La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

IPv6 Network Reconnaissance LACSEC 2012 Quito, Ecuador. Mayo 10, 2012.

Publicada porElena Aguilera Olivera Modificado hace 8 años

Presentaciones similares

Presentación del tema: "IPv6 Network Reconnaissance LACSEC 2012 Quito, Ecuador. Mayo 10, 2012."— Transcripción de la presentación:

1 IPv6 Network Reconnaissance LACSEC 2012 Quito, Ecuador. Mayo 10, 2012

2 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Acerca de... ● Actualmente trabajando para SI6 Networks ● He trabajado en análisis de seguridad de protocolos de comunicaciones para: ● UK NISCC (National Infrastructure Security Co-ordination Centre) ● UK CPNI (Centre for the Protection of National Infrastructure) ● Participo activamente en la IETF (Internet Engineering Task Force) ● Actual moderador del Foro de Seguridad de LACNIC ● Más información en: http://www.gont.com.arhttp://www.gont.com.ar

3 LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 3 IPv4 Network Reconnaissance (recap)

4 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Revisión ● Direcciones de 32 bits ● Densidad de hosts en red elevada ● Técnica tradicional == fuerza bruta ● Seleccionar el rango de direcciones deseado ● Enviar pruebas (ICMP echo, TCP {SYN, ACK}, UDP ● Esperar respuestas ● La escala del problema es pequeña ● Fuerza bruta == “suficientemente bueno”

5 LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 5 Leyendas Urbanas sobre IPv6 Network Reconnaissance

6 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Leyenda urbana “Debido al gran espacio de direcciones IPv6, los ataques de escaneo son imposibles. Escanear un /64 tomaría 500.000.000 años” Es realmente el espacio de búsqueda de un /64 2 64 direcciones?

7 LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 7 IPv6 Network Reconnaissance (global)

8 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Formato de Direcciones Globales IPv6 ● Diferentes políticas de selección de IID: ● Embeber la MAC address (SLAAC tradicional) ● Embeber la dirección IPv4 (por ej., 2001:db8::192.168.1.1) ● Low-byte (por ej., 2001:db8::1, 2001:db8::2, etc.) ● Wordy (por ej., 2001:db8::dead:beef) ● Indicado por una tecnología de transición Global Routing PrefixSubnet IDInterface ID | n bits | m bits | 128-n-m bits |

9 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Direcciones IPv6 en el mundo real ● Malone midió (*) las politicas de asignación de direcciones en escenarios reales Hosts Routers Malone, D., "Observations of IPv6 Addresses", Passive and Active Measurement Conference (PAM 2008, LNCS 4979), April 2008,.http://www.maths.tcd.ie/~dwmalone/p/addr-pam08.pdf

10 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Direcciones con IEEE IDs embebidos ● En la práctica, el espacio de búsqueda es a lo sumo ~2 24 bits – posible! ● Los 24 bits de bajo orden no son necesariamente aleatorios: ● Una organización compra una gran cantidad de equipos ● Usualmente, los equipos tienen direcciones MAC consecutivas ● Las MACs se suelen distribuir por regiones geográficas IEEE OUI FF FE Lower 24 bits of MAC | 24 bits | 16 bits | 24 bits | Adivinable o conocido Conocido Desconocido

11 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Direcciones con IEEE IDs embebidos (II) ● Las tecnologías de virtualización presentan un caso interesante ● Virtual Box utiliza el OUI 08:00:27 (espacio de busqueda: ~2 24 ) ● VMWare ESX utiliza: ● MACs automaticas: OUI 00:05:59, y siguientes 16 bits tomados de la dirección IPv4 del host real (espacio de búsqueda: ~2 8 ) ● MACs manualmente configuradas:OUI 00:50:56 y restantes bits en el rango 0x000000-0x3fffff (espacio de búsqueda: ~2 22 )

12 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Direcciones IPv6 basadas en IPv4 ● Simplemente incluyen una dirección IPv4 en el IID ● Ejemplo: 2000:db8::192.168..1 ● El espacio de búsqueda es el mismo que el correspondiente a IPv4

13 LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 13 IPv6 Network Reconnaissance (local)

14 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Escaneo local ● Se trata de un problema completamente diferente ● Se reduce notablemente el espacio de búsqueda utilizando direcciones multicast (por ej. ff02::1) ● Se pueden utilizar tecnicas adicionales como: ● mDNS ● LLNR ● En el peor de los casos, puede utilizarse sniffing ● En sintesis, es un problema muy dificil de mitigar

15 LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 15 Mitigando IPv6 Network Reconnaissance

16 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Stable privacy-enhanced addresses ● draft-gont-6man-stable-privacy-addresses propone generar los Interface IDs como: ● F(Prefix, Iface_index, Network_ID, secret_key) ● Donde: ● F() es una PRF (por ej., una función de hash) ● Iface_index es un número pequeño que identifica a la NIC ● Network_ID podría ser, por ejemplo el SSID de una red inalámbrica ● El resto de los parametros deberían ser obvios ;-)

17 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Stable privacy-enhanced addresses (II) ● Esta función proporciona direcciones que: ● No son predecibles ● Son estables en una misma subred (importante para O&M) ● cambian al moverse de una red a otra ● Propuesta aceptada por el 6man wg de la IETF ● Aunque parece haber resistencia a hacer un “update” formal de los estandares correspondientes.

18 LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 18 Algunas conclusiones

19 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Mitos, leyendas urbanas, y hechos... “Cuando estudias cualquier materia o consideras cualquier filosofía pregúntate solamente: Cuales son los hechos, y cual es la verdad que los hechos corroboran. Nunca te desvíes, ya sea por lo que deseas creer, o lo por lo que tu piensas que podría tener un efecto benéfico en la sociedad; solo debes mirar única y exclusivamente cuales son los hechos” – Bertrand Russell

20 LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 © 2012 SI6 Networks. All rights reserved 20 Preguntas?

21 © 2012 SI6 Networks. All rights reserved LACSEC 2012 Quito, Ecuador. Mayo 10, 2012 Gracias! Fernando Gont fgont@si6networks.com IPv6 Hackers mailing-list http://www.si6networks.com/community/ www.si6networks.com

Descargar ppt "IPv6 Network Reconnaissance LACSEC 2012 Quito, Ecuador. Mayo 10, 2012."

Presentaciones similares

Seminario virtual organizado por LACNIC

Seminario virtual organizado por LACNIC
Resultados de un análisis de seguridad de las especificaciones de la IETF de los protocolos TCP e IP Fernando Gont UTN/FRH, Argentina proyecto realizado.

Resultados de un análisis de seguridad de las especificaciones de la IETF de los protocolos TCP e IP Fernando Gont UTN/FRH, Argentina proyecto realizado.
Resultados de un análisis de seguridad de IPv6

Resultados de un análisis de seguridad de IPv6
Direccionamiento de red

Direccionamiento de red
Resultados de una evaluación de seguridad del Protocolo de Internet (IP) Fernando Gont proyecto realizado para UK Centre for the Protection of National.

Resultados de una evaluación de seguridad del Protocolo de Internet (IP) Fernando Gont proyecto realizado para UK Centre for the Protection of National.
Direccionamiento IP.

Direccionamiento IP.
DIDACTIFICACION DE IPv6 3.2 Stateless. Introducción a IPv6 RFC 4862: Stateless Address Autoconfiguration (SLAC) En la configuración stateless los equipos.

DIDACTIFICACION DE IPv6 3.2 Stateless. Introducción a IPv6 RFC 4862: Stateless Address Autoconfiguration (SLAC) En la configuración stateless los equipos.
DIRECCIONAMIENTO IP.

DIRECCIONAMIENTO IP.
Direccionamiento IP y Subredes.

Direccionamiento IP y Subredes.
Internet Protocol Version 6

Internet Protocol Version 6
DHCP Redes de computadores: un enfoque descendente basado en Internet, 2ª edición. Jim Kurose, Keith Ross.

DHCP Redes de computadores: un enfoque descendente basado en Internet, 2ª edición. Jim Kurose, Keith Ross.
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.

© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.

8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.
Recapitulando... Examen final REDES 2. Agosto – Diciembre 2007.

Recapitulando... Examen final REDES 2. Agosto – Diciembre 2007.
Comunicación de Datos I

Comunicación de Datos I
Protocolo DHCP.. DHCP es un protocolo estándar propuesto. Su estado es electivo. Las especificaciones actuales de DHCP se pueden encontrar en el RFC 1541.

Protocolo DHCP.. DHCP es un protocolo estándar propuesto. Su estado es electivo. Las especificaciones actuales de DHCP se pueden encontrar en el RFC 1541.
TECNOLOGÍA DE TELECOMUNICACIONES

TECNOLOGÍA DE TELECOMUNICACIONES
Capítulo 8: Direccionamiento IP

Capítulo 8: Direccionamiento IP
© 2008 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 9: División de redes IP en subredes.

© 2008 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 9: División de redes IP en subredes.
Objetivos Identificar la importancia presente y futura del Protocolo IPv6 Conocer acerca de sus especificaciones técnicas y sus características de funcionamiento.

Objetivos Identificar la importancia presente y futura del Protocolo IPv6 Conocer acerca de sus especificaciones técnicas y sus características de funcionamiento.

Presentaciones similares

Anuncios Google