INSTITUTO CIENTFICO DE ENSINO SUPERIOR E PESQUISA FACULDADE DE CINCIAS GERENCIAIS CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO

SEGURANA NO IPv6

Alunos: Hugo Azevedo de Jesus Leonardo Batista da Silva Rosa Mrcio Romrio Pinheiro de Farias Orientador: Andr Lus Arantes

SUMRIO

Introduo Problema Objetivos Hiptese As camadas TCP/IP, DHCP e Switch Datagrama IPv6

SUMRIO

Tabela de vizinhos ou Tabela ARP do IPv6 Pacote ICMPv6 Cabealho AH e ESP Metodologias Resultados Discusses Concluso

INTRODUO
A comunicao uma das maiores
necessidades da sociedade humana desde os primrdios de sua existncia a comunicao longa distncia se tornava cada vez mais uma necessidade e um desafio...

(Soares; Lemos; Colcher, 1995)

INTRODUO
EVOLUO DA COMUNICAO

Telgrafo 1844 (Samuel F.B.Morse); Telefone 1876 (Alexander Graham Bell); Celular 1973 (Martin Cooper); Computador 1940;

INTRODUO
EVOLUO DOS COMPUTADORES

Mquinas grandes e complexas e trabalhavam isolodas; Computadores menores e compartilhavam perifricos; Desenvolvimento do Microcomputador surgindo as redes corporativas;

INTRODUO
SURGIMENTO DA INTERNET

A Internet supriu a necessidade de teleprocessamento; Possibilitou interconexo de empresas, pessoas e governos; Acesso a informaes e recursos de valores inestimveis;

INTRODUO
TCP/IP ou TCP/IPv4

Protocolo padro de comunicao entre mquinas Independente de plataforma e Sistemas Operacionais

INTRODUO
TCP/IP ou TCP/IPv4

Espao de endereamento de 32 bits Suporta aproximadamente 4,3 bilhes de endereos

INTRODUO
PROBLEMAS COM O IPv4

Expanso da Internet nos anos 90; Atualmente 68% dos endereos IPs esto sendo utilizados; Quantidade limitada de endereos IPs Possui diversas vulnerabilidades;

INTRODUO
Internet Protocol version 6 (IPv6)

Quantidade de endereos IPs:

Espao de endereamento de 128 bits; Suporta aproximadamente 340 decilhes de endereos;

Garantia de segurana;

INTRODUO

Reduo das tabelas de roteamento; Protocolo passvel de expanso; Simplificao do datagrama do protocolo ; Coexistncia com o IPv4;

TIPOS DE ENDEREOS

IPv4:

192.168.1.1;

IPv6:

FE80::202:44FF:FE1A:3F17;

MECANISMOS DE SEGURANA DO IPv6

ENCAPSULATING SECURITY PAYLOAD (ESP):

Confidencialidade; Integridade;

AUTHENTICATION HEADER (AH):

Autenticidade;

ENCAPSULATING SECURITY PAYLOAD(ESP)

Prov confiabilidade e integridade dos dados trafegados; Pode ser utilizado no modo transporte ou em tunelamento; Utiliza originalmente o algoritmo DES para criptografia dos dados;

AUTHENTICATION HEADER (AH)

Prov assinatura do remetente; Garante ao destinatrio que no houve alterao da origem do pacote; Autenticao sob algoritmo Message Digest 5 (MD5); Preveno de ataques como Replay, Spoofing e Hijacking;

INTRODUO

PESQUISA EXPERIMENTAL; Analisar se os mecanismos de segurana do IPv6 garantem a autencidade dos dados;

OBJETIVO GERAL

Constatar se o AH implementado no IPv6 pode garantir a autenticidade das informaes;

OBJETIVO ESPECFICO

Expor a histria do IPv6; Mostrar as melhorias trazidas pelo IPv6;

Apresentar os mecanismos de segurana trazidos pelo IPv6;

HIPTESE

O IPv6 garante a autenticidade da origem dos dados por meio do mecanismo de segurana AH, quando transmitidos dados de um computador para outro;

REFERENCIAL TERICO

SOARES, LEMOS, COLCHER. Redes de computadores; TANENBAUM. computadores; Redes de

GODINHO JR. Anlise de segurana com protocolo IPv6;

TCP / IP

TCP / IP

Protocolo aberto, pblico e independente de equipamentos ou sistemas operacionais;

No define protocolos para o nvel fsico, possibilitando implementao sobre uma grande variedade de protocolos j existentes, tais como: Ethernet, Token Ring e X.25;

TCP / IP

o esquema de endereamento do TCP/IP permite designar unicamente qualquer mquina, mesmo em redes globais como a Internet; inclui protocolos do nvel de aplicao que atendem muito bem demanda de servios imposta pelos usurios;

DATAGRAMA IPv6

DATAGRAMA IPv6

8 campos total de 320 bits.

Simplificao em relao ao datagrama do IPv4 no h mais campo de controle, uma vez que erros devem ser tratados em camadas inferiores

DATAGRAMA IPv6

ICMPv6

CARACTERSTICAS ICMPv6

No h compatibilidade com o ICMP definido no IPv4; Mantm as caractersticas de troca de mensagem da verso para Ipv4; Ampliao no uso para relato de erros no processamento de pacotes e outros recursos da camada Internet;

PACOTE ICMPv6

TABELA DE VIZINHOS

Endereo fsico / endereo lgico; ARP do IPv6;

TABELA DE VIZINHOS

Habilita roteadores e hosts IPv6 a determinar o MAC Address de seus vizinhos do mesmo enlace, encontrar roteadores vizinhos e manter uma tabela de vizinhos;

TABELA DE VIZINHOS

Utiliza mensagens ICMPv6, endereos multicast do tipo Solicited-Node, para determinar os endereos MAC e verificar alcanabilidade de algum vizinho; Neighbor Solicitation;

Neighbor Advertisement;

AUTHENTICATION HEADER (AH)

AUTHENTICATION HEADER (AH)

Identifica as entidades comunicantes, verificando se emissor e receptor correspondem aos anunciados no cabealho do pacote; A ISO/IEC 17799:2000 explica que autenticidade usada para confirmar a identidade alegada por um usurio.

AUTHENTICATION HEADER (AH)

Previne ataques como:
Replay; Spoofing; Connection hijacking;

AUTHENTICATION HEADER (AH)

ENCAPSULATING SECURITY PAYLOAD (ESP)

ENCAPSULATING SECURITY PAYLOAD (ESP)

Fornece confidencialidade a datagramas IP por meio da criptografia de dados; ISO/IEC 17799:2000 explica que confidencialidade a garantia que a informao acessvel somente por pessoas autorizadas a terem o acesso.

ENCAPSULATING SECURITY PAYLOAD (ESP)

Previne ataques como:

Replay; Particionamento de pacotes cifrados; Sniffing;

ENCAPSULATING SECURITY PAYLOAD (ESP)

VALIDAO DA HIPTESE

VALIDAO DA HIPTESE

Hiptese:

Verificar a autenticidade no IPv6;

Metodologia Geral; Trs Metodologias Especficas; Trs Resultados; Discusses;

METODOLOGIA GERAL

METODOLOGIA GERAL

Um ambiente de rede;

Trs experimentos;
Cada experimento uma ferramenta; Quatro replicaes;

O AMBIENTE

DESCRIO DOS EQUIPAMENTOS

DISPOSITIVO SISTEMA CARACTERSTICAS OPERACIONAL DE REDE

MICRO1: Pentium4
2.4GHz

Linux: Fedora Core 4

Linux: Fedora Core 4 Linux: Fedora Core 4

Placa de rede PCI 10/100Mbps

Placa de rede PCI 10/100Mbps Placa de rede PCI 10/100Mbps 10/100Mbps Funo DHCP

MICRO2:
500MHz

AMD AMD

MICRO3:
2800+

SWITCH ROUTER ADSL

FERRAMENTAS DE TESTE

Sendip

1 experimento; Spoofing; 2 experimento; Spoofing; 3 experimento; Pode praticar o Spoofing;

Netwox

Ip

FERRAMENTAS EM GERAL

Ethereal: analizador de protocolos; Ping6: envia pacotes ICMPv6 Request;

SENDIP
METODOLOGIA ESPECFICA

SENDIP
RESULTADO

RESULTADO SENDIP

Devido a essa m formao do pacote no houve a necessidade do IPv6 atuar para garantir a autenticidade da origem dos dados por meio do AH quando transmitidos dados de um computador para outro.

NETWOX
METODOLOGIA ESPECFICA

NETWOX
RESULTADO

RESULTADO NETWOX

Em conseqncia do micro2 ter enviado um ICMPv6 Response sem que o micro3 tivesse solicitado, o IPv6 no garantiu a autenticidade da origem dos dados quando transmitidos dados de um computador para outro.

NETWOX
DISCUSSO

DISCUSSO NETWOX

Mas nesse caso o IPv6 tambm teria falhado na autenticao.

IP
METODOLOGIA ESPECFICA

IP
RESULTADO

RESULTADO IP

Em conseqncia do micro2 ter enviado um ICMPv6 Response para o micro1, o IPv6 no garantiu a autenticidade da origem dos dados.

IP
DISCUSSO

DISCUSSO IP

Quando visualizado esse contedo no foi encontrado o parmetro AH, o que deveria ser obrigatrio, pois a segurana no IPv6 padro e no uma opo.

DISCUSSO IP

Sistema Operacional:

Fedora Core 4; IETF; Windows 2000; Windows XP; Slackware 10;

Segundo Goldinho Jr. (2004):

DISCUSSO IP

Pelo problema apresentado de que o cabealho AH ainda no estar presente no Sistema Operacional usado nos testes, esse protocolo no pode garantir a autenticidade da origem dos dados.

DISCUSSO IP

Vale ressaltar, ento, que no teste com a ferramenta Netwox;

CONCLUSO