- Seguridad en Autoconfiguración y autorización de direcciones. Amenaza de Denegación (DoS) o suplantación de identidad , Man in the Middle. (Disponibilidad, Autenticidad)
- Seguridad en Protección de los paquetes IP. ( Confidencialidad, Integridad )
- Seguridad en Control del tráfico de y hacia internet. ( Autorización, control acceso )
Vamos a discutir estos tres aspectos a los que dedicaré una entrada independiente para cada uno.
Comencemos pues:
- Seguridad en la Autoconfiguración y Autorización para las direcciones y configuraciones automáticamente asignadas
Bien, como sabemos, una de las novedades de IPv6 es la autoconfiguración de la dirección IP. Esto puede hacerse por dos métodos: stateless o stateful .
En la autoconfiguración stateless el host genera su dirección IP bien a partir de su propia MAC o bien generando una direccion aleatoria. Durante este este proceso el host interroga al entorno de red por si algún dispositivo está usando esa dirección. Además si está conectado a una red donde exista un enrutador recibirá de él el resto de parámetros, como puede ser el prefijo de red. Estas acciones se realizan siguiendo el protocolo Neighbor Discovery Protocol (NDP) descrito por el RFC 2461 y a través de los mensajes Neighbor Solicitation, Neighbor Advertisement, Router Solicitation y Router Advertisement.
Aquí ya surge la primera amenaza de un posible ataque de DoS si un host malicioso interceptara y propagase un mensaje de Neighbor Solicitation, informando que la dirección solicitada está en uso (ICMP 136) e impidendo el acceso a la red (DoS)
Del mismo modo el atacante pude hacerse pasar por un router estableciendo un ataque Man in the Middle atacando al mensaje Router Solicitation (ICMP 133) con el Router Advertisement (ICMP 134).
ATAQUE DoS
 |
| Neighbor Solicitation ICMP 135 (Duplicate Address Detection) y ataque con ICMP 136 (Direccion ocupada) |
Del mismo modo el atacante pude hacerse pasar por un router estableciendo un ataque Man in the Middle atacando al mensaje Router Solicitation (ICMP 133) con el Router Advertisement (ICMP 134).
En la configuración stateful, la dirección IP se obtiene por DHCPv6 (RFC 3315) que puede ser blanco también de los mismos ataques que la autoconfiguración stateless por alguien mailintencionado que generase los mensajes DHCPv6.
En resumen, el ataque de spoofing ARP de IPv4/icmp se convierte en un ataque NDP spoofing en IPv6/icmpv6
En resumen, el ataque de spoofing ARP de IPv4/icmp se convierte en un ataque NDP spoofing en IPv6/icmpv6
 |
| Mensajes informativos ICMPv6 |
Recomendaciones de Seguridad
Contra esta amenaza de denegación o suplantación (DoS o Man in the Midle), concluimos que la solución pasa por autentificar al dispositivo en capa 2 antes de darle acceso a la capa de red que inicie la autoconfiguración de IP.
Una opción posible contra este problema la ofrece el protocolo de capa 2 SEND (SEcure Neighbor Discovery, RFC 3971) que es una extensión de NDP, y que haciendo uso de criptografía asimétrica y firma electrónica autentifica un host antes de permitirle acceso a la capa de red . SEND aún no es implementado por muchos sistemas operativos, careciendo de él, por ejemplo los de Microsoft (Vista, XP, Server 2008, Server 2003...).
Otra opción, esta ya más extendida y soportada por la mayoría de Sistemas ( incluido Microsoft }:-) ) es la autenticación en capa 2 manejada por el protocolo 802.1X basado en EAP ( Protocolo de Autenticación Extensible RFC 2284 )que del mismo modo, provee la autenticación de un dispositivo en un switch (red cableada) o en un Punto de Acceso inalámbrico antes de permitirle mandar tráfico a la red.
No hay comentarios:
Publicar un comentario