Segurana com IPv6

Flvio Gomes Figueira Camacho

Universidade Federal Fluminense Rua Passo da Ptria, 156 So Domingos Niteri/RJ flavio@vipnettelecom.com.br

Resumo Este artigo apresenta as novidades implementadas no protocolo IPv6 para melhorar a segurana das comunicaes. Palavras-Chave IPv6, Segurana, NDP, SEND, IPSec, CGI, PKI, 6to4, TEREDO, OSPFv3, RIPng. AbstractThis article presents the innovations implemented in the IPv6 protocol to improve the security of communications. KeywordsIPv6, Segurity, NDP, SEND, IPSec, CGI, PKI, 6to4, TEREDO, OSPFv3, RIPng.

Descoberta de roteadores os hosts podem localizar os roteadores que se encontram no mesmo segmento de rede. Descoberta de prefixos como os hosts descobrem o prefixo dos endereos que esto diretamente alcanveis. Descoberta de parmetros como um n aprende os parmetros do link como MTU, limite de saltos... Auto-configurao de endereo como os ns configuraro automaticamente o endereo da interface. Resoluo de endereo mapeamento entre o endereo IP e o de rede. Determinao de prximo salto os hosts determinam qual o prximo salto com destino a um endereo especifico. Deteco de Visinho Inalcanvel determina que o visinho no seja mais alcanvel pela rede. Deteco de endereo duplicado o host consegue detectar que um endereo j est em uso na rede. Redirecionamento o roteador pode informar ao n sobre um roteador melhor para o prximo salto.

INTRODUO A internet que conhecemos hoje foi projetada em 1966, pelo Departamento de Defesa Americano, e sua definio IPv4 ocorreu em 1981 pela RFC 791, seu objetivo e utilizao era basicamente acadmica, e a preocupao com a segurana era secundria, poucas pessoas utilizavam a rede e todos se conheciam, em 1983 a internet era composta de aproximadamente 100 computadores.
I.

Em 1993 iniciou-se sua explorao comercial e com isso o numero de maquinas conectadas cresceu exponencialmente, o que promoveu um aumento enorme da quantidade de servios oferecidos, como transao bancaria e comercio eletrnico. Estas atividades requerem segurana, que no era fornecido nativamente pelo protocolo de rede, e era implementada por protocolos de nvel superior. No IPv6 a questo da segurana foi levada em considerao desde o inicio dos debates, sendo implementados vrios mecanismos de criptografia e autenticao, que so nativos do protocolo, visando garantir a segurana das informaes que trafegam na rede. Vamos apresenta vrias solues implementadas no protocolo IPv6 com o intuito de aumentar a segurana. PROTOCOLO DE DESCOBERTA DE VIZINHANA O IPv6 tem definido o protocolo de descoberta de vizinhana (Neighbour Discovery Protocol NDP) pela RFC 2461 e 2462. Os ns no mesmo link usam o NDP para diversas funes como:
II.

Como podemos ver do ponto de vista da segurana este um protocolo que traz vrios problemas, ele permite que qualquer mquina mal intencionada descubra os roteadores da rede, descubra o prefixo dos endereos, determine os parmetros do link como MTU entre outros, se auto-configure com um IP da rede, descubra os endereos de rede e IP dos hosts da rede, detecte os vizinhos alcanveis, verifique os endereos que j esto em uso na rede e redirecione o trafego para outro roteador qualquer, tudo isso sem qualquer tipo de autenticao. Este tipo de vulnerabilidade j bem conhecida pois est presente no ARP (Address Resolution Protocol) do IPv4, e pode ser solucionada com duas medidas, uma a utilizao do NDP com cabealhos autenticados vindos

do IPSec, outra a utilizao da descoberta de vizinhana segura SEND (SEcure Neighbor Discovery). Podemos usar NDP com IPSec sendo que a RFC no oferece instrues detalhadas de como utilizar-lo para isso, o que requer uma configurao manual pra estabelecer estas associaes, criando grandes problemas operacionais, pois depende da interveno do administrador. O SEND estabelece uma estrutura de PKI (Public Key Infra-struture) na rede, a fim de autenticar roteadores e outros dispositivos que possam se anunciar na rede. Ele tem uma nova opo do protocolo de descoberta de vizinhana com assinatura RSA, que protege as mensagens de descoberta de vizinho e de descoberta de roteador, alem de duas novas opes do protocolo de Descoberta de vizinhana o timestamp e nonce que previne ataques de reenvio de mensagens. Isso vem a resolver os problemas de segurana associados ao NDP e ARP, tendo sido implementado pela RFC 3971. ENDEREO GERADO CRIPTOGRAFICAMENTE O IPv6 capaz de associar uma chave publica a um endereo IPv6 no protocolo SEND. O endereo gerado criptograficamente (Cryptographically Generated Address CGI), um endereo IPv6 com o identificador de interface gerado por parmetros auxiliares e por uma chave publica criptogrfica. A ligao entre a chave pblica e o endereo pode ser verificada pelo re-clculo do valor hash e comparado com o valor da interface. Assim mensagens enviadas de um endereo IPv6 pode ser protegido por anexar a chave pblica parmetros auxiliares e assinando a mensagem com a chave privada correspondente. A proteo funciona sem uma autoridade de certificao ou de qualquer infra-estrutura de segurana.
III.

Transporte: implementado diretamente pelos dispositivos que efetuam a comunicao, expondo o cabealho IP e protegendo apenas os dados das camadas superiores.

A autenticidade das informaes garantida atravs do cabealho de autenticao, que implementa a autenticao da origem, garantindo que quem enviou o pacote o mesmo que consta no cabealho IP, ele ainda garante que o pacote est integro, ou seja, no foi modificado e nem reenviado. A confidencialidade garantida pelo encapsulamento de carga de segurana, que implementa a criptografia dos dados do pacote, atravs de chaves criptogrficas. O gerenciamento das chaves criptogrficas pode ser manual ou automtica atravs da troca de chaves pela Internet, utilizando os protocolos ISAKMP, OAKLEY ou SKEMA. Este gerenciamento de chaves apresenta-se como uma dificuldade operacional para implementao no IPv6.
V.
TAMANHO DOS ENDEREOS

IPSEC O IPSec implementa autenticao e criptografia na camada de rede fornecendo uma soluo de segurana fim-a-fim, que j existia no IPv4, mas era opcional, e invivel em redes som NAT, sendo que no IPv6 parte integrante do protocolo, tendo suporte obrigatrio, ele garante a autenticidade, a confidencialidade e a integridade das informaes.
IV.

Tornou-se quase impossvel efetuar Scanning de rede pois com uma mascara de 64bits percorrendo 1 milho de endereos por segundo, seria necessrio mais de 500.000 anos para percorrer toda a sub-rede. Logo Worms que utilizavam esta tcnica para se propagar tero srias dificuldades. Com IPv4 em menos de duas horas conseguiramos escanear todos os IPs do planeta nas mesmas condies. EXTENSES DE PRIVACIDADE So extenses do mecanismo stateless de autoconfigurao, ele gera endereos temporrios e/ou randmicos tornando o rastreamento de usurios e dispositivos mais difcil, pois os endereos mudam de acordo com a poltica local. Os ns usam autoconfigurao stateless para gerar endereos utilizando uma combinao de informaes
VI.

O IPSec pode ser implementado de duas maneira diferentes: VPN ou tunelamento: onde dispositivos especficos nas duas pontas da comunicao implementam o encapsulamento de todos os pacotes, e codificam um novo cabealho, com todo o contedo do pacote protegendo toda a informao.

disponveis localmente e informaes divulgadas por roteadores. Os endereos so formados pela combinao de prefixos de rede com um identificador de interface. Em uma interface que tem um identificador IEEE incorporado, o mesmo normalmente derivado dele. Em outros tipos de interface, a o identificador gerado por outros meios, por exemplo, atravs da gerao de nmeros aleatrios. A utilizao de extenso de ns gera identificadores de interface que mudam ao longo do tempo, mesmo nos casos em que a interface IEEE contem um identificador incorporado. Alterar o identificador da interface (e os endereos de alcance global gerados a partir dele) ao longo do tempo, torna mais difcil para os curiosos e colecionadores de outras informaes, identificar quando os diferentes endereos usados em diferentes operaes correspondem efetivamente ao mesmo n. As extenses de privacidade devem ser utilizadas preferencialmente em comunicaes externas, pois seu uso pode dificultar auditorias internas.
VII. FIREWALL

IX.

TUNEIS

Para ajudar na migrao de IPv4 para IPv6, foram criados tuneis, que permitem o trafego IPv6 atravs de estruturas IPv4, e isso um forte problema de segurana, pois em tuneis 6to4 por exemplo o relay no verifica os pacotes IPv6 encapsulados em IPv4, o spoofing pode ser facilmente explorado, e no temos um sistema de autenticao entre o roteador e o relay, o que permite a utilizao de relays falsos. J tuneis TEREDO, normalmente passam direto por filtros e firewalls se no estiverem devidamente configurados, expondo a ataques de redes IPv6, ele tambm divulga uma porta aberta por ele no NAT, o que permite ataques atravs dela.
X.
CONCLUSES

O IPv6 possui um firewall especifico, que atuar apenas em pacotes deste protocolo, ele tem as mesmas funcionalidades do IPv4, sendo essencial a sua utilizao correta, pois todos os hosts da rede local tem IPs vlidos, diferente do IPv4 que podia utilizar IPs privados, assim qualquer um pode alcanar todos os hosts da rede interna. As recomendaes para o firewall do IPv4 valem para o IPv6, com algumas novidades, como evitar endereos bvios, como temos agora a possibilidade de utilizar as letras de A at F nos endereos, isso possibilita a formao de palavras como FACA, CAF, que facilita a ao de hackers, tambm devemos filtrar as mensagens ICMPv6 que no sejam necessrias a operao, alem dos endereos bogons que agora por serem muito maiores que os vlidos, devem-se inverter, no IPv4 bloqueava-se os no-alocados agora devemos bloquear tudo e liberar apenas os alocados.
VIII. ROTEAMENTO DINAMICO

A segurana fez parte do projeto do IPv6 e ele resolve vrias vulnerabilidades do seu antecessor, com solues como SEND, CGI, IPSec, extenses de privacidade, e estrutura de endereos, mas no perfeito, e muitas formas de ataque continuam pois vrias independem do protocolo de rede, como vrus, homem-do-meio, DoS... entre outras que utilizam camadas superiores.

FONTE: COMIT GESTOR DA INTERNET NO BRASIL (CGI.BR)

Novos protocolos de roteamento dinmico foram criados para trabalhar com o IPv6, entre eles o OSPFv3 e o RIPng, e ambos oferecem a possibilidade de utilizar o IPSec, o que aumenta e muito a segurana, na troca de informaes de rotas na rede. J para os protocolos BGP e IS-IS nada mudou.

O total de vulnerabilidades descobertas e publicadas sobe exponencialmente, como mostra o estudo o CGI.BR, mas as correes para as mesmas no est ocorrendo na mesma velocidade.

[1]

[2]

[3]

[4]

Fonte CGI.BR

[5]

Novas formas de ataque surgiram, pois as tcnicas de tuneis so as que mais causam impactos, estes mecanismos so sujeitos a ataques de DoS, falsificao de pacotes e endereos de roteadores e relays utilizados por estas tcnicas como 6to4 e Teredo. Para evitar estas vulnerabilidades devemos evitar tuneis criados automaticamente, e permitir trafego apenas de tuneis autorizados.

[6]

[7] [8] [9]

[10]

[11]

[12]

[13]

[14]

[15]

Fonte CGI.BR

De nada adianta um protocolo bom se o usurio abre um e-mail malicioso e instala um vrus em sua maquina. Alem disso novas vulnerabilidades sero descobertas e exploradas, fazendo com que nos mantenhamos eternamente vigilantes.

REFERENCIAS R. R. Santos, A. M. Moreiras, E. A. Reis e A. S. Rocha, Curso IPv6 Bsico, CGI.BR, NIC.BR e CEPTRO.BR So Paulo, 2010. J.C Sena; P.L Geus; A. Augusto; Impactos da Transio e Utilizao do IPv6 sobre a Segurana de Ambientes Computacionais; 20 SBRC Simpsio Brasileiro de Redes de Computadores Buzius/RJ maio 2002. F.G.F. Camacho, IPv6 Importncia e Tcnicas de Implementao, IV Congresso Tecnolgico TI e Telecom InforBrasil2011, Fortaleza/CE, abril 2011. L. G. Junior; J.P.L.Souza; R.M.Nunes; M. Bogo; Anlise da Segurana em Redes Puramente IPv6; VII Encontro de Estudantes de Informtica do Estado do Tocantins; Palma/TO, 2005. L.A.Alexandre; A.M.Cansian - Anlise de Segurana do Protocolo IPv6, In XX CIC Congresso de Iniciao Cientfica So Jos dos campos/SP Unesp, 2008 D.Serafim; V. Santos; M. Antunes; N. Veiga; IPv6@ESTG-Leiria-Instalao de uma Rede Piloto; 3 Conferencia de Engenharias Universidade da Beira Interior, Covilh, Portugal Nov 2005 S. Sotillo; IPv6 Security Issues; East Carolina University, 2006 D. Kessens; Local Network Protection for IPv6; RFC 4864 Internet Engineering Task Force, 2007 R. Housley; Security Architecture for the Internet Protocol; RFC 4301 Internet Engineering Task Force, 2005 M.Wasserman; IPv6 Neighbor Discovery (ND) Trust Models and Threats; RFC 3756 Internet Engineering Task Force, 2004 M.Wasserman; SEcure Neighbor Discovery (SEND); RFC 3971Internet Engineering Task Force, 2005 M.Wasserman; Cryptographically Generated Addresses (CGA); RFC 3972 Internet Engineering Task Force, 2005 B. Wijnen; Ingress Filtering for Multihomed Networks; RFC 3704 Internet Engineering Task Force, 2004 J. Arkko; Privacy Extensions for Stateless Address Autoconfiguration in IPv6; RFC 4941 Internet Engineering Task Force, 2007 D. Kessens; Recommendations for Filtering ICMPv6 Messages in Firewalls; RFC 4890 Internet Engineering Task Force, 2007