03 seguranca redesi-pv6

116 visualizações

Publicada em

segurança

Publicada em: Software
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
116
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
4
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

03 seguranca redesi-pv6

  1. 1. Segurança  em     Redes  IPv6   Adilson  Aparecido  Floren9no   Portal  do  IPv6  
  2. 2. Mitos  com  relação  a  Segurança  de   Redes  IPv6   •  IPv6  é  mais  Seguro  que   IPv4  ?   •  IPSEC  resolve  todos  os   problemas  ?   •  Se  não  tenho  IPv6  na   rede,  posso  ignorá-­‐lo  ?   •  Comunicação  fim-­‐a-­‐fim   IPv6  é  segura  ?  
  3. 3. IPv6  é  mais  seguro  que  IPv4  ???   •  Protocolos  criados  em  épocas  diferentes   •  Protocolo  IPv4  tem  quase  30  anos  de  uso  em  larga   escala  e  IPv6  não   •  Todas  as  Best  Prac9ces  de  Segurança  são  baseadas  em   IPv4  
  4. 4. Incidentes  de  Segurança  com  IPv6  
  5. 5. Novas  SuperOcies  de  Ataque  
  6. 6. Impacto  das  Vulnerabilidades  
  7. 7. Vulnerabilidades  IPv6  
  8. 8. Quais  são  os  problemas  ???  
  9. 9. IPsec  resolve  todos  os  problemas  ?   •  Garante  auten9cação  e  criptografia  em  camada  3   •  Não  resolve  problemas  relacionados  a  descoberta   segura  de  vizinhança  e  ataques  a  camada  de   aplicação  
  10. 10. Se  não  tenho  IPv6  na  rede,  posso   ignorá-­‐lo  ???   •  Muitos  disposi9vos  vem  com  IPv6  habilitado   •  Firewalls  e  outras  proteções  v4  only  são   inúteis  !  
  11. 11. Sistemas  com  IPv6  habilitado  
  12. 12. Comunicação  fim-­‐a-­‐fim  é  segura  ???   •  Firewalls,  NIPS  e  outros  elementos  podem  atuar  com   intermediários   •  Técnicas  de  transição  podem  se  valer  de  algum  9po   de  tradução  que  causa  obscuridade  
  13. 13. Um  novo  mundo  com  novas   ameaças...  
  14. 14. Ataques  a  Redes  IPv6  
  15. 15. Alvos  nas  7  camadas  
  16. 16. Ataques  na  camada  2   •  Falsificação  da  tabela  de   vizinhança   •  Manipulação  do   mecanismo  de   descoberta  de   endereços  duplicados   •  Anúncios  RA  falsos   •  DHCPv6  Starva9on  
  17. 17. Vulnerabilidades  da  Autoconfiguração  
  18. 18. Falsificação  de  Anúncios  RA  
  19. 19. Explorando  os  cabeçalhos  de  Extensão  
  20. 20. Ataques  de  camada  3   •  Captura  de  pacotes  em  texto  claro  –   Eavesdropping   •  IPv6  Spoofing  –  Man-­‐in-­‐the-­‐Middle  
  21. 21. Pacotes  IPv6  a  Mostra  
  22. 22. Descoberta  Segura  de  Vizinhança   •  Secure  Neighbor  Discovery  –  SEND  –  consiste  em  um   protocolo  que  permite  a  auten9cação  dos  vizinhos   IPv6  através  do  uso  de  chaves  públicas  que  são   usadas  para  compor  a  iden9ficação  do  host  usando   endereços  gerados  criptograficamente.  
  23. 23. Descoberta  Segura  de  Vizinhança   •  Na  verdade,  um  par  de  chaves  RSA  é  gerado   (uma  pública  e  outra  privada).  A  chave  pública   é  usada  para  compor  o  ID  de  host,  que  é   alterado  a  cada  mensagem  enviada.  A  chave   privada  é  usada  para  assinar  a  mensagem  e   garan9r  a  auten9cidade  da  mesma  
  24. 24. RA  Guard  e  ND  Inspec9on   •  O  RA  Guard  e  o  ND  Inspec9on  são  a  versão  IPv6  do   serviço  conhecido  como  DHCP  Snooping,  o  qual  tem   por  obje9vo  barrar  ataques  baseados  no  troca  de   mensagens  ARP  e  DHCP.     Router>  enable   Router#  configure  terminal   Router(config)#  ipv6  neighbor  tracking   Router(config)#  ipv6  nd  inspec9on  policy   policy1   Router(config-­‐nd-­‐inspec9on)#  drop-­‐unsecure   Router(config-­‐nd-­‐inspec9on)#  device-­‐role   router   Router(config-­‐nd-­‐inspec9on)#  trusted-­‐port   Router(config)#  interface  fastethernet  0/0     Router(config-­‐if)#  ipv6  nd  inspec9on  ajach-­‐ policy  policy  policy1  
  25. 25. RA  Guard  e  ND  Inspec9on   •  Com  estes  serviços  a9vos,  a  tabela  de   vizinhança  criada  no  Switch  é  usada  como   base  para  validar  mensagens  RS/RA  e  NS/NA   suspeitas.  
  26. 26. Firewall  e  Túneis  Automá9cos   •  O  que  mais  assusta  em  termos  de  implementação  é  a   volta  do  modelo  fim-­‐a-­‐fim  e  a  perda  da  obscuridade   proporcionada  pelo  NAT,  que  dá  uma  falsa  sensação   de  segurança,  já  que  o  IP  das  máquinas  não  é   divulgado  na  Internet.     •  Túneis  Automá9cos  tendem  a  tornar  as  conexões   mais  lentas  pois  usam  proxies  distantes  –  desabilitá-­‐ los  é  a  melhor  prá9ca  !   R1(config)#  ipv6  access-­‐list  ENTRADA   R1(config-­‐ipv6-­‐acl)#  permit  tcp   2001:DB8:1::/48  any  established   R1(config-­‐ipv6-­‐acl)#  deny  tcp  any  any   R1(config-­‐ipv6-­‐acl)#  exit   R1(config)#interface  s1/0   R1(config-­‐if)#  ipv6  traffic-­‐filter  ENTRADA  in  
  27. 27. Criando  pacotes  IPv6  para  teste  
  28. 28. IPv6  Tool  Kit  
  29. 29. NDPMon  –  Monitorando  a   vizinhança  IPv6  
  30. 30. THC  IPv6  –  The  Hackers  Choice  !  
  31. 31. IPv6  Hackit  !  
  32. 32. Recomendações  Finais...   •  Usar  extensões  de  privacidade  apenas  em   comunicações  externas   •  Cuidado  com  endereços  mul9cast   •  Filtre  serviços  desnecessários  no  Firewall   •  Cuidado  com  as  mensagens  ICMPv6   •  Cuidado  com  cabeçalhos  de  extensão  e   fragmentação  de  pacotes   •  Use  IPSEC  sempre  que  necessário  
  33. 33. Maiores  detalhes  em...   IPv6  na  Prá9ca  !   5.  Segurança  em  Redes  IPv6       IPv6  é  mais  seguro  ?   Novas  Superficies  de  Ataque   Tipos  de  ataque  em  Redes  IPv6   Protegendo  a  Rede  IPv6   Descoberta  Segura  de  Vizinhança   Recomendações  para  aumentar  a   Segurança  em  Redes  IPv6   A9vidade  Prá9ca  –  Configuração  de   IPSEC   Resumo  da  a9vidade    
  34. 34. Dúvidas  ???  
  35. 35. Obrigado  !!!   www.portaldoipv6.com.br   contato@portaldoipv6.com.br  

×