Segurana com IPv6

Flvio Gomes Figueira Camacho

Universidade Federal Fluminense Rua Passo da Ptria, 156 So Domingos Niteri/RJ
flavio@vipnettelecom.com.br

Descoberta de roteadores os hosts podem

localizar os roteadores que se encontram no
mesmo segmento de rede.

AbstractThis article presents the innovations

implemented in the IPv6 protocol to improve the security
of communications.

Descoberta de prefixos como os hosts

descobrem o prefixo dos endereos que esto
diretamente alcanveis.

KeywordsIPv6, Segurity, NDP, SEND, IPSec, CGI,

PKI, 6to4, TEREDO, OSPFv3, RIPng.

Descoberta de parmetros como um n

aprende os parmetros do link como MTU,
limite de saltos...

Auto-configurao de endereo como os

ns configuraro automaticamente o endereo
da interface.

Resoluo de endereo mapeamento entre o

endereo IP e o de rede.

Determinao de prximo salto os hosts

determinam qual o prximo salto com destino
a um endereo especifico.

Deteco de Visinho Inalcanvel

determina que o visinho no seja mais
alcanvel pela rede.

Deteco de endereo duplicado o host

consegue detectar que um endereo j est em
uso na rede.

Redirecionamento o roteador pode informar

ao n sobre um roteador melhor para o
prximo salto.

Resumo Este artigo apresenta as novidades

implementadas no protocolo IPv6 para melhorar a
segurana das comunicaes.
Palavras-Chave IPv6, Segurana, NDP, SEND, IPSec,
CGI, PKI, 6to4, TEREDO, OSPFv3, RIPng.

INTRODUO
A internet que conhecemos hoje foi projetada em
1966, pelo Departamento de Defesa Americano, e sua
definio IPv4 ocorreu em 1981 pela RFC 791, seu
objetivo e utilizao era basicamente acadmica, e a
preocupao com a segurana era secundria, poucas
pessoas utilizavam a rede e todos se conheciam, em 1983
a internet era composta de aproximadamente 100
computadores.
I.

Em 1993 iniciou-se sua explorao comercial e com

isso o numero de maquinas conectadas cresceu
exponencialmente, o que promoveu um aumento enorme
da quantidade de servios oferecidos, como transao
bancaria e comercio eletrnico. Estas atividades
requerem segurana, que no era fornecido nativamente
pelo protocolo de rede, e era implementada por
protocolos de nvel superior.
No IPv6 a questo da segurana foi levada em
considerao desde o inicio dos debates, sendo
implementados vrios mecanismos de criptografia e
autenticao, que so nativos do protocolo, visando
garantir a segurana das informaes que trafegam na
rede.
Vamos apresenta vrias solues implementadas no
protocolo IPv6 com o intuito de aumentar a segurana.
PROTOCOLO DE DESCOBERTA DE VIZINHANA
O IPv6 tem definido o protocolo de descoberta de
vizinhana (Neighbour Discovery Protocol NDP) pela
RFC 2461 e 2462. Os ns no mesmo link usam o NDP
para diversas funes como:
II.

Como podemos ver do ponto de vista da segurana

este um protocolo que traz vrios problemas, ele
permite que qualquer mquina mal intencionada descubra
os roteadores da rede, descubra o prefixo dos endereos,
determine os parmetros do link como MTU entre outros,
se auto-configure com um IP da rede, descubra os
endereos de rede e IP dos hosts da rede, detecte os
vizinhos alcanveis, verifique os endereos que j esto
em uso na rede e redirecione o trafego para outro
roteador qualquer, tudo isso sem qualquer tipo de
autenticao.
Este tipo de vulnerabilidade j bem conhecida pois
est presente no ARP (Address Resolution Protocol) do
IPv4, e pode ser solucionada com duas medidas, uma a
utilizao do NDP com cabealhos autenticados vindos

do IPSec, outra a utilizao da descoberta de vizinhana

segura SEND (SEcure Neighbor Discovery).
Podemos usar NDP com IPSec sendo que a RFC no
oferece instrues detalhadas de como utilizar-lo para
isso, o que requer uma configurao manual pra
estabelecer estas associaes, criando grandes problemas
operacionais, pois depende da interveno do
administrador.

Transporte: implementado diretamente

pelos
dispositivos
que
efetuam
a
comunicao, expondo o cabealho IP e
protegendo apenas os dados das camadas
superiores.

O SEND estabelece uma estrutura de PKI (Public Key

Infra-struture) na rede, a fim de autenticar roteadores e
outros dispositivos que possam se anunciar na rede. Ele
tem uma nova opo do protocolo de descoberta de
vizinhana com assinatura RSA, que protege as
mensagens de descoberta de vizinho e de descoberta de
roteador, alem de duas novas opes do protocolo de
Descoberta de vizinhana o timestamp e nonce que
previne ataques de reenvio de mensagens. Isso vem a
resolver os problemas de segurana associados ao NDP e
ARP, tendo sido implementado pela RFC 3971.
ENDEREO GERADO CRIPTOGRAFICAMENTE
O IPv6 capaz de associar uma chave publica a um
endereo IPv6 no protocolo SEND. O endereo gerado
criptograficamente
(Cryptographically
Generated
Address CGI), um endereo IPv6 com o identificador
de interface gerado por parmetros auxiliares e por uma
chave publica criptogrfica. A ligao entre a chave
pblica e o endereo pode ser verificada pelo re-clculo
do valor hash e comparado com o valor da interface.
Assim mensagens enviadas de um endereo IPv6 pode
ser protegido por anexar a chave pblica parmetros
auxiliares e assinando a mensagem com a chave privada
correspondente. A proteo funciona sem uma
autoridade de certificao ou de qualquer infra-estrutura
de segurana.
III.

IPSEC
O IPSec implementa autenticao e criptografia na
camada de rede fornecendo uma soluo de segurana
fim-a-fim, que j existia no IPv4, mas era opcional, e
invivel em redes som NAT, sendo que no IPv6 parte
integrante do protocolo, tendo suporte obrigatrio, ele
garante a autenticidade, a confidencialidade e a
integridade das informaes.
IV.

O IPSec pode ser implementado de duas maneira

diferentes:

VPN ou tunelamento: onde dispositivos

especficos nas duas pontas da comunicao
implementam o encapsulamento de todos os
pacotes, e codificam um novo cabealho,
com todo o contedo do pacote protegendo
toda a informao.

A autenticidade das informaes garantida atravs

do cabealho de autenticao, que implementa a
autenticao da origem, garantindo que quem enviou o
pacote o mesmo que consta no cabealho IP, ele ainda
garante que o pacote est integro, ou seja, no foi
modificado e nem reenviado.
A confidencialidade garantida pelo encapsulamento
de carga de segurana, que implementa a criptografia dos
dados do pacote, atravs de chaves criptogrficas.
O gerenciamento das chaves criptogrficas pode ser
manual ou automtica atravs da troca de chaves pela
Internet, utilizando os protocolos ISAKMP, OAKLEY ou
SKEMA. Este gerenciamento de chaves apresenta-se
como uma dificuldade operacional para implementao
no IPv6.
V.

TAMANHO DOS ENDEREOS

Tornou-se quase impossvel efetuar Scanning de rede

pois com uma mascara de 64bits percorrendo 1 milho
de endereos por segundo, seria necessrio mais de
500.000 anos para percorrer toda a sub-rede. Logo
Worms que utilizavam esta tcnica para se propagar
tero srias dificuldades.
Com IPv4 em menos de duas horas conseguiramos
escanear todos os IPs do planeta nas mesmas condies.
EXTENSES DE PRIVACIDADE
So extenses do mecanismo stateless de
autoconfigurao, ele gera endereos temporrios e/ou
randmicos tornando o rastreamento de usurios e
dispositivos mais difcil, pois os endereos mudam de
acordo com a poltica local.
Os ns usam autoconfigurao stateless para gerar
endereos utilizando uma combinao de informaes
VI.

disponveis localmente e informaes divulgadas por

roteadores. Os endereos so formados pela combinao
de prefixos de rede com um identificador de interface.
Em uma interface que tem um identificador IEEE
incorporado, o mesmo normalmente derivado dele. Em
outros tipos de interface, a o identificador gerado por
outros meios, por exemplo, atravs da gerao de
nmeros aleatrios. A utilizao de extenso de ns gera
identificadores de interface que mudam ao longo do
tempo, mesmo nos casos em que a interface IEEE
contem um identificador incorporado. Alterar o
identificador da interface (e os endereos de alcance
global gerados a partir dele) ao longo do tempo, torna
mais difcil para os curiosos e colecionadores de outras
informaes, identificar quando os diferentes endereos
usados em diferentes operaes correspondem
efetivamente ao mesmo n.
As extenses de privacidade devem ser utilizadas
preferencialmente em comunicaes externas, pois seu
uso pode dificultar auditorias internas.
VII. FIREWALL

O IPv6 possui um firewall especifico, que atuar

apenas em pacotes deste protocolo, ele tem as mesmas
funcionalidades do IPv4, sendo essencial a sua utilizao
correta, pois todos os hosts da rede local tem IPs vlidos,
diferente do IPv4 que podia utilizar IPs privados, assim
qualquer um pode alcanar todos os hosts da rede
interna.
As recomendaes para o firewall do IPv4 valem para
o IPv6, com algumas novidades, como evitar endereos
bvios, como temos agora a possibilidade de utilizar as
letras de A at F nos endereos, isso possibilita a
formao de palavras como FACA, CAF, que facilita a
ao de hackers, tambm devemos filtrar as mensagens
ICMPv6 que no sejam necessrias a operao, alem dos
endereos bogons que agora por serem muito maiores
que os vlidos, devem-se inverter, no IPv4 bloqueava-se
os no-alocados agora devemos bloquear tudo e liberar
apenas os alocados.
VIII. ROTEAMENTO DINAMICO

Novos protocolos de roteamento dinmico foram

criados para trabalhar com o IPv6, entre eles o OSPFv3
e o RIPng, e ambos oferecem a possibilidade de utilizar
o IPSec, o que aumenta e muito a segurana, na troca de
informaes de rotas na rede. J para os protocolos BGP
e IS-IS nada mudou.

IX.

TUNEIS

Para ajudar na migrao de IPv4 para IPv6, foram

criados tuneis, que permitem o trafego IPv6 atravs de
estruturas IPv4, e isso um forte problema de segurana,
pois em tuneis 6to4 por exemplo o relay no verifica os
pacotes IPv6 encapsulados em IPv4, o spoofing pode ser
facilmente explorado, e no temos um sistema de
autenticao entre o roteador e o relay, o que permite a
utilizao de relays falsos. J tuneis TEREDO,
normalmente passam direto por filtros e firewalls se no
estiverem devidamente configurados, expondo a ataques
de redes IPv6, ele tambm divulga uma porta aberta por
ele no NAT, o que permite ataques atravs dela.
X.

CONCLUSES

A segurana fez parte do projeto do IPv6 e ele resolve

vrias vulnerabilidades do seu antecessor, com solues
como SEND, CGI, IPSec, extenses de privacidade, e
estrutura de endereos, mas no perfeito, e muitas
formas de ataque continuam pois vrias independem do
protocolo de rede, como vrus, homem-do-meio, DoS...
entre outras que utilizam camadas superiores.

FONTE: COMIT GESTOR DA INTERNET NO BRASIL (CGI.BR)

O total de vulnerabilidades descobertas e publicadas

sobe exponencialmente, como mostra o estudo o
CGI.BR, mas as correes para as mesmas no est
ocorrendo na mesma velocidade.

[1]

[2]

[3]

[4]

Fonte CGI.BR

Novas formas de ataque surgiram, pois as tcnicas de

tuneis so as que mais causam impactos, estes
mecanismos so sujeitos a ataques de DoS, falsificao
de pacotes e endereos de roteadores e relays utilizados
por estas tcnicas como 6to4 e Teredo. Para evitar estas
vulnerabilidades devemos evitar tuneis criados
automaticamente, e permitir trafego apenas de tuneis
autorizados.

[5]

[6]

[7]
[8]
[9]

[10]

[11]

[12]

[13]

[14]

[15]

Fonte CGI.BR

De nada adianta um protocolo bom se o usurio abre

um e-mail malicioso e instala um vrus em sua maquina.
Alem disso novas vulnerabilidades sero descobertas e
exploradas, fazendo com que nos mantenhamos
eternamente vigilantes.

REFERENCIAS
R. R. Santos, A. M. Moreiras, E. A. Reis e A. S.
Rocha, Curso IPv6 Bsico, CGI.BR, NIC.BR e
CEPTRO.BR So Paulo, 2010.
J.C Sena; P.L Geus; A. Augusto; Impactos da
Transio e Utilizao do IPv6 sobre a Segurana
de Ambientes Computacionais; 20 SBRC
Simpsio Brasileiro de Redes de Computadores
Buzius/RJ maio 2002.
F.G.F. Camacho, IPv6 Importncia e Tcnicas de
Implementao, IV Congresso Tecnolgico TI e
Telecom InforBrasil2011, Fortaleza/CE, abril 2011.
L. G. Junior; J.P.L.Souza; R.M.Nunes; M. Bogo;
Anlise da Segurana em Redes Puramente IPv6;
VII Encontro de Estudantes de Informtica do
Estado do Tocantins; Palma/TO, 2005.
L.A.Alexandre; A.M.Cansian - Anlise de
Segurana do Protocolo IPv6, In XX CIC
Congresso de Iniciao Cientfica So Jos dos
campos/SP Unesp, 2008
D.Serafim; V. Santos; M. Antunes; N. Veiga;
IPv6@ESTG-Leiria-Instalao de uma Rede Piloto;
3 Conferencia de Engenharias Universidade da
Beira Interior, Covilh, Portugal Nov 2005
S. Sotillo; IPv6 Security Issues; East Carolina
University, 2006
D. Kessens; Local Network Protection for IPv6;
RFC 4864 Internet Engineering Task Force, 2007
R. Housley; Security Architecture for the Internet
Protocol; RFC 4301 Internet Engineering Task
Force, 2005
M.Wasserman; IPv6 Neighbor Discovery (ND) Trust
Models and Threats; RFC 3756 Internet Engineering
Task Force, 2004
M.Wasserman; SEcure Neighbor Discovery
(SEND); RFC 3971Internet Engineering Task Force,
2005
M.Wasserman; Cryptographically Generated
Addresses (CGA); RFC 3972 Internet Engineering
Task Force, 2005
B. Wijnen; Ingress Filtering for Multihomed
Networks; RFC 3704 Internet Engineering Task
Force, 2004
J. Arkko; Privacy Extensions for Stateless Address
Autoconfiguration in IPv6; RFC 4941 Internet
Engineering Task Force, 2007
D. Kessens; Recommendations for Filtering ICMPv6
Messages in Firewalls; RFC 4890 Internet
Engineering Task Force, 2007