipv6mon en el corto plazo ● Licencia GPL ● Portable (al menos Linux y *BSD)

20 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución #2 ● Deshabilitar el uso de direcciones temporales ● Desventajas: ● Implicancias negativas en privacidad ● Debe realizarse equipo por equipo ● Propuesta relacionada: draft-gont-6man-slaac-policy ● Permite al router local especificar la politica de SLAAC deseada ● Por ej. “solo direcciones estables”, sin preferencias”, etc. ● I-D siendo discutido en el 6man wg

21 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Solución #3 ● Utilizar DHCPv6 ● Ventajas: ● Permite replicar en IPv6 nuestra experiencia del mundo IPv4 ● Problemas: ● Algunas plataformas no lo soportan ● Requiere administraccion de SLAAC+DHCPv6 ● Tema de frecuentes debates religiosos en la IETF!

22 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 22 Algunas conclusiones

23 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 KISS principle ● Es deseable tener paridad de funcionalidad con IPv4 ● Asimismo, en la medida que sea posible y tenga sentido......utilizar mecanismos y conocimientos del mundo IPv4!

24 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Trabajo a futuro ● El objetivo debería ser no repetir con IPv6 los mismos problemas de seguridad sufridos con IPv4 ● Esto puede lograrse, ● Haciendo mejoras en los protocolos (donde haya lugar) ● Documentando problemas (incluso si no conocemos solución alguna) ● Incrementando la producción de herramientas de “auditoría”. ● Necesitamos IPv6... ● y necesitamos que sea lo mas seguro posible

25 Hackito Ergo Sum 2012 Paris, France. April 12-14, 2012 © 2012 SI6 Networks. All rights reserved 25 Preguntas?

26 © 2012 SI6 Networks. All rights reserved FLIP6 2012 – LACNIC XVII Quito, Ecuador.Mayo 7-8, 2012 Gracias! Fernando Gont fgont@si6networks.com IPv6 Hackers mailing-list http://www.si6networks.com/community/ www.si6networks.com

Descargar ppt "IPv6 First Hop Security FLIP6 2012 Quito, Ecuador. Mayo 7-8, 2012."

Presentaciones similares

DHCP Protocolo de configuración dinámica de host.

DHCP Protocolo de configuración dinámica de host.
Objetivos Identificar la importancia presente y futura del Protocolo IPv6 Conocer acerca de sus especificaciones técnicas y sus características de funcionamiento.

Objetivos Identificar la importancia presente y futura del Protocolo IPv6 Conocer acerca de sus especificaciones técnicas y sus características de funcionamiento.
IMPLEMENTACION DE IPV6 EN EN UN DISPOSITIVO CISCO.

IMPLEMENTACION DE IPV6 EN EN UN DISPOSITIVO CISCO.
Introducción al Protocolo IPv6 Y su impacto en las PYMES.

Introducción al Protocolo IPv6 Y su impacto en las PYMES.
Mecanismos de Transición

Mecanismos de Transición
© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 10: DHCP Routing and Switching Essentials.

© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 10: DHCP Routing and Switching Essentials.
Gestión de Servicios TI. 1.Si fuéramos responsables de TI hubiéramos hecho … Comunicado oficial de la empresa Informar a los pasajeros cuál es el problema.

Gestión de Servicios TI. 1.Si fuéramos responsables de TI hubiéramos hecho … Comunicado oficial de la empresa Informar a los pasajeros cuál es el problema.
Seguridad IPv6 Lanzamiento Mundial de IPv6 - Mendoza Ciudad de Mendoza, Argentina. Junio 6, 2012.

Seguridad IPv6 Lanzamiento Mundial de IPv6 - Mendoza Ciudad de Mendoza, Argentina. Junio 6, 2012.
En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.

En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.
ANÁLISIS SERVICIOS VPN Y SU APLICACIÓN PRÁCTICA INTEGRANTES GRUPO 7: NICOLE FERNÁNDEZ - SEBASTIÁN OYANADEL.

ANÁLISIS SERVICIOS VPN Y SU APLICACIÓN PRÁCTICA INTEGRANTES GRUPO 7: NICOLE FERNÁNDEZ - SEBASTIÁN OYANADEL.
Internet y las comunicaciones Hoy en día, con el uso tan extendido de internet y la tecnología para conectar dispositivos informáticos, casi cualquier.

Internet y las comunicaciones Hoy en día, con el uso tan extendido de internet y la tecnología para conectar dispositivos informáticos, casi cualquier.
Introducción y Experiencias en el IETF Lanzamiento Mundial de IPv6 - Mendoza Ciudad de Mendoza, Argentina. Junio 6, 2012.

Introducción y Experiencias en el IETF Lanzamiento Mundial de IPv6 - Mendoza Ciudad de Mendoza, Argentina. Junio 6, 2012.
Un modelo de Gestión Automatizada de Dispositivos IP mediante Software Libre Un Modelo de Gestión Automatizada de Dispositivos IP mediante Software Libre.

Un modelo de Gestión Automatizada de Dispositivos IP mediante Software Libre Un Modelo de Gestión Automatizada de Dispositivos IP mediante Software Libre.
Laboratorio firewalls. Servicios firewalls ● NAT ● DMZ ● Reglas de filtrado ● Squid ● DNS ● DHCP ● SSH ● OpenVPN ● RSync.

Laboratorio firewalls. Servicios firewalls ● NAT ● DMZ ● Reglas de filtrado ● Squid ● DNS ● DHCP ● SSH ● OpenVPN ● RSync.
IPv6 Network Reconnaissance LACSEC 2012 Quito, Ecuador. Mayo 10, 2012.

IPv6 Network Reconnaissance LACSEC 2012 Quito, Ecuador. Mayo 10, 2012.
Promover el uso de herramientas innovadoras. Brindar asistencia técnica para comunicar, difundir y transferir metodologías. Coordinar sistemas transversales.

Promover el uso de herramientas innovadoras. Brindar asistencia técnica para comunicar, difundir y transferir metodologías. Coordinar sistemas transversales.
Capa de Red OSI Integrantes Carlos Mario Estrada Puerta Alejandra Barragán Santiago Ramírez Santa.

Capa de Red OSI Integrantes Carlos Mario Estrada Puerta Alejandra Barragán Santiago Ramírez Santa.
1 Analizador de Tráfico: WireShark DTIC – Mayo 2008 UNIVERSIDAD CENTRAL DE VENEZUELA RECTORADO DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES.

1 Analizador de Tráfico: WireShark DTIC – Mayo 2008 UNIVERSIDAD CENTRAL DE VENEZUELA RECTORADO DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES.
Icep Ingeniería en sistemas Informática II Gabriel Orozco martinez Cesar alfonso ventura sanchez 08/10/2016 Modelo osi capa de red.

Icep Ingeniería en sistemas Informática II Gabriel Orozco martinez Cesar alfonso ventura sanchez 08/10/2016 Modelo osi capa de red.
Linux como Firewall. Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter.

Linux como Firewall. Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter.

Presentaciones similares

Anuncios Google