Sei sulla pagina 1di 33

UNIVERSIDAD NACIONAL ANDRES BELLO

ANALISIS DE SEGURIDAD DE IPV6, PRUEBAS Y RECOMENDACIONES.

NICOLAS CONTADOR VILCHES

PROFESOR
GUA
CRISTIAN OLIVARES
RODRIGUEZ
-VIA DEL MAR-CHILE
DICIEMBRE-2013

Nicols Contador Vilches.

ndice

I.

Resumen............................................................................................................ 3

II

Investigacin Propuesta.......................................................................................... 4
II.1

Formulacin del Proyecto y Discusin Bibliogrfica....................................................4

II.1.2.3.2 Dispositivo falso o Rogue devices...............................................................17


II.1.2.3.3 Ataques de inundacin o Flooding attacks....................................................17
II.1.3

Discusin Bibliogrfica................................................................................... 23

II.2

Hiptesis de Trabajo..................................................................................... 26

II.3

Objetivos.................................................................................................... 26

II.3.1

Objetivos especficos................................................................................. 27

II.4

Metodologa................................................................................................ 27

II.5

Plan de Trabajo........................................................................................... 30

II.6

Productos Entregables.................................................................................. 30

II.7

Compromiso de Dedicacin a este Proyecto....................................................30

III

Trabajo Adelantado por el Autor del Proyecto.........................................................31

IV

Otros Antecedentes............................................................................................ 31

VI

Referencias Bibliogrficas................................................................................... 32

Nicols Contador Vilches.

I.

Resumen.
Debido al avance tecnolgico, el crecimiento de la Internet, la nueva generacin de

dispositivos mviles y la necesidad de conectividad, en los ltimos aos, el actual espacio de


direccionamiento IP se ha ido agotando hasta plantear la necesidad (a mediados de los 90) de un
nuevo enfoque y esquema de direccionamiento (IPv6) 1.
El problema del agotamiento del espacio de direcciones tuvo que mitigarse usando
extensiones (NAT), nuevas formas de administracin de direccionamiento (CIDR y VLSM), adems
de la reserva de rangos especiales (direcciones privadas), lo que gener problemas de
conectividad end-to-end (de dispositivo a dispositivo), nuevas tcnicas de pseu-identificacin de
dispositivos (DNS dinmico), redirecciones y problemas de seguridad.
Como cada dispositivo que requiere una conexin a Internet necesita de una direccin IP
vlida (pblica) y el espacio de direcciones disponibles ya est pronto a agotarse. Esto implica la
necesidad de reemplazar rpidamente el actual direccionamiento IPv4 por IPv6 o al menos
implementar tcnicas de transicin, como dual stack, tunneling o traduccin de direcciones (NAT64).
El espacio, casi inagotable, de direcciones IPv6, permitir que nuevas cosas o dispositivos
puedan conectarse a la Internet, con una direccin vlida para cada uno de ellos, permitiendo que
todo est directamente conectado a la Red, sin equipos intermediarios, ni traducciones de
direcciones. Esto significa una revolucin en las comunicaciones y la vuelta a la conectividad de
extremo a extremo sin la necesidad de dispositivos intermediarios.
Pero qu pasar con la seguridad de acceso y control de estos dispositivos? Podemos
solucionar el problema de la conectividad usando una de las tcnicas de transicin, sin embargo el
mayor reto est en la seguridad. No sabemos an que implicaciones tendr la adopcin de IPv6.
IPv6 va a llegar para quedarse y con ello nuevos productos y servicios y nuevos nichos de
negocio. Entonces, como usuarios, debemos prepararnos para lo que se nos viene, antes que los
proveedores de Internet. Ser como estar, por aos, esperando la apertura de una gran piscina, en
donde, por su profundidad, amplitud y turbiedad no sabemos a qu nos enfrentamos si nos
lanzamos de piquero a nadar o navegar.
En este documento se presenta un anlisis profundo a la seguridad de IPv6 y tanto
recomendaciones como guas de buenas prcticas, antes de implementar este protocolo en
nuestros dispositivos finales e intermediarios. La idea es conocer este protocolo y prepararse para
la transicin y el cambio definitivo.

LACNIC y el agotamiento de direcciones IPv4.


http://lacnic.net/en/anuncios/2007_agotamiento_ipv4.html

Nicols Contador Vilches.

II

II.1

Investigacin Propuesta.

Formulacin del Proyecto y Discusin Bibliogrfica .

La era de la Internet de las cosas ya lleg y pronto dar paso a la era de la Internet de todo
(IdT o IoE)2, donde casi cualquier cosa se podr conectar a la Red e IPv6 har esto posible. Pero
estas cosas sern presa de nuevos y desconocidos ataques informticos, durante la transicin a
IPv6 e incluso cuando la red sea completamente IPv6.
Hoy no se puede concebir la vida sin la Internet, esto cambi la forma en la que trabajamos,
estudiamos o nos divertimos. Esta herramienta ha cambiado la economa global, no hay empresa
que no est conectada a la Internet.
El crecimiento exponencial de Internet y su potencial, adems del avance tecnolgico, ha
permitido conectar, a la red, diversos dispositivos, cosas inteligentes que pueden entregar
informacin importante. Casi todas las cosas que vemos y nos rodean estarn conectadas a la
Internet, transmitiendo y recibiendo informacin, haciendo nuestra vida ms fcil y eficiente,
controlando y monitoreando el consumo de energa, verificando el trfico en tiempo real, un rbol
entregando informacin a cientficos, etc.
Segn el Grupo de soluciones empresariales basadas en Internet (IBSG), actualmente
estamos experimentando la Internet de las cosas, donde millones de dispositivos se conectan a
diario a Internet, adems indica que a medida que se conectan ms personas y nuevos tipos de
informacin, ingresaremos rpidamente a El Internet de Todo: (IoE, Internet of Everything), donde
las cosas que estaban calladas tendrn voz.
Cisco define la Internet de todo (IoE) como el fenmeno que rene a las personas, los
procesos, los datos y las cosas para lograr que las conexiones en red sean ms relevantes y
valiosas que nunca. Esto va a transformar la informacin en acciones, que pueden crear nuevas
capacidades, ms y mejores experiencias y oportunidades de negocio para las empresas y
personas.
Y Cules sern los contras? Con todas estas cosas conectadas a la Internet, nos
exponemos a muchos riesgos. Cualquiera se podra conectar a ellos, los podra estropear, obtener
informacin, intervenir un vehculo, expiar en una cmara, encenderlos y apagarlos, bajar los
servicios, saturar la red, capturar datos, etc.
Debemos prepararnos para lo que se nos viene, reforzando la seguridad de la red y de los
dispositivos. Es por esto que mi propuesta es la de realizar pruebas de seguridad a una red parcial
o completamente IPv6. Probar la seguridad de las redes y dispositivos y entregar
recomendaciones de seguridad y guas de buenas prcticas que permitirn, si estas se aplican
2

Cisco. La Internet de las coas y la Evolucin de Internet.

Nicols Contador Vilches.

correctamente, mitigar los ataques informticos a la red o a los dispositivos finales e intermediarios.

II.1.1 Marco terico.


Caractersticas de IPv6.
IPv6 est diseada para suceder a IPv4, debido a la necesidad de ms espacio de
direccionamiento. Las proyecciones demuestran que los Registros Regionales de Internet (RIR) se
quedarn sin direccionamiento entre el 2015 y el 2020.
Al actual direccionamiento se le han realizado algunas modificaciones, agregado servicios,
y extensiones como NAT, para evitar su colapso temprano.
IPv4 tiene, en teora, un mximo de 4.3 miles de millones de direcciones, menos varios
millones debido a la reserva de varios bloques, como multicast, direcciones experimentales,
direcciones privadas, direcciones de localhost, etc. Una direccin IPv4 tiene un largo de 32 bits.
Una direccin IPv6 tiene un largo de 128 bits, proveyendo un espacio de direccionamiento
de 340 decillones de direcciones, o sea, a cada tomo de cada persona de la tierra, se le podran
asignar 7 direcciones.
Para poder migrar a este nuevo direccionamiento y dejar de lado definitivamente a IPv4
falta mucho tiempo. IPv4 no est en peligro de desaparecer de la noche a la maana, debido a que
la Internet actual es mayoritariamente IPv4.
Actualmente existen varias tcnicas de transicin, de IPv4 a IPv6, que permiten a un
dispositivo coexistir en ambas redes.

Dual-Stack: Los dispositivos soportan ambos stack de protocolos simultneamente,


o sea, un equipo tiene doble direccionamiento, una direccin IPv4 y una direccin
IPv6.

Nicols Contador Vilches.

Figura 1. Dual Stack. Stack IPv4 e IPv6 instalados.

Figura 2. Dual Stack. Doble direccionamiento. Una direccin por


stack.

Tunnelling: Es un mtodo de transporte de un paquete IPv6 sobre una red IPv4. El


paquete IPv6 es encapsulado dentro de un paquete IPv4. Permite interconectar
islas IPv6.

Figura 3. Tnel IPv6 sobre IPv4.3


3

Cisco Networking Academy.

Nicols Contador Vilches.

Traduccin: Un paquete IPv6 es traducido a un paquete IPv4 y viceversa. Esto


permite que un dispositivo que es completamente IPv4 se comunique con redes
completamente IPv6. Un ejemplo es el NAT-64.

Figura 4. Traduccin de direccin de red.4


Existen tres tipos de direcciones IPv6 que utilizan los dispositivos para poder comunicarse con los
dems.5

Unicast: comunicacin de un dispositivo a otro. De uno a uno.

Multicast: comunicacin de un dispositivos a un grupo de dispositivos. Reemplaza


al broadcast cuando todos los hosts de la red pertenecen al mismo grupo multicast.

Anycast: comunicacin de un dispositivo al ms cercano, que pertenece a un


grupo con igual direccionamiento. Parecido a multicast, pero en vez de comunicar a
todos los del grupo, se comunica con uno de ellos, el ms cercano.

IPv6, adems define tipos de direcciones unicast:

Global unicast: una direccin globalmente nica, ruteable en Internet y se puede


asignar esttica y dinmicamente. Similar a direcciones pblicas IPv4. 2000::/3,
desde 2000 hasta la 3FFF.

Link-local: usada para comunicarse con otros dispositivos en el mismo enlace


local. No son ruteables a las de ms redes, son confinadas al enlace local.
FE80::/10, desde la FE80 hasta la FEBF

Loopback: usada para enviar paquetes a s mismo. Comunica procesos internos.


::1

Direccin no especificada: usada cuando un equipo no tiene an una direccin IP


asignada. ::/128

Cisco Networking Academy

http://www.rfc-es.org/rfc/rfc2460-es.txt

Nicols Contador Vilches.

Asignacin de direcciones IPv6 a dispositivos.


La asignacin o configuracin IPv6 de un hosts puede ser esttica o dinmica.

Asignacin esttica:
o

Configuracin manual. El administrador configura manualmente la direccin de la


interfaz.

Direccin construida usando el formato EUI-64. Se usa la direccin fsica MAC de


48 bits y la insercin de 16 bits, FFFE en hexadecimal, justo al medio, para completar
los 64 bits de identificador de interfaz.

Generacin automtica de un ID de interfaz privado. Se genera al azar un


identificador de interfaz de 64 bits. Es el mtodo usado por los sistemas operativos
Microsoft.

Asignacin dinmica:
o

Autoconfiguracin stateless (SLACC). Es un mtodo que permite a un dispositivo


obtener sus parmetros de direccionamiento (prefijo, largo de prefijo y default
gateway) desde un router IPv6, sin necesidad de un servidor DHCPv6. Usa, para
esto, mensajes ICMPv6.

DHCPv6. Similar a DHCPv4. Un cliente solicita parmetros de direccionamiento a un


servidor, quien ofrece y reserva por un tiempo esa direccin.

Caractersticas de IPv6.6
IPv6 fue diseado para ser ms simple y ms flexible que IPv4. Su encabezado es ms
simple, en comparacin al encabezado de IPv4, adems agrega extensiones que lo hacen ser un
protocolo muy flexible.

Diferencias entre IPv4 e IPv6.


6

http://www.rfc-es.org/rfc/rfc2460-es.txt

Nicols Contador Vilches.

Propiedad
Tamao de direccin y tamao

IPv4
Largo de direccin de 32 bits,

IPv6
Largo de direccin de 128 bits,

de red
Tamao del encabezado de

tamao de red de 2 a 24 bits.


De 20 a 60 bytes

tamao de red de 64 bits.


Fijo en 40 bytes

paquete
Fragmentacin

Router emisor, receptor e

Slo emisor puede fragmentar

intermediarios pueden

un paquete.

Protocolos de control

fragmentar un paquete.
Una mezcla de ARP, ICMP y

Slo ICMPv6

Mnima MTU permitida


Descubrimiento de MTU de la

otros protocolos.
576 bytes
No es usado, aunque es

1280 bytes
Muy recomendado y

ruta
Asignacin de direcciones

opcional.
Una por interfaz

ampliamente usado
Mltiples direcciones por
interfaz

Tabla 1. Comparacin entre IPv4 e IPv6.

IPv6 es ms simple que IPv4 debido a que el encabezado contiene menos campos, slo 8
campos, se eliminan varios y otros ofrecen los mismos servicios. 7

4
8
Cabecer
Tipo de
Versin
a
servicio

16

32

Longitud total
Desplazamiento de
Identificador
Flags
fragmentos
Tiempo de vida
Protocolo Control de errores de la cabecera
Direccin origen
Direccin destino
Opciones
Tabla 2. Cabecera de IPv4.

Algunos campos ya no son necesarios en IPv6, por ejemplo, los campos de fragmentacin
(banderas y desplazamiento del fragmento), debido a que los dispositivos intermediarios no
fragmentan, slo emisor y receptor y la fragmentacin se controla con extensiones en el encabezado.
El campo control de errores de cabecera (checksum), tampoco es necesario, como esta funcin la
realizan capas superiores, sera redundante hacerla en esta capa.
7

http://www.rfc-es.org/rfc/rfc2460-es.txt

Nicols Contador Vilches.

Versin

12

16

24
32

Clase de
trfico

Etiqueta de flujo
Siguiente
Lmite de
Longitud del paquete
cabecera
saltos
Direccin origen
Direccin destino
Tabla 3. Cabecera de IPv6.

Debido a las caractersticas nombradas ms arriba, IPv6 es ms eficiente que IPv4. No hay
una sobrecarga en los dispositivos, ya que no tienen que recalcular el checksum cada vez que
reciben un paquete, ni fragmentar, ya que hay un proceso de descubrimiento de la MTU antes de
enviar los paquetes. Adems, las extensiones permiten agregar servicios de seguridad, como IPsec,
movilidad IP, entre otras.
Direcciones IPv6.
Una direccin IPv6 consta de 128 bits, de los cuales una parte es de red y la otra es el
identificador de la interfaz. Normalmente cada parte es de 64 bits, para poder soportar algunas
tcnicas de asignacin de direcciones a interfaces de dispositivos. La parte de red, la de la izquierda,
es tambin conocida como prefijo y su largo es definido como largo de prefijo y se indica con un / y
un decimal, por ejemplo /64. El identificador de la interfaz es el resto e indica la direccin especfica
de un dispositivo y se puede asignar de forma manual o automtica.

Parte de Red
0

Identificador de Interfaz
63 64

128

Tabla 4. Partes de una direccin IPv6.

Asignacin y propsito de algunas direcciones IPv6.


Prefijo y largo
0::1/128
2000::/3
2001::/16
FE80::/10
FF00::/8

Propsito
Direccin de loopback. Comunica procesos locales de un dispositivo.
Espacio de direcciones globales unicast. Todas las direcciones globales.
Espacio de direcciones globales inicial de Internet. Reservado actualmente.
Espacio de direcciones Link-local. Comunica dispositivos en un enlace local.
Direcciones multicast. Identifican a grupos de dispositivos.

Nicols Contador Vilches.

10

Tabla 5. Algunos tipos de direcciones IPv6.

Un tipo de direccionamiento muy utilizado y de gran relevancia en seguridad, es el multicast y


es parte integral de IPv6 y como IPv6 no usa broadcast, unas direcciones multicast proveen ese
servicio. Todas las funciones de broadcast son soportadas por este tipo especial de direcciones.

Direccin Multicast
FF02::1

Propsito
Todos los hosts en un enlace local, todas las interfaces deben pertenecer a

FF02::2
FF02::1:FFxx:xxxx

este grupo
Todos los routers en un enlace local.
Multicast nodo solicitado.
Tabla 6. Tipos de direcciones multicast.

Descubrimiento

de

Vecinos

(Neighbor

Discovery),

Descubrimiento de Router (Router Discovery) y autoconfiguracin.


Estos servicios realizan operaciones muy importantes en IPv6, como el
descubrimiento de dispositivos en el enlace local, solicitud y ofrecimiento de
direccionamiento IP y la resolucin de direcciones de capa 2, entre otras. Un
punto muy importante a analizar por seguridad.
El estndar define varios protocolos de control usando ICMPv6.

Neighbor Discovery (ND): Los dispositivos usan este protocolo para


resolver o descubrir direcciones de capa 2 (MAC) a partir de una
direccin IPv6 en el mismo enlace. Anlogo a ARP (Protocolo de
Resolucin de Direcciones) de IPv4, pero sin usar broadcast.

Router Discovery (RD): Los dispositivos usan este protocolo para


encontrar routers en el mismo enlace. Los routers lo usan para
advertir su presencia.

Duplicate Address Detection (DAD): Los dispositivos lo usan para


asegurar que su direccin no est siendo usada por otro dispositivo
en el enlace.

Nicols Contador Vilches.

11

Stateless Address Autoconfiguration (SLACC): Los dispositivos


pueden seleccionar su propia direccin, basado en informacin
recibida de routers.

A travs de estos protocolos se pueden enviar mensajes ICMPv6 para


realizar acciones muy importantes y esenciales para IPv6.
Nombre del

Usado

Descripcin

mensaje
Router

RD,

en
Consulta por un router cercano.

Solicitation (RS)
Router

SLAACC
RD,

Declaracin de un router acerca de si mismo

Advertisement
Neighbor

SLAACC
ND, DAD

en el enlace.
Consulta acerca de una direccin.

Solicitation
Neighbor

ND, DAD

Declaracin acerca de una direccin.

Advertisement
Redirect

RD

Declaracin enviada por un router para


redirigir

un

nodo

para

usar

un

router

diferente en el enlace.
Tabla 7. Tipos de mensajes ICMPv6.
Neighbor Discovery.
Los mensajes neighbor solicitation y neighbor advertisement son usados
para resolver direcciones MAC en una red Ethernet, o sea, un dispositivo puede
descubrir la direccin MAC de una direccin IP conocida. Funcin realizada en
IPv4 por ARP.
El protocolo Neighbor Discovery es esencial en IPv6, adems de resolver
direcciones MAC permite detectar direcciones duplicadas, as que ICMPv6 no
debe ser bloqueado, si no la red no funcionar adecuadamente.
Router Discovery y Autoconfiguration.
Los routers IPv6 pueden advertir sus servicios a la red a los cuales ellos
estn

conectados.

En

un

enlace

los

routers

envan

mensajes

router

advertisement (RA), peridicamente o en respuesta a mensajes router


solicitations (RS) enviados por otro dispositivo. Estos mensajes permiten a un

Nicols Contador Vilches.

12

dispositivo obtener sus parmetros de direccionamiento IPv6 de forma


automtica sin la necesidad de un servidor DHCPv6.
La autoconfiguracin es una caracterstica muy importante de IPv6,
permite a un hosts ser parte de a una red IPv6.
Duplicate Address Detection (DAD).
Los dispositivos ejecutan DAD antes de asignar una direccin a una
interfaz. Est diseado para evitar que dos interfaces, conectadas a la misma
red, usen la misma direccin y entren en conflicto. Usando mensajes neighbor
solicitation un dispositivo puede determinar que una direccin est en uso en
un enlace.
Fragmentacin y descubrimiento de la MTU (Unidad Mxima de
Transmisin) de la ruta.
En IPv4 una MTU de 1500 bytes es algo muy comn, si el paquete es ms
grande que ese tamao se debe fragmentar, cada dispositivo de la ruta puede
fragmentar. IPv6 usa extensiones para administrar la fragmentacin de
paquetes y slo el emisor fragmenta y el receptor reensamblar los fragmentos
en el paquete original, los routers intermedios no fragmentan, mejorando la
eficiencia del envo de los paquetes.
IPv6 debe descubrir la MTU de la ruta, desde el emisor al receptor, para
esto ejecuta un mecanismo para descubrir el tamao mximo de un paquete
que puede atravesar la ruta.
Algunos riesgos a los que se exponen las redes IPv6 son similares a los de las redes IPv4, sin
embargo, hay otros riesgos que afectan exclusivamente a IPv6, que explotan, justamente, las nuevas
funcionalidades y caractersticas de ste protocolo. Con esto quiero decir que sus funcionalidades
son su debilidad. Aunque IPv6 soporte nativamente IPsec, no significa que sea seguro, ya que IPv6
tiene soporte nativo a IPsec con extensiones, pero no es una obligacin su implementacin.
Debido al gran espacio de direccionamiento disponible en una red IPv6 con un prefijo de /64,
hace casi imposible un ataque de reconocimiento usando tcnicas para IPv4. Eso no significa que no
se pueda realizar, pero se deben usar nuevas tcnicas.
Una tcnica de transicin es la de Dual Stack, o sea, una red est configurada y soporta
ambos protocolos (IPv4, IPv6). Eso significa que la red est expuesta a amenazas de IPv4, IPv6 y

Nicols Contador Vilches.

13

combinadas. Adems, las red IPv4 se ve amenazada por vulnerabilidades de IPv6.


En las siguientes lneas voy a comentar las amenazas que afectan a las redes IPv6 y algunas
que afectan, hoy en da, a ambas. Existen riesgos, amenazas, debilidades y vulnerabilidades para
ambos protocolos.

II.1.2 Amenazas a la seguridad en redes IPv4 e IPv6.


II.1.2.1 Terminologa fundamental.8
a) Ataque: Un asalto en el sistema de seguridad derivada de una amenaza inteligente.
Un ataque es alguna accin de violacin a la seguridad.
b) Target: Un sistema de TI, producto o componente que es identificado o sometido a
una evaluacin de seguridad requerida.
c) Exploit: Una forma de violacin a la seguridad de un sistema de TI a travs de una
vulnerabilidad.
d) Seguridad: Un estado de bienestar de la informacin e infraestructura en la cual la
posibilidad de robo, alteracin e interrupcin de informacin y servicios es mantenida
baja o tolerable.
e) Amenaza: Una accin p evento que podra comprometer la seguridad. Una amenaza
es una potencial violacin de seguridad.
f) Vulnerabilidad: Existencia de una debilidad, diseo o error en la implementacin,
que puede conducir a un evento indeseable, comprometiendo la seguridad de un
sistema.
g) Riesgo: Es la probabilidad de que una vulnerabilidad se transforme en un desastre.

II.1.2.2 Triada de la seguridad.


a) Confidencialidad: Asegurar que la informacin es accesible slo a quienes estn
autorizados a tener acceso.
8

Basado en conceptos de Certified Ethical Hacking.

Nicols Contador Vilches.

14

b) Integridad: La confianza de que los datos del origen no han sufrido cambios
inapropiados y no autorizados.
c) Disponibilidad: Asegura que los sistemas responsables del envo, almacenamiento y
procesamiento de la informacin son accesibles cuando son requeridos por el usuario
autorizado.

II.1.2.3 Tipos de amenazas.


Las amenazas a la red se pueden dividir en9:
a) Suplantacin (Spoofing): hace referencia al uso de tcnicas de suplantacin de
identidad generalmente con usos maliciosos o de investigacin.
b) Escuchas (Eavesdropping): se refiere a ataques de escuchas, tanto sobre medios
con informacin cifrada, como no cifrada.
c) Denegacin

de

servicios

(DoS):

es

un

ataque

un

sistema

de

computadoras o red que causa que un servicio o recurso sea inaccesible a los
usuarios legtimos.
d) Repeticin de paquetes: se produce cuando un atacante copia una secuencia de
mensajes entre dos partes y reproduce la secuencia a una o ms partes.
e) Hombre del Medio (Man-in-the-middle): es un ataque en el que el enemigo
adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos
partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.
f) Modificacin de paquetes: Se trata del reenvo de datos previamente transmitidos,
tras haberlos modificado de forma maliciosa.
g) Reconocimiento: Fase inicial de un ataque, donde se logra obtener informacin
bsica de la vctima.
h) Escaneo y sondeo: Se utiliza informacin obtenida en la fase de reconocimiento
para reunir ms informacin de la vctima, como puertos, servicios, sistema operativo
y sus versiones.

Fuentes: Wikipedia, Certified Ethical Hacking, Cisco CCNA Security Certified.

Nicols Contador Vilches.

15

Figura 5. Taxonoma de las amenazas de seguridad.

II.1.2.3 Tipos de ataques a la red.


A continuacin se presentan algunas vulnerabilidades del protocolo IPv6 que afectan a las
redes IPv4 e IPv6.

II.1.2.3.1 Ataques sniffing.


Un ataque que afecta tanto a redes IPv4 como Ipv6 son las escuchas o sniffing, el que
involucra la captura y monitoreo de los datos que estn siendo transmitidos en la red. El riesgo es el
de capturar datos en texto claro que no estn siendo protegidos por algn mtodo de cifrado. El

Nicols Contador Vilches.

16

atacante puede correr un programa sniffer, como WireShark para caprurar el trfico. Para mitigar
este tipo de ataques y no comprometer informacin sensible, se recomienda usar Ipsec, que en
Ipv4 es opcional y en Ipv6 es obligatorio, pero slo su soporte y no su implementacin.

Figura 6. Captura de paquetes IPv6 con WireShark.

II.1.2.3.2 Dispositivo falso o Rogue devices.


Este ataque se refiere a la incorporacin, fraudulenta, de un dispositivo a la
red, que podra comprometer la seguridad de las comunicaciones, como por
ejemplo, un Access Point inalmbrico, un router, un servidor DHCP, un servidor
DNS, etc. Este tipo de ataque afecta a las redes IPv4 e IPv6. Una tcnica de
mitigacin consiste en agregar autenticacin de acceso a la red con el estndar
802.1X, sin embargo esto no evita que alguien dentro de la red pueda lanzar este
ataque.

II.1.2.3.3 Ataques de inundacin o Flooding attacks.


Un tipo de ataque muy comn en las redes IPv4, que implica la saturacin
de dispositivos de red, como switch (MAC flooding) o routers (Routing flooding),
con una gran cantidad de informacin que es almacenada temporalmente en la
memoria RAM. Este ataque busca degradar la funcionalidad del dispositivo,
sobrecargando la CPU y la memoria RAM, o sea un ataque de denegacin de
servicio (DoS). Este ataque afecta a toda la red, no importando si es IPv4 o IPv6,

Nicols Contador Vilches.

17

ya que es un ataque de capa de enlace de datos. La forma de mitigar este tipo de


ataques es configurar seguridad de puerto (Port-Security) en los switch y en los
router implementar autenticacin en los protocolos de enrutamiento.

Figura 7. Tabla de direcciones MAC saturada.

Figura 8. Tabla de direcciones MAC casi llena. Despus de un ataque MAC


Flooding.

Nicols Contador Vilches.

18

II.1.2.3.4 Ataques de hombre del medio o Man-in-the-middle.

Este ataque pretende que un dispositivo se ubique, de forma lgica, entre


otros dos dispositivos, falseando (spoofing) la direccin MAC de ambos, de tal
manera que el trfico de uno a otro pase a travs del atacante. Esto permitir que
el atacante capture el trfico entre las vctimas. En IPv4 se usan tcnicas de ARP
poisoning y ARP spoofing, pero como IPv6 no utiliza ARP, se debe realizar de otra
manera, usando algunos de los mensajes de descubrimiento de vecinos.

II.1.2.3.5 Ataques de reconocimiento.


Esta es la primera fase de un ataque informtico. Es utilizado para reunir
informacin de la vctima, que ser utilizada para futuros ataques. Los atacantes
usan tcnicas de escaneo sobre la red enviando sondas ping para determinar qu
direcciones IP estn en uso en la red de vctima. Una vez obtenida esta
informacin, el atacante procede a ejecutar un escaneo de puertos. Esta tcnica
no es viable en las redes IPv6 debido a su gran tamao. Usando un programa
como NMAP, para sondear la red, el atacante debera demorar mucho tiempo en
barrer todas las IPs posibles de un prefijo /64, lo que da un total de 2 64
direcciones. Sin embargo, la red IPv6 usa direccionamiento multicast para
comunicarse con otros dispositivos, lo que limita la bsqueda y ayuda al
atacante, por ejemplo la IP ff02::1 es usada para identificar a todos los hosts de
la red y la ff02::2 identifica a todos los routers.
Las siguientes pruebas se realizaron en una red virtualizada usando GNS3,
VirtualBox, un host atacante con Backtrack 5 RC3 y un host Windows XP. La
topologa es como se muestra en la figura.

Nicols Contador Vilches.

19

Figura 9. Topologa de pruebas.


La imagen de abajo muestra un ping a todos los hosts y a todos los routers
de la red usando direcciones multicast, podemos ver la IP de Link-Local de cada
dispositivo y de cada router de la red.

Figura 10. Ping a direcciones multicast.

Nicols Contador Vilches.

20

Para realizar algunas pruebas de ataques se us la suite THC-IPV6 10


instalada

en

Backtrack

5.

Esta

suite

utiliza

algunos

protocolos

de

descubrimiento de vecinos de IPv6 para la deteccin de dispositivos en la red y


mensajes router solicitation, router advertisement, deteccin de direccin
duplicada, neighbor solicitation, neighbord advertisement, etc para lanzar otros
ataques.

Figura 11. Descubrimiento de dispositivos en la red.


Para sondear los servicios de los dispositivos encontrados se us nmap
con la opcin -6 para proveer soporte a IPv6.

Figura 12. Escaneo de puertos con nmap.

10

Van Hauser. Attacking the IPv6 Protocol Suitet.

Nicols Contador Vilches.

21

II.1.2.3.6 Ataques de hombre del medio o Man-in-the-Middle.


Este ataque permite, usando mensajes ICMPv6 neighbor
solitication/advertisement, denegar servicios de Internet y capturar trfico entre
dispositivos.

Figura 13. Ataque de hombre del medio.


En la imagen de abajo podemos ver que, lanzando un ataque de hombre
del medio, se puede capturar datos que van de un equipo de la red a otro, en
este caso el que va del host Windows al router. El equipo Windows tiene IP
acdc::d08f:cff5:d5f9:94cc y el router acdc::1.

Figura 14. Ataque del hombre del medio, captura de trfico entre dos
equipos.

II.1.2.6 Ataque SLAACC


Los hosts en una red IPv6 pueden configurarse a s mismos, sin la
necesidad de un servidor DHCPv6 usando los mensajes ICMPv6. Cuando se
conecta a la red enva mensajes de solicitud de router (RS) pidiendo los

Nicols Contador Vilches.

22

parmetros de configuracin al router, estos responden con un mensaje de


anuncio de router (RA) con los parmetros de configuracin IPv6.
Las

interfaces

IPv6

tienen

la

capacidad

de

soportar

mltiple

direccionamiento IPv6 y debido a la autoconfiguracin sin estado, un atacante


puede enviar mltiples menajes RA asignando IP indefinidamente, lo que va a
probocar una denegacin de servicio en todos los equipos que soporten IPv6.

Figura 15. Ataque SLAAC. Saturando dispositivos de la red.

Figura 16. Interfaz saturada con direccionamiento falso.

II.1.3

Discusin Bibliogrfica.
a) En la RFC 1958 de la IEEE, editada por B. Carpenter en Junio de 1996, define Los
Principios de Arquitectura de la Internet. En donde indica que la Internet ha crecido de
manera evolutiva desde sus modestos comienzos, ms que de un gran plan. Un plan de
conectividad entre equipos que pudieran comunicarse a travs de paquetes en vez de
por circuitos (Leonard Kleinrock del MIT, 1961).
Dice que debemos recordar que el cambio tecnolgico es continuo en las Tecnologas de

Nicols Contador Vilches.

23

la Informacin de la industria. La Internet, desde ARPANET, la primera red de redes


desarrollada por el Departamento de Defensa de Estados Unidos, ha ido incrementando
su tamao por factores de 1.000 (velocidad del backbone) y 1.000.000 (nmero de
hosts). Con este crecimiento, algunos principios de la arquitectura cambian
inevitablemente, como el principio de conectividad de extremo a extremo. Principios que
parecan inviolables hace algunos aos estn en desuso en la actualidad. Principios que
parecen sagrados hoy, sern obsoletos maana. El principio del cambio constante es,
quizs, el nico principio de la Internet que debe sobrevivir indefinidamente.
B. Carpenter asegura que la clave de la conectividad global est en la capa de Internet
(TCP/IP) o red (OSI). Y la clave para explotar esta capa sobre diverso hardware, para
proveer conectividad global, es el argumento extremo a extremo (end-to-end).
Continua diciendo que En la prctica, existen al menos dos razones por las cuales ms
de un protocolo de capa red deben estar en uso en la Internet pblica. Una de ellas es la
necesidad de una transicin global de una versin de IP (IPv4) a otra (IPv6). En segundo
lugar, fundamentalmente nuevos requisitos podran conducir a un nuevo protocolo.

b) La Internet de las cosas y la evolucin de Internet. El gigante del hardware de las


comunicaciones Cisco, asegura que Estamos entrando en una era en la que la Internet
tiene el potencial de mejorar dramticamente las vidas de todos en nuestro planeta.
Agrega, adems, que actualmente ste sueo ya es una realidad y que estamos pasando
desde la Internet de las cosas a la Internet of EveryThing o IoE.
Debemos prepararnos para la Internet of EveryThing. En este sentido, Cisco dice que
Dado el enorme crecimiento previsto de Internet en los prximos 10 aos, es crtico
para los lderes empresariales y gubernamentales, as como los ciudadanos, comenzar a
prepararse para lo que est por venir.

c) El agotamiento del espacio de direcciones IPv4 disponibles. LACNIC, el Registro de


Direcciones de Internet para Amrica Latina y Caribe. En junio del ao 2007, indicaba que
"Es un hecho que las direcciones IP basadas en la actual versin del protocolo (IPv4) se
terminarn en corto plazo, se estima que en la actualidad queda disponible menos del
18% de total de las direcciones IP versin cuatro", dijo el Director Ejecutivo de LACNIC,
Ral Echeberra. Indic tambin que las empresas, gobiernos e instituciones deberan
tomar previsiones para adoptar la versin seis de dicho protocolo lo antes posible.
Algunas de las decisiones pueden impactar tanto en darnos ms tiempo como en
adelantar la fecha de agotamiento de IPv4. LACNIC informar peridicamente a la
comunidad para que todos estemos preparados, agreg Echeberra. Esto es similar al
problema del Y2K, por lo tanto es necesario tomar conciencia del inminente agotamiento
de las direcciones IPv4, por lo que debemos prepararnos anticipadamente.

Nicols Contador Vilches.

24

d) El argumento end-to-end. Este es un principio bsico de diseo de Internet definido por


Jerome Howard "Jerry" Saltzer del MIT, donde indica que la mayora de la inteligencia
reside en los hosts finales. Este principio da lugar a una arquitectura en la que la red se
limita a enviar datagramas desde un host origen a otro destino, sin efectuar una
interpretacin ni manipulacin de los datagramas enviados. Este principio es violado por
NAT, que es una tcnica de traduccin de direcciones, implementada debido al colapso
de IPv4.
IPv6 promete devolver este principio, pero para muchos administradores de seguridad
este no es una propiedad deseada. Ellos argumentan que es peligroso que cada host de
una red sea directamente accesible desde cualquier otro host en Internet, lo que dejara
a la red expuesta a ataques externos.
e) Capacidades de seguridad simples IPv6. La RFC 6092 editada por J. Woodyatt. Esta
RFC identifica un conjunto de recomendaciones y describe como proveer capacidades de
seguridad simple en el permetro de redes de rea local IPv6 en redes de oficina y
hogareas conectadas a la Internet.
Entrega 50 recomendaciones cuyos objetivos operacionales son:

Chequear todo el trfico hacia y desde la Internet.

Permitir el seguimiento del uso de aplicaciones de direcciones de red y puerto origen

y destino.

f)

Proporcionar una barrera contra influencias externas no confiables.

Permitir excepciones manualmente configuradas

Aislar la red local de servicios DHCPv6 y resoluciones DNS de la Internet pbilca

Aspectos de Seguridad en Redes IPv6. Drago Zagar, Kresimir Grgic, Snjezana

Rimac-Drlje. 2007. Un grupo de profesores de la Universidad de Osijek de Croacia,


realiz varias pruebas a redes IPv6 y pudo determinar que es posible realizar varios tipos
de ataques propios de IPv4 a redes IPv4, adems de probar algunas de las
vulnerabilidades detectadas en las redes IPv6.

g) La Agencia de Seguridad Nacional (NSA), est muy preocupada de la seguridad en la red


IPv6 y ha realizado algunos estudios y entregado algunas guas e instrucciones de cmo
configurar routers Cisco que entrega en el documento Router Security Configuration
Guide Supplement-Security for IPv6 Routers.

Nicols Contador Vilches.

25

Muchos autores indican la necesidad de reemplazar al actual protocolo de direccionamiento


por uno ms eficiente y con mayores capacidades. Otros dicen que ya es tiempo de cambiarse,
debido al explosivo crecimiento de la poblacin de Internet y a las nuevas cosas que se conectan a
diario a ella. Sin embargo otros dicen que el nuevo y poco conocido protocolo, traer graves
problemas a la seguridad de las personas, las redes y dispositivos.
El protocolo IPv6 tiene muchas ventajas respecto a su predecesor, es mucho ms simple,
tiene extensiones que lo hacen ms flexible y posee nuevas y mejores capacidades que lo hacen
imprescindible para soportar las futuras redes, nuevos usuarios, dispositivos y cosas. Sin embargo,
como pudieron demostrar Drago Zagar, Kresimir Grgic, Snjezana Rimac-Drlje de la

Universidad Osijek de Croacia, el protocolo tiene vulnerabilidades que deben ser, por lo menos,
conocidas y abordadas. Por tanto, realizar, exhaustivas pruebas de seguridad y finalmente
entregar las recomendaciones y guas de buenas prcticas para mitigar estas vulnerabilidades.

II.2 Hiptesis de Trabajo


Una vez analizado el protocolo, en cuanto a sus funcionalidades,
capacidades y vulnerabilidades, mi desafo secundario es demostrar que este
protocolo no es seguro y el principal es poder generar un ambiente seguro,
entregando recomendaciones y guas de buenas prcticas de uso y configuracin
de dispositivos.
El protocolo Ipv6 abre muchas brechas de seguridad que su predecesor Ipv4
debido a sus caractersticas de diseo.
Hiptesis.
Es posible que todas las cosas que se conectan y se van a conectar a la
Red puedan disfrutar de un entorno de comunicaciones seguro en un
ambiente IPv6?

II.3 Objetivos

Caracterizar el ambiente de seguridad informtica sobre el protocolo Ipv6


por medio de un estudio experimental para establecer recomendaciones de uso
del protocolo.

Nicols Contador Vilches.

26

Mi objetivo, una vez realizado el anlisis del protocolo, es entregar


recomendaciones y guas de buenas prcticas en el uso e implementacin del
protocolo. Estas recomendaciones y guas permitirn establecer una lnea de base
slida, estable y segura en las comunicaciones de datos, antes, durante y
posterior a la transicin al protoclo IPv6.
La seguridad de las comunicaciones es un tema muy importante, sobre
todo cuando se est o va a utilizar un nuevo protocolo, donde an no se saben las
implicancias que esto tiene.

II.3.1 Objetivos especficos

1.Establecer una taxonoma de vulnerabilidades del protocolo IPv6


2.Caracterizar la seguridad en Ipv4 por medio de un anlisis
experimental en un entorno de real y controlado.
3.Caracterizar la seguridad en Ipv6 por medio de un anlisis
experimental en un entorno de real y controlado.
4.Establecer recomendaciones de seguridad de uso, por parte de
administradores de red, auditores de seguridad y usuarios finales.
5.Demostrar,

por

medio

de

pruebas,

que

el

protocolo

tiene

debilidades que pueden ser explotadas por los atacantes.

II.4 Metodologa
La metodologa usada ser la de Investigacin Cuantitativa del tipo
experimental. Se basa en un pensamiento deductivo, que va de lo general a lo
particular, utilizando la recoleccin y anlisis de datos para contestar preguntas
de investigacin y probar hiptesis establecidas previamente.

11

11

Paradigma de Investigacin Cuantitativa. Repositorio de Objetivos de aprendizaje


Instituto Tecnolgico de Sonora.

Nicols Contador Vilches.

27

Algunas de las caractersticas de la investigacin cuantitativa son: asume


una postura objetiva, estudia conductas y otros fenmenos observables, genera
datos numricos para representar el ambiente social, emplea conceptos
preconcebidos y teoras para determinar qu datos van a ser recolectados,
emplea mtodos estadsticos para analizar los datos e infiere ms all de los
datos, emplea procedimientos de inferencia estadstica para generalizar las
conclusiones de una muestra a una poblacin definida, es confirmatoria,
inferencial y deductiva.
Las etapas de la investigacin cuantitativa son:
1.
2.
3.
4.

Concebir la idea a investigar.


Plantear la problemtica de investigacin.
Elaborar el marco terico.
Definir el tipo de investigacin: exploratoria,
descriptiva, correlacional o explicativa y hasta

qu nivel llegar.
5. Establecer las hiptesis.
6. Seleccionar el diseo apropiado de
investigacin.
7. Seleccin de la muestra.
8. Recoleccin de los datos.
9. Analizar los datos.
10
Presentar resultados.
.

Nicols Contador Vilches.

28

Imagen 17. Proceso de Investigacin.12

II.5 Plan de Trabajo

12

Fuente: propia, basado en el de Andrs Hueso y Mara Josep Cascant.

Nicols Contador Vilches.

29

La siguiente carta Gantt presenta el cronograma de la investigacin.

II.6 Productos Entregables


El producto final a entregar es la tesis, la que incluye lo siguiente:

Marco terico

Pruebas de vulnerabilidades

Anlisis de la vulnerabilidades

Resultados de las pruebas

Recomendaciones y guas de buenas prcticas

Planes de mitigacin y contingencia

Conclusiones.

II.7 Compromiso de Dedicacin a este Proyecto


En la siguiente tabla resumo los compromisos de dedicacin para la tesis:
Recursos
Nicols
Contador
Nicols
Contador
Nicols
Contador
Nicols

Nicols Contador Vilches.

Funcin
Anlisis del protocolo

HH
60

Pruebas de vulnerabilidades

60

Anlisis de las vulnerabilidades

60

Recomendaciones por cada

180

30

Contador
Nicols
Contador

vulnerabilidad
Documentar los resultados

120

Total

480

III Trabajo Adelantado por el Autor del Proyecto


El presente draft representa el trabajo por adelantado de mi tesis, junto
con algunas pruebas de capacidades y vulnerabilidades del protocolo.

IV Otros Antecedentes
Las pruebas sern realizadas en laboratorios reales. Los siguientes sern
los recursos necesarios:
Recursos computacionales:

3 router Cisco, de la seria 1941

2 Switch multicapa Cisco, de la seria 3750

2 Switch Catalyst Cisco, de la serie 2960

2 PC con S.O. Windows 7

2 PC con S.O. Linux Fedora

1 PC con S.O. BackTrack 5

Recursos de Infraestructura y protocolos de Red

Un enlace a Internet de 40 Mbps

Stack TCP/IP V4 y V6 en cada dispositivo

Protocolo de enrutamiento OSPF

Nicols Contador Vilches.

31

VI Referencias Bibliogrficas
B. Carpenter. IEEE RFC 1958. Architectural Principles of the Internet. Junio 1996.
J. Woodyatt. IEEE RFC 6092. Recommended Simple Security Capabilities in CPE for
Providing Residencial IPv6 Internet Service. Enero 2011.
S. Deering y R. Hinden. IEEE RFC 2460. Internet Protocol, Version 6 (IPv6) Specification.
Diciembre 1998.
S. Thomson y T. Narten. IEEE RFC 2462. IPv6 Stateless Address Autoconfiguration.
Diciembre 1998.
T. Narten y E. Nordmark. IEEE RFC 2461. Neighbor Discovey for IP Version 6 (IPv6).
Diciembre 1998.
Dave Evans. La Internet de las cosas. Cmo la prxima evolucin de Internet lo cambia
todo. Abril 2011.

Comunicado de prensa de LACNIC. Inminente agotamiento de las


direcciones IPv4. Junio 2007.
Van Hauser. Attacking the IPv6 Protocol Suitet. 2005.
Drago Zagar, Kresimir Grgic, Snjezana Rimac-Drlje. Security aspects in
IPv6 networks-implementation and testing. Julio 2007.
Neal Ziring. Router Security Configuration Guide Supplement Security for
IPv6 Routers. Systems and Network Attack Center. Mayo 2006.
Emre Durdagi, Ali Buldu. IPv4/IPv6 security ant threat comparisons.
Enero 2010.
Ethical Hacking and Countermeasures. EC-Council Certified Ethical
Hacker. Exam 312-50. Octubre 2012.
www.thc.org/thc-ipv6/. Van Hauser.
Samuel Sotillo. IPv6 Security Issues. 2006
Scott Hogg, Eric Vyncke. IPv6 Security. Cisco press. Diciembre 2008.

Nicols Contador Vilches.

32

Myung-Eun Kim, Doing-il Seo. The Study on Security Vulnerabilities in IPv6


Autoconfiguratrion. Junio 2005.
Keith Barker, Scott Morris. CCNA Security 640-554 Official Cert Guide. Julio 2012.

Nicols Contador Vilches.

33