[1] O documento discute o protocolo IPv6, comparando-o com IPv4 e abordando tópicos como estrutura de endereçamento, IPsec, ICMPv6, firewall, descoberta de vizinhança e ataques/vulnerabilidades em IPv6. [2] É apresentada uma ferramenta online para testar compatibilidade com IPv6 e sites compatíveis, além de dicas para ativar IPv6 em sistemas Debian, Ubuntu e Slackware. [3] São explicados os modos de funcionamento do IPsec (transporte e túnel), além

1. BRUNO MONTEIRO | GIONNI LÚCIO | SÉRGIO AUGUSTO
SEGURANÇA DA INFORMAÇÃO

2. Conteúdo desta apresentação
 O que é IPv6?
 Comparações do IPv6 com IPv4;
 Estrutura de Endereçamento
 Mitos
 Ferramentas
 IPSEC / VPN com IPv6
 ICMPv6
 IPv6 em Firewall
 Descoberta de Vizinhança e DOS com ND
 Ataques e Vulnerabilidades em IPv6

3. Conceito
O que é IPv6?
É a versão mais recente do Internet Protocol (Protocolo de Internet), padrão usado para a
comunicação entre todos os computadores ligados a internet.O lançamento da v6 foi em junho de 2012,
quando a quantidade de endereços IPv4 estavam se esgotando (4,29 bilhões de IPs).

4. Configuração manual ou via DHCP
Comparação
Comparativo entre IPv4 e IPv6
IPV4
32 bits para endereçamento
Cabeçalhos com campos não utilizados e pouco
otimizado. Fragmentação também nos roteadores
É comum utilização de NAT
IPSEC opcional
Sem tamanho mínimo para uma rede local
128 bits para endereçamento
Cabeçalho melhorado, mais simples e versátil.
Fragmentação de pacotes apenas nas pontas
Não requer uso de NAT
Suporte obrigatório ao IPSEC
Configuração automática, manual ou via DHCP
Tamanho mínimo de uma rede local é um /64
IPV6

5. Comparação
Comparativo entre IPv4 e IPv6

6. Conceito
Endereçamento
Um endereço IPv4 é formado por 32 bits. 2³² = 4.294.967.296
Um endereço IPv6 é formado por 128 bits.2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456
~ 56 octilhões (5,6x1028) de endereços IP por ser humano. ~ 79 octilhões (7,9x1028) de vezes a
quantidade de endereços IPv4.

7. Comparação
Endereçamento
Agrupamento de 16 bits Oito quartetos de caracteres em hexa, separados por “:”
Cada caractere representa 4 bits
1456:0000:02cd:0012:000c:0000:0000:0d45
1456:0:2cd:12:c:0:0:d45
1456:0:2cd:12:c::d45

8. Mitos e Verdades
Mercado negro de IPv4;
IPv6 é mais seguro que IPv4;
O IPv6 acabará com a necessidade de NAT;
Os próximos 5 anos serão mais simples com IPv6;
Existe broadcast no IPv6;
Mitos ou verdades?

9. Ferramentas
Teste online
Esta ferramenta online é capaz de testar se o host tem capacidade de acessar redes IPv6.
http://test-ipv6.com/

10. Ferramentas
Sites Compatíveis
Esta ferramenta verifica compatibilidade de hosts.
https://www.ultratools.com/tools/ipv6reports

11. Ferramentas
Sistemas operacionais

12. Ferramentas
Ativando IPv6 no Debian, Ubuntu e Slackware
Adicionar ao arquivo /etc/network/interfaces
iface eth0 modprobe ipv6
pre-up modprobe ipv6
Adress ‘endereço ipv6
Netmask 64
Gateway ‘endereço IPv6 do gateway’
Forçar reinicialização da interface de rede:
Ifup –force eth0

13. IPSEC
Conceito
IPSec, é uma estrutura de padrões abertos que definem políticas para comunicação segura em uma rede
(confiabilidade, integridade e autenticidade).

14. IPSEC
Elementos
Cabeçalho de autenticação (AH) – efetua uma autenticação e verificação da integridade dos
dados. O processo de autenticação impede a recepção em estações sem autorização, evita eventuais
tentativas de falsificação ou alteração de informações ao longo da rota. Não permite a criptografia dos
dados, portanto é útil principalmente quando a verificação da integridade é necessária, mas não o sigilo.
Carga de empacotamento (ESP) – é uma forma de transporte segura e tempo finalidade evitar
a interceptação, a leitura dos dados por terceiros, ou uma eventual cópia dos dados. Além disso, ele
também fornece verificação de integridade.

15. IPSEC – Modos de Funcionamento
Modo Transporte
Nesse modo apenas o segmento da camada de transporte é processado, ou seja , autenticado e
criptografado. Nesse caso o cabeçalho IPSec é inserido logo após do cabeçalho IP. O campo Protocol do
cabeçalho IP é alterado pra indicar que um cabeçalho IPSec segue o cabeçalho IP normal. O cabeçalho
IPSec possui informações de segurança, principalmente o identificador SA, um novo número de
sequência e, possivelmente alguma verificação da carga.

16. IPSEC – Modos de Funcionamento
Modo Túnel
Nesse modo, todo o pacote IP é autenticado ou criptografado. No modo túnel, todo o pacote IP,
incluindo o cabeçalho, é encapsulado no corpo de um novo pacote IP com um cabeçalho IP
completamente novo. Esse modo é útil quando o túnel termina em um local diferente do destino final.
Também é útil quando um conjunto de conexões TCP é agregado e tratado como um único fluxo
codificado, pois isso evita com que terceiros descubram quem está enviando, quem está recebendo e a
quantidade de pacotes circulados pela rede. Muitas vezes um simples conhecimento da quantidade de
tráfego e de seu destino é uma informação valiosa.

17. IPSEC
Site-to-site
http://www.cisco.com/c/dam/en/us/td/i/100001-200000/140001-150000/146001-147000/146001.ps/_jcr_content/renditions/146001.jpg

18. VPN
Site-to-site
http://labcisco.blogspot.com.br/2013/06/vpn-site-to-site-baseada-em-ipv6.html

19. IPSEC
Principais Vantagens
Suporte em várias plataformas de sistemas operacionais;
Utilizar VPN com IPSEC VPN
Escalabilidade independente da aplicação
Desvantagens
Complexidade;

20. ICMPv6
Protocolo de Mensagens de Controle da Internet
Internet Control Message Protocol (ICMPv6) é um padrão IPv6 necessário. Com o ICMPv6, os
hosts e roteadores que usam a comunicação IPv6 podem reportar erros e enviar mensagens de eco
simples.

21. ICMPv6
Diferenças
As mudanças foram nos novos tipos de mensagens:
De 0 a 127 – Mensagens de erros De 128 a 255 – Mensagens informativas

22. Firewall em IPv6
IP6tables
ip6tables -A INPUT -p icmpv6 -j ACCEPT
EX:
# ip6tables -A FORWARD -d 2001:470:db7e:8000::3 -p tcp --dport 80 -j ACCEPT
Liberar o acesso de uma máquina é simples:
apt-get install iptables
Nos sistemas atuais:

23. Descoberta de Vizinhança (Neighbor Discovery)
Neighbor Discovery
É um protocolo no conjunto de protocolos de Internet usado com Internet Protocol versão 6 (IPv6). Atua
no Link Layer do modelo de Internet ( RFC 1122 ), e é responsável pela configuração automática de endereços de
nós, a descoberta de outros nós da ligação, determinando os endereços dos outros nós, detecção de endereços
duplicados, encontrar roteadores disponíveis e Domain Name System (DNS) servidores, descoberta endereço
prefixo, e manter acessibilidade informação de outros nós vizinhos.
 determinar o endereço MAC dos nós da rede;
 encontrar roteadores vizinhos;
 determinar prefixos e outras informações de
 configuração da rede;
 detectar endereços duplicados;
 determinar a acessibilidades dos roteadores;
 redirecionamento de pacotes;
 autoconfiguração de endereços.
Dinâmica dos processos

24. Descoberta de Vizinhança (Neighbor Discovery)

25. Ataques e Vulnerabilidades
Slaac Attack ( Estado do Endereço da autoconfiguração)
Um novo tipo de ataque MITM que em resumo cria um roteador IPv6 na rede da vítima forçando que
todo o tráfego IPv6, incluindo o IPv4, passe pelo computador do atacante, já que esse falso roteador se tornará o
default gateway da vítima.

26. Ataques com THC IPv6
fake_router6: anunciar-se como um roteador na rede, com a maior prioridade
http://tools.kali.org/information-gathering/thc-ipv6
alive6: um scanng vivo eficaz, que irá detectar todos os sistemas de ouvir este endereço
redir6: redirecionar o tráfego para você de forma inteligente (man-in-the-middle) com um icmp6 inteligente
sendpees6: uma ferramenta que gera um pedido de solicitação de vizinhança com um monte de cgas (material
de criptografia para manter a CPU ocupada);
Pode ser baixada em: http://freeworld.thc.org/releases/thc-ipv6-1.2.tar.gz
Ferramentas do THC IPv6
No Kali Linux:

27. Como se proteger?
O ataque foi possível, porque toda a estrutura da rede
estava configurada em IPv4 (servidores e rotas). O Ipv6 está
ativado mas não está sendo utilizado, podendo então ser
explorado.
O intuito do ataque, além de direcionar a vítima para
outros lugares, poderia ser também possível criar uma nova rede
IPv6, já que os hosts estão com o protocolo ativado.
http://resources.infosecinstitute.com/slaac-attack/

28. REFERÊNCIAS
http://codigofonte.uol.com.br/noticias/6-mitos-a-derrubar-nas-discussoes-sobre-ipv6
https://pt.wikipedia.org/wiki/Exaust%C3%A3o_do_IPv4
http://ipv6.com/articles/security/IPsec.htm
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6/configuration/15-2s/ipv6-15-2s-book/ip6-ipsec.html
http://www.gta.ufrj.br/grad/04_1/vpn/Script/RDIIPSec.html
https://en.wikipedia.org/wiki/Internet_Control_Message_Protocol_version_6
http://resources.infosecinstitute.com/slaac-attack/
http://tools.kali.org/information-gathering/thc-ipv6
Acessados em 09/06/2016.

29. DÚVIDAS

30. OBRIGADO!