(Ne)bojím se IPv6!
Matěj Grégr Vysoké učení technické v Brně, Fakulta informačních technologií
[email protected] LinuxAlt 2013 Děkuji Tomáši Podermańskému za poskytnutí slajdů a videí 1
Bezpečnost a IPv6?
2
IPv4 – autokonfigurace adresy
3
IPv4 – autokonfigurace adresy DHCP
4
IPv4 – autokonfigurace adresy ARP
5
IPv4 – autokonfigurace adresy Běžný provoz (http)
6
Důležitost first hop security “Ukradení” adresy IP kterou používá jiné zařízení Podvržení adresy IP Podvržení adresy MAC
Otrávení ARP Falešný DHCP server Trojan.Flush.M,
Trojan:W32/DNSChanger
7
IPv4: First hop security ① Port security Povoleny pouze předkonfigurované adresy MAC Omezení počtu MAC na port – zabránění MAC flooding
8
IPv4: First hop security ② DHCP snooping Port je odblokován až po přidělení adresy z DHCP serveru
9
IPv4: First hop security ③ ARP protect Využívá DHCP snooping databázi Ochrana před podvržením MAC
IP lockdown Využívá DHCP snooping databázi Ochrana před podvržením IP
10
IPv4: First hop security – shrnutí Port security + DHCP snooping + ARP protect + IP lockdown + (Radius) Pouze klient povolený na DHCP serveru má povoleno přístup do sítě Ochrana před: útočníkem špatnou konfigurací špatnými ovladači síťových karet Worm/Virus 11
IPv6 Rozdílný způsob konfigurace adres Bezstavová DHCPv6
Síťové rozhraní může mít více IPv6 adres
12
Autokonfigurace & objevení sousedů
• IPv6 – DAD, RS/RA, DHCPv6, MLDv2, ND
13
Autokonfigurace & objevení sousedů
• IPv6 – DAD, RS/RA, DHCPv6, MLDv2, ND MLDv2
G: ff02::1:ff4b:d6:e3
G: ff02::1:ff4b:d6:e3
14
Autokonfigurace & objevení sousedů
• IPv6 – DAD, RS/RA, DHCPv6, MLDv2, ND DAD
15
Autokonfigurace & objevení sousedů
• IPv6 – DAD, RS/RA, DHCPv6, MLDv2, ND SLAAC
16
Autokonfigurace & objevení sousedů
• IPv6 – DAD, RS/RA, DHCPv6, MLDv2, ND
DHCPv6
17
Autokonfigurace & objevení sousedů
• IPv6 – DAD, RS/RA, DHCPv6, MLDv2, ND
MLDv2
G: ff02::1:ffb0:5ec2
G: ff02::1:ffb0:5ec2
18
Autokonfigurace & objevení sousedů
• IPv6 – DAD, RS/RA, DHCPv6, MLDv2, ND
ND
19
Autokonfigurace & objevení sousedů
• IPv6 – DAD, RS/RA, DHCPv6, MLDv2, ND
Běžný provoz (http)
20
DAD – DoS attack 1. Host: Můžu použít adresu 2001:db8::aaaa? 2. Útočník: Ne! Už se používá! 3. Host: Můžu použít adresu 2001:db8::aaab?
4. Útočník: Ne! Už se používá! 5. … Lze použít thc-toolkit (http://thc.org/thc-ipv6/):
#dos-new-ipv6 eth0 21
DAD – DoS attack
22
DAD – DoS attack
23
DAD – DoS attack Widows Vyzkouší 5 pokusů, pak to vzdá
Linux Záleží na distribuci – většinou DAD ignoruje
Směrovače HP/Cisco Danou adresu nepoužívá
Výsledek: Znemožnění komunikace přes IPv6
24
Router Advertisement flood Posílá velké množství RA paketů thc-toolkit (http://thc.org/thc-ipv6/):
# flood_router6 eth0 Windows Vista/7/8, MAC zamrznout/spadnou
Linux útok ustojí O problému se ví cca 3 roky
25
Video
http://6lab.cz/article/ipv6-ra-flood-dos-attack-in-windows-8/
26
Router Advertisement flood 2.0
27
Could be worse!
28
MitM Majorita operačních systémů podporuje IPv6 Všechny implementují bezstavovou konfiguraci pro získání adres Windows Vista/7, Linux, Mac OS, iOS, *BSD
Zneužití autokonfigurace pro MitM útok: RA + DHCPv6 Klientovi vnutíme pomocí DHCPv6 vlastní adresy DNS serverů Podvrhneme A/AAAA záznamy pro webové stránky, které nás zajímají e.g. www.facebook.com, www.google.com
Spustíme transparentní proxy pro odposlech/modifikaci stránek
29
MitM
www.vutbr.cz 147.229.2.15 router
utočník
30
MitM
router
utočník
Router advertisement Nastaven příznak M nebo O DHCPv6 server jsem JÁ 31
MitM
DHCPv6 query Jaké jsou DNS servery?
router
utočník
32
MitM
router
DNS server jsem JÁ utočník
33
MitM
www.vutbr.cz 10.10.10.1
router
utočník
34
Video
http://6lab.cz/article/the-man-in-the-middle-attack-usingipv6/
35
Obrana? SeND (RFC 3971, March 2005) Podepisuje NS/NA zprávy Potřebuje PKI Jak nastavit certifikát klientovi?
Vlastní typ adresy, nekompatibilní s: Manuální IPv6, EUI-64, Privacy extension
RA-Guard, PACL (RFC 6105, February 2011), DHCPv6 snooping Zahazuje falešné zprávy RA (RA snooping)
SAVI (draft-ietf-savi-*) Komplexní řešení – DHCPv6, RA, kontrola podvržení adresy Podobné jako ND Inspection (Cisco/HP) 36
Bypassing RA guard Rozšířené hlavičky!
http://6lab.cz/article/rogue-router-advertisement-attack/ 37
Bypassing ACL Jednoduché pakety (ICMPv6) lze jednoduše generovat např. pomocí Scapy Jak vytvořit TCP spojení? Vlastní kernel modul pro obejití ACL!
38
Video
http://6lab.cz/article/bypassing-acl-using-extensionheaders/
39
Rogue DHCP server
✔
All together
IP source guard, dynamic IP lockdown
ARP inspection, ARP protection
DHCP snooping
IPv4: First hop security
✔
ARP poisoning
✔
Forces users to use DHCP
✔
✔ ✔
✔
Source IPv4 address spoofing
✔
✔
Source MAC address spoofing
✔
✔
✔
✔
Require support on access port
✔
✔
40
✔
Intentional rouge router advertise
✔
✔
✔
✔
✔
✔
✔
✔
SEND
✔
Blocking IPv6
✔
✔
Disabling IPv6
Accidently rogue router advertise
SAVI, ND inspection
Rogue DHCPv6 server
ACL/PACL
Undetermined traffic option (Cisco).
RA-Guard
IPv6: First hop security
ND cache poisoning
✔
✔
✔
✔
Source IPv6 address spoofing
✔
✔
✔
✔
DAD DOS attack
✔
✔
✔
Neighbour cache overload
✔
✔
✔
Source MAC address spoofing
✔
✔
✔
Requires support on access switches Requires support or configuration on client side
✔
✔
✔
✔ ✔
✔ 41
Cena za bezpečnost ARP inspection, ARP protection ✔
1x HP 2910-48G al Switch (J9147A) 3x HP 2910-24G al Switch (J9145A)
$96.23
✔
✔
✔
1x HP 5412-96G zl Switch (J8700A) 3x HP 24-port 10/100/1000 PoE zl Module (J8702A)
✔
✔
✔
1x HP 5800-48G Switch (JC105A) 3x HP 5800-24G Switch (JC100A)
✔
✔
✔
$138.18
✔
✔
$250.21
✔
✔
SAVI, ND inspection
✔
PACL
DHCP snooping
3x HP 24-port Gig-T vl Module (J8768A)
RA guard
$58.90
price per port 1x HP 4208-96 vl Switch (J8775B)
IP source guard, dynamic IP lockdown
Přístupové prvky pro 150 uživatelů, 168 portů, 1Gb/s, bez PoE
✔
Instalace s 150 porty 96$ * 150 - $14 400 $138 * 150 = $20 700 (~ 40% větší náklady ) $250 * 150 = $37 500 ( ~ 160% větší náklady )
Ceny z http://www.amazon.com/ (list prices) 42
43
Shrnutí Nasazení IPv6 může přinášet bezpečnostní problémy Bezpečnostní politika pro IPv4 se automaticky neaplikuje pro IPv6 Firewall, IDS, … vše konfigurujeme 2x Bezpečnostní politiky pro IPv6 by měly být shodné s IPv4
Pozor na nemonitorovaný IPv6 provoz! Tunelovací mechanismy většina zařízení nedokáže blokovat
Propagátoři IPv6 nejsou zodpovědní za vaši síť V případě problému je vina na vás ne na nich!
Rozdílné prostředí, rozdílné nasazení Univerzity – otevřené, vcelku neatraktivní pro útok Firmy – podstatně vyšší riziko 44
Takže všude zakázat? Ideální je porozumět, nasadit a snažit se „zlepšit“ situaci
45
46
