sábado, 14 de mayo de 2011

Notas de Seguridad en IPv6: Seguridad en la autoconfiguración de direcciones

Con la inevitable llegada de IPv6 llegarán nuevas amenazas para la seguridad de la información. Por ello, además de ir planeando la actualización de protocolos y equipos a IPv6 habrá revisar las implicaciones a nivel de seguridad, y teniendo en cuenta aquellas características necesarias de este protocolo debemos hacer hincapié en:

  1. Seguridad en Autoconfiguración  y autorización de direcciones. Amenaza de Denegación (DoS) o suplantación de identidad , Man in the Middle. (Disponibilidad, Autenticidad) 
  2. Seguridad en Protección de los paquetes IP. ( Confidencialidad, Integridad )
  3. Seguridad en Control del tráfico de y hacia internet. ( Autorización, control acceso )
Vamos a discutir estos tres aspectos a los que dedicaré una entrada independiente para cada uno.

Comencemos pues: 

  1. Seguridad en la Autoconfiguración y Autorización para las direcciones y configuraciones automáticamente asignadas

Bien, como sabemos, una de las novedades de IPv6 es la autoconfiguración de la dirección IP. Esto puede hacerse por dos métodos: stateless o stateful .

En la autoconfiguración stateless el host genera su  dirección IP bien a partir de su propia MAC o bien generando una direccion aleatoria. Durante este este proceso el host interroga al entorno de red  por si algún dispositivo está usando esa dirección. Además si está conectado a una red donde exista un enrutador recibirá de él el resto de parámetros, como puede ser el prefijo de red. Estas acciones se realizan siguiendo el protocolo Neighbor Discovery Protocol (NDP) descrito por el RFC 2461 y a través de  los mensajes Neighbor Solicitation, Neighbor Advertisement, Router Solicitation y Router Advertisement. 
Aquí ya surge la primera amenaza de un posible ataque de DoS  si un host malicioso interceptara y  propagase un mensaje de Neighbor Solicitation, informando que la dirección solicitada está en uso (ICMP 136) e impidendo el acceso a la red (DoS)
ATAQUE DoS

Neighbor Solicitation ICMP 135 (Duplicate Address Detection) y ataque con ICMP 136 (Direccion ocupada)

Del mismo modo el atacante pude hacerse pasar por un router estableciendo un ataque  Man in the Middle atacando al mensaje Router Solicitation (ICMP 133) con el Router Advertisement (ICMP 134).


En la configuración stateful, la dirección IP se obtiene por DHCPv6 (RFC 3315) que puede ser blanco también de los mismos ataques que la autoconfiguración stateless por alguien mailintencionado que generase los mensajes DHCPv6.

En resumen, el ataque de spoofing ARP de IPv4/icmp se convierte en un ataque NDP spoofing en IPv6/icmpv6
Mensajes informativos ICMPv6

Recomendaciones de Seguridad

Contra esta amenaza  de denegación o suplantación (DoS o Man in the Midle), concluimos que la solución pasa por autentificar al dispositivo en capa 2 antes de darle acceso a la capa de red que inicie la autoconfiguración de IP.
Una opción posible contra  este problema la ofrece el protocolo de capa 2 SEND (SEcure Neighbor Discovery, RFC 3971) que es una extensión de NDP, y que haciendo uso de criptografía asimétrica y firma electrónica autentifica un host antes de permitirle acceso a la capa de red . SEND aún no es implementado por muchos sistemas operativos, careciendo de él, por ejemplo  los de Microsoft (Vista, XP, Server 2008, Server 2003...).
Otra opción, esta ya más extendida y soportada por la mayoría de Sistemas  ( incluido Microsoft }:-)  ) es la autenticación en capa 2 manejada por el protocolo 802.1X basado en EAP  ( Protocolo de Autenticación Extensible RFC 2284 )que del mismo modo, provee la autenticación de un dispositivo en un switch (red cableada) o en un Punto de Acceso inalámbrico antes de permitirle mandar tráfico a la red. 

No hay comentarios:

Publicar un comentario