IPv6 – nove´ (ne)bezpeˇc´ı? Ondˇrej Caletka ˇ Studentska´ unie CVUT v Praze, klub Silicon Hill
22. unora 2011 ´
ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
1 / 14
Silicon Hill ˇ Studentsk´y klub Studentske´ unie CVUT Zajiˇst’uje provoz s´ıteˇ na kolej´ıch Strahov Technologie Cisco Catalyst 6509, 3750, 29xx ˇ ´ r 10 Gbps pˇripojen´ı do s´ıteˇ CVUT, n×1 Gbps pateˇ
V´ıce neˇz 4000 pˇripojen´ych uˇzivatelu˚ 147.32.112.0/20 - 4096 IPv4 adres IPv4 adresy doˇsly kolem roku 2005
IPv6 v provozu od roku 2004
ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
2 / 14
IPv6 Nov´y protokol s´ıt’ove´ vrstvy: ´ r´ı novou s´ıt’, nekompatibiln´ı s IPv4. Vytvaˇ Kompatibiln´ı s protokoly jin´ych vrstev (TCP, UDP, HTTP, FTP, Ethernet, PPP).
IPv6 adresa: ´ e/lok ˇ ´ eˇ unikatn´ ´ ı identifikator ´ ´ Globaln aln a lokator. ´ ı prefix. 48 bitu˚ globaln´ ´ ˇ 16 bitu˚ identifikator pods´ıte. ´ 64 bitu˚ identifikator rozhran´ı (1018 adres).
´ ım NAT: Nepoˇc´ıta´ s pouˇz´ıvan´ Bezpeˇcnost maj´ı zajiˇstovat firewally. I dalˇs´ı v´yhody“ NATu maj´ı v IPv6 alternativn´ı ˇreˇsen´ı. ” ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
3 / 14
´ et ˇ IPv6 Proˇc zavad ´ vyˇcerpan´ ´ ı IPv4 adres. Pouˇz´ıvan´ ´ ı Nastala faze ´ zku v rozvoji Internetu. IPv4 pˇredstavuje pˇrekaˇ Zaˇcnou se objevovat sluˇzby jen na IPv6. ´ zˇ e nejak ˇ a´ autorita IPv4 adresy Je moˇzne, ´ ı situace na trhu. odebere pro narovnan´ Potˇrebujeme-li veˇrejne´ IP adresy, jsou IPv6 ˇ s´ı. adresy v´yrazneˇ dostupnejˇ
ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
4 / 14
´ ı s´ıti IPv6 v lokaln´ Neexistuje spolehliv´y zpusob, jak pˇristupovat ˚ z IPv4 do IPv6 s´ıteˇ a naopak. Doporuˇcen´ym ˇreˇsen´ım je dual-stack, tedy ˇ souˇcasn´y provoz IPv6 a IPv4 s´ıte. ´ ˇ Je tˇreba souˇcasneˇ udrˇzovat dveˇ nezavisl e´ s´ıte. Nen´ı jednoduche´ udrˇzet pevnou vazbu mezi IPv4 adresou a IPv6 adresou.
ˇ an´ ´ ı se v lokaln´ ´ ıch s´ıt´ıch IPv6 se Smerov konfiguruje automaticky: ˇ ´ sen´ı Smerovaˇ ce vys´ılaj´ı do s´ıteˇ ohlaˇ (Router Advertisment) ´ sen´ı okamˇziteˇ konfiguruj´ı sve´ Stanice po pˇrijet´ı ohlaˇ ˇ smerovac´ ı tabulky. ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
5 / 14
Nebezpeˇc´ı automaticke´ konfigurace Souˇcasne´ implementace IPv6 (Windows, Linux) nepodporuj´ı kryptograficke´ zabezpeˇcen´ı autokonfigurace (SeND). ´ cn´ık muˇ ˇ Utoˇ ca ˚ ze napˇr. pˇredst´ırat smerovaˇ pˇrevz´ıt veˇsker´y IPv6 provoz: ˇ s´ı utoˇ Nejˇcastejˇ ´ cn´ık: Windows Vista a vyˇssˇ ´ı plus sluˇzba Internet Connection Sharing. ´ ˇ ´ ı i po Zaznamy ve smerovac´ ı tabulce zust ˚ avaj´ ˇ ı sˇ kodliveho ´ smerovaˇ ˇ odstranen´ ce a zpusobuj´ ı ˚ nefunkˇcnost konektivity.
Take´ je moˇzne´ zneuˇz´ıt detekci duplicitn´ıch adres k utoku typu DoS. ´ ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
6 / 14
ˇ an´ ´ ı komunikace Pˇresmerov
ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
7 / 14
ˇ Obrana proti faleˇsn´ym smerovaˇ cum ˚ ˇ RA-guard na pˇr´ıstupove´ vrstve: ´ Pˇrijde-li RA z neautorizovaneho portu, nen´ı ˇ propuˇsteno a port se vypne. Vyˇzaduje pˇrep´ınaˇce, ktere´ rozum´ı IPv6. Obdoba DHCP snoopingu pro IPv4.
´ poˇc´ıtaˇci na segmentu: RAmond na libovolnem ´ sen´ı, kter´ym ruˇs´ı uˇ Vys´ıla´ protiohlaˇ ıho. ´ cinky puvodn´ ˚ ´ Pouze workaround, nejedna´ se o systemov e´ ˇreˇsen´ı.
ˇ Vysoka´ priorita autoritativn´ıch smerovaˇ cu: ˚ ´ cna´ obrana proti rozkonfigurovan´ym MS Pouze cˇ asteˇ ´ ı utoˇ Windows, nezabran´ ´ cn´ıkovi.
Ruˇcn´ı konfigurace. ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
8 / 14
Automaticka´ konfigurace IPv6 adres Bezestavova´ autokonfigurace (SLAAC) ´ ı z automaticke´ konfigurace smerov ˇ an´ ´ ı. Vychaz´ ˇ ´ sen´ı sdeluje ˇ Smerovaˇ c v ohlaˇ 64-bitov´y prefix. ´ Klient k prefixu pˇripoj´ı vlastn´ı identifikator rozhran´ı, tak vytvoˇr´ı svou adresu.
DHCPv6 Obdoba protokolu DHCP pro IPv4. ˇ ˇ ´ ı Umoˇznuje mj. i pˇridelovat adresn´ı prefix pro domac´ ˇ smerovaˇ ce. ˇ cn´y, potˇrebuje RA. Nen´ı sobestaˇ
ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
9 / 14
´ Uskal´ ı bezestavove´ autokonfigurace ´ ze pˇridelit ˇ pouze IP adresu, nikoli DNS, Dokaˇ NTP, SIP server, atd. ´ s identifikatory ´ Problem rozhran´ı: ´ ´ Identifikator rozhran´ı je obecneˇ nahodn e´ cˇ ´ıslo. ˇ Nekter e´ implementace ho odvozuj´ı z MAC adresy. ´ ´ ˇ Nahodn´ y identifikator se muˇ ˚ ze v cˇ ase menit.
´ s de-anonymizac´ı poˇc´ıtaˇcu. Problem ˚ Moˇzna´ ˇreˇsen´ı: Filtrovat pouze adresy, ktere´ jsou odvozeny z MAC adres a kaˇzd´y poˇc´ıtaˇc zkonfigurovat. ´ ˇ Zaznamenavat tabulky sousedu˚ na smerovaˇ c´ıch ´ (MAC adresy odpov´ıdaj´ıc´ı IPv6 adresam). ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
10 / 14
DHCPv6 K identifikaci poˇc´ıtaˇce se nepouˇz´ıva´ MAC adresa, ale DHCP Unique Identifier (DUID): ´ Identifikator spoleˇcn´y pro cel´y poˇc´ıtaˇc. ´ ˇ eˇ HW. Nezavisl´ y na obmen Obvykle se pouˇz´ıva´ linkova´ adresa libovolne´ s´ıt’ove´ ´ karty a cˇ as prvn´ıho startu operaˇcn´ıho systemu.
Narozd´ıl od SLAAC: Pracuje i s delˇs´ımi prefixy, neˇz 64 bitu. ˚ ˇ Pˇrideluje kompletn´ı sadu informac´ı. ´ ze pˇridelit ˇ i adresn´ı prefix (pro domac´ ´ ı Dokaˇ ˇ smerovaˇ ce). DHCPv6 server ma´ pˇrehled, ktere´ adresy byly ˇ ´ pˇrideleny, ostatn´ı mohou b´yt napˇr. filtrovany. ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
11 / 14
Jak se vyhnout dual-stacku Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) ´ ı IPv6 provozu po IPv4 v lokaln´ ´ ıch s´ıt´ıch. Tunelovan´ IPv6 adresa je odvozena od IPv4 adresy. ´ Nativneˇ podporovano ve Windows.
Aplikaˇcn´ı proxy servery ´ IPv6 na proxy server. Vhodne´ pro start – staˇc´ı zavest HTTP proxy Squid podporuje IPv6 od verze 3.1. SOCKS protokol verze 5 podporuje IPv6.
NAT64 Navrhovan´y standard pro pˇripojen´ı IPv6 klientu˚ k IPv4 serverum. ˚ Umoˇzn´ı eliminovat v koncove´ s´ıti IPv4. ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
12 / 14
Dalˇs´ı postˇrehy ´ ı ICMP zprav, ´ zejmena ´ Pozor na blokovan´ v ´ ım povolen´ych IPv6 adres. kombinaci s filtrovan´ Toto je bohuˇzel v´ychoz´ı konfigurace Windows. Prakticky se projevuje zdrˇzen´ım cca. 30 sekund pˇri pokusu o pˇr´ıstup na dual-stack sluˇzbu. ´ t´yka´ 0,5% Podle v´yzkumu Google se tento problem uˇzivatelu˚ Internetu.
ˇ Nekdy muˇ ˚ ze b´yt vhodne´ upravit tabulku preferovan´ych adres: Napˇr´ıklad preferovat IPv4 pˇred IPv6.
ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
13 / 14
Konec ˇ Dekuji za pozornost.
5. – 6. bˇrezna 2011 ˇ Ondˇrej Caletka (SU CVUT)
IPv6 – nove´ (ne)bezpeˇc´ı?
22. unora 2011 ´
14 / 14