asegurando una red con ipv6
TRANSCRIPT
ESCUELA DE INGENIERÍA EN ELECTRÓNICA
TELECOMUNICACIONES Y REDES
Danilo Hidalgo Rodrigo García Santiago Cáceres
ASEGURANDO UNA RED CON IPV6
Riobamba – Ecuador
I. INTRODUCCIÓN
Entre otros varios identificadores únicos que se manejan en Internet tenemos el
identificador del protocolo Internet (IP, “Internet Protocol”) conocido como “dirección
IP”. Estas direcciones permiten identificar unívocamente cualquier interfaz dentro de
una red que utiliza IP, como es el caso de Internet. Estos identificadores son números
binarios con un número limitado de bits, 32 en el caso de las direcciones IPv4, es
decir, más de 4200 millones de direcciones posibles, pero si descontamos algunos
rangos reservados para usos especiales, la cantidad de direcciones realmente utilizable
se reduce a alrededor de 3700 millones de direcciones IPv4.
Esa cantidad de direcciones pareció ser suficiente en los albores del Internet donde la
cantidad de redes y computadores interconectados era relativamente poca, pero el
vertiginoso crecimiento de la penetración mundial de Internet (hoy con una población
de más de 7000 millones de personas) y el surgimiento del “Internet de las cosas”,
han hecho que esa cantidad quede corta.
Por su gran impacto el negocio de proveer acceso a Internet ha crecido solo, pero
actualmente incluso se ve impulsado por los gobiernos. Estudios económicos
demuestran que un incremento del 10% en la penetración del acceso a Internet
genera un crecimiento del 1% en el PIB y por otra parte el acceso a Internet es
considerado como un instrumento habilitante de derechos humanos fundamentales
como la libertad de expresión, de ahí que el plan de gobierno de muchos países
considera alguna medida para lograr la masificación del Internet.
Por otra parte, muchos dispositivos que antes funcionaban sin conexión de red
requieren o requerirán de direcciones IP para aprovechar al máximo nuevas
funcionalidades, conformando así lo que hoy se conoce como el “Internet de las cosas”,
es decir, dispositivos que se comunican entre sí o hacia Internet para cumplir ciertas
tareas sin necesidad de intervención humana, por ejemplo: celulares actualizando
aplicaciones, televisores actualizando/bajando programación, cámaras de video y
sensores de movimiento informado/ grabando la presencia de intrusos,
sensores/medidores enviando información recolectada periódicamente, refrigeradores
informando del estado de los víveres, etc..
La administración de los recursos IP actualmente tiene una estructura jerárquica, una
entidad central llamada IANA (“Internet Assigned Numbers Authority”) administra todo
el espacio de direccionamiento disponible y es la encargada de entregar bloques de
direcciones a organizaciones regionales denominadas RIRs (“Regional Internet
Registry”) conforme a demanda, quienes a su vez se encargan de la distribución/
asignación a los proveedores de Internet. LACNIC es el RIR para la región de América
Latina y Caribe. El espacio IPv4 disponible en IANA se agotó definitivamente en febrero
de 2011 y en abril del mismo año APNIC (el RIR para la región de Asia Pacífico)
empezó a asignar direcciones IPv4 desde su último bloque de direcciones, esto implica
algunas restricciones en la asignación de direcciones.
Para dar solución a la necesidad creciente de direcciones, la IETF (“Internet
Engineering Task Force”) creó IPv6 en la década de los 90. Esta nueva versión del
protocolo usa direcciones de 128 bits, lo cual significa algo más de 340 sextillones de
direcciones disponibles. Para tener una idea de la cantidad de direcciones disponibles
se puede decir que el espacio de direccionamiento disponible es suficiente para cubrir
la demanda de más de 4200 millones de proveedores de Internet con 65536 clientes
cada uno.
Muchas veces se pretende vender a IPv6 como un protocolo que resuelve algunos
problemas encontrados en IPv4, por ejemplo seguridad, pero esto no es tan preciso y
nada más crea falsas expectativas, pues lo que se buscaba resolver con el nuevo
protocolo es la escasez de direcciones IP, lo cual no quiere decir que IPv6 sea más o
menos inseguro que IPv4 o que no implique la oportunidad para mejorar algunas otras
cosas. Así mismo, en el otro extremo hay quienes creen que NAT a gran escala es una
mejor opción que IPv6, o que por ejemplo, es una mala opción para PYMEs, pues sin
NAT sería (dicen ellos) necesario renumerar toda la red en caso de cambio de
proveedor, pero dependiendo del tamaño una asignación PI (Provider Independent)
resolvería el problema. En todo caso, a nivel personal creo que IPv6 no es perfecto,
pero es lo que tenemos y su uso es la alternativa técnica y económicamente más
adecuada a la realidad de nuestro país que permitirá afrontar el crecimiento futuro del
Internet.
Como se mencionó, las especificaciones básicas del protocolo fueron establecidas hace
aproximadamente 15 años; sin embargo, su utilización estuvo por mucho tiempo
circunscrita a unas pocas redes, en su mayoría de carácter universitario o de
investigación, pero esto ha comenzado a cambiar con el advenimiento de sistemas
operativos que traen IPv6 habilitado por defecto (Windows Vista, 7) y especialmente
con la realización del “IPv6 Day”, el 6 de junio de 2011, un evento organizado y
coordinado por la Internet Society (ISOC) a través del cual - durante 24 horas –
grandes redes y proveedores de contenido (Facebook, Yahoo, Google entre otras)
habilitaron acceso por IPv6 a sus páginas principales. Para el 6 de junio de 2012, ISOC
ha organizado el “IPv6 Launch”, los participantes de este evento dejarán habilitado
IPv6 en sus redes/portales a partir de dicho día y de forma indefinida.
IPv6 en Ecuador:
Bloques IPv6 asignados y utilizados (al 8 de abril de 2012):
23 bloques IPv6 asignados/ distribuidos por LACNIC a organizaciones
ecuatorianas
12 bloques utilizados (vistos en el Internet Global)
11 organizaciones diferentes utilizan prefijos IPv6
II. OBJETIVOS
i. Objetivo General
Realizar el análisis de las vulnerabilidades de una Intranet con el
protocolo IPV6 utilizando GNU/Linux como sistema operativo para
levantar servicios básicos de Internet con el fin de manipularlos para
desarrollar pruebas desde clientes con diferentes plataformas.
ii. Objetivo especifico
Plantear los posibles problemas de vulnerabilidades en Ipv6.
Realizar un ataque a dispositivos de red que tienen configurado
IPv6 por defecto. Existen campos en las tramas y protocolos que
nos permiten generar paquetes que necesariamente serán
atendidos causando un uso alto del procesador.
Se explicará el funcionamiento y ciertos conceptos básicos de
IPv6 para luego explicar unos ataques de red a dispositivos que
fueron probados.
Proveer un análisis objetivo de las implicancias de seguridad
generales de IPv6
Identificar áreas en las que se requiere más trabajo
Obtener algunas conclusiones respecto a la seguridad en IPv6
III. Alcance / Meta
Los siguientes puntos describen el alcance/meta de este proyecto:
Investigar y documentar todo sobre la arquitectura y componentes de IPv6.
Configurar el Kernel y utilidades en una distribución GNU/Linux para dar
soporte de IPv6.
Documentar todo el proceso de análisis de las vulnerabilidades en IPV6
Realizar pruebas a los servicios levantados y realizar la documentación
respectiva.
Solucionar los problemas que se encuentren en IPV6
IV. SUPUESTOS
El alegato de comenzar a utilizar IPv6 viene dado por que permite dar solución a las
necesidades actuales como son la seguridad, movilidad, calidad de servicio (QoS),
comunicación de grupo en tiempo real, etc. IPv6 es además extensible y permitirá
incorporar nuevos protocolos en el futuro a medida que sean demandados.
Al probar las vulnerabilidades en la red IPV6 podemos mostrar que la seguridad es un
campo aun por experimentar ya que al migrar de ipv4 a ipv6 surgirán inseguridades en
una red.
V. DESARROLLO
Con la implantación de redes basadas en el protocolo IP versión 6, el tema de
seguridad no debe dejar de ser observado cuando todas las redes del mundo migren
desde IP versión 4, pues ahí se pueden presentar ciertas vulnerabilidades que no se
consideran ahora por los administradores de redes. La seguridad en IPv6 es uno de los
temas más importantes que será tratado en este documento en donde se identificarán
agujeros de seguridad que sin duda generaría riesgos en ataques que podrían
comprometer la información confidencial, la privacidad y en general el negocio de la
empresa. Por ello, se hará una revisión a los problemas que IPv6 tiene en la actualidad
para ser implementados en la infraestructura tecnológica de cualquier empresa.
Uno de los primeros problemas en surgir en las redes IPv6 es que existen muchos mal
entendidos relacionados con su funcionamiento, tales como:
• La seguridad fue un tópico principal en el desarrollo de Ipv6.
• El uso de IPSec será más difundido.
• Muchos de los ataques de IPv4 ya no podrán hacerse en IPv6.
• La seguridad ya no será orientada a la red, sino al host.
Además de estos inconvenientes, también existen problemas relacionados con el poco
tiempo que tiene IPv6 como tecnología; estos problemas son:
• El protocolo IPv6 no ha sido tan probado en un ambiente real como IPv4.
• Existe un limitado grupo de productos de “networking” (switches, firewalls y routers)
en el mercado que ya brinden servicios de interconectividad y seguridad IPv6.
• Las aplicaciones IPv6 no han sido probadas lo suficiente.
Otro de los problemas es la poca experiencia y conocimiento que tienen los
profesionales de las Tecnologías de la Información y Comunicación (TICs) sobre el
funcionamiento de los mecanismos que utiliza IPv6; y el desconocimiento de las
herramientas que existen para su configuración y mantener segura una red de este
tipo.
Otro inconveniente que surge es que el funcionamiento de la red en general se vuelve
más complejo, debido a que para mantener la compatibilidad con aquellos servicios
que utilicen IPv4 o IPv6, es necesario que las empresas utilicen los protocolos IPv4 e
IPv6 al mismo tiempo (Afifi, H.,1999)1 ; entre los mecanismos que hacen que la red se
vuelva más compleja están:
• Mayor uso de NAT.
• Uso de diferentes tecnologías de transición entre tecnologías.
• Mayor uso de tecnologías de “tuneling”.
Revisión del Funcionamiento del protocolo IPv6
Las principales características que este protocolo presenta se van a detallar a
continuación:
• Espacio de Direcciones: El tamaño total de la dirección IPv6 es de 128[bits], lo que
permitirá que se puedan tener en teoría alrededor de 3.4 x 1038 direcciones
disponibles, lo que garantizará que todos los dispositivos puedan acceder a una
dirección IP.
• Nuevo formato de Cabecera: Aunque la cabecera IPv6 sea mayor a la de IPv4, se
han quitado muchos campos de la cabecera que eran poco utilizados, para obtener un
manejo más eficiente de los paquetes.
• El Direccionamiento es Jerárquico: Las direcciones IP Globales (direcciones públicas)
se rigen por una jerarquía basada en la existencia de diferentes tipos de ISP, esto
permitirá tener tablas de enrutamiento resumidas y por lo tanto más manejables.
• Autoconfiguración de las direcciones IP: El protocolo IPv6 tiene de forma mandatoria
el uso de este tipo de configuración (Stateless Address Configuration) para que los
clientes obtengan una dirección IPv6 automática.
• Existe un nuevo protocolo para interactuar con los vecinos (Neighbor Discovery
Protocol): Los protocolos ARP y “Router Discovery” son reemplazados por este nuevo
protocolo que ya no utiliza “broadcast” para propagarse por la red, en vez de ello
utiliza “multicast”.
Formato de Direcciones IPv6.
La cabecera de un paquete IPv6 es de 40 bytes fijo, lo cual es considerablemente más
grande que la cabecera de IPv4, esto se debe principalmente por los 32 bytes que
ocupan ahora las direcciones IP origen y destino. Otra característica de la cabecera del
paquete IPv6 es que ahora el número de campos ha disminuido de 14 a solo 8
campos, entre los que están:
1. Versión (“Version”): Indica la versión del protocolo IP, en este caso su valor es
igual a 6.
2. Clase de tráfico (“Traffic Class”): Incluye información para clasificar el tipo de
tráfico que lleva el paquete, para que los “routers” aplique la política de
enrutamiento más adecuada. Tiene la misma funcionalidad que el campo “Type
of Service” de IPv4.
3. Etiqueta de flujo (“Flow Label”): Ubica a un flujo de paquetes, que les sirve a
los routers para identificar rápidamente paquetes que deben ser tratados de la
misma manera (para QoS).
4. Tamaño de la carga útil (“Payload Length”): Indica el tamaño de la carga útil
del paquete. Las cabeceras adicionales son consideradas parte de la carga para
este cálculo.
5. Próximo encabezado (“Next Header”): Indica que existe una siguiente cabecera
en la que se especificarán opciones específicas para el paquete; si no se utiliza
con ese propósito entonces indica la cabecera de capa 4que será la siguiente.
6. Límite de saltos (“Hop Limit”): Indica el máximo número de saltos que puede
realizar el paquete. Este valor disminuye en uno por cada router que reenvía el
paquete. Si el valor llega a cero, el paquete es descartado.
7. Dirección de origen (“Source Destination Address”): Indica la dirección IPv6 del
nodo que generó el paquete.
8. Dirección de origen (“Source Destination Address”): Indica la dirección de
destino final del paquete.
Fig1 Encabezados IPV6 y IPV4
Direccionamiento IPv6.
Existen tres tipos de Direcciones:
• Unicast.- Identifica a un solo nodo.
• Multicast.- Identifica a un grupo de nodos.
• Anycast.- Identifica a un grupo de nodos, pero el paquete llega siempre al nodo
más cercano perteneciente a ese grupo.
1. Direcciones Unicast:
Estas direcciones identifican de manera única a cada nodo de la red, permitiendo la
comunicación punto a punto entre ellos.
La nueva característica que trae IPv6 es la ubicación de las direcciones Unicast
dentro de contextos, cada uno de los cuales define un dominio lógico o físico de la
red.
Los tipos de contextos que se tienen son:
• Local al enlace (“link-local”): Permiten la comunicación entre los distintos
nodos conectados a un mismo enlace capa 2 del modelo ISO/OSI.
Estas direcciones no pueden ser enrutadas y sólo son válidas al interior del enlace.
Cada vez que un nodo IPv6 se conecta a una red, adquiere automáticamente una
dirección local al enlace, sin ser necesaria la intervención del usuario o de otros
dispositivos.
La estructura de una dirección local al enlace es “fe80:0:0:0:<identificador de
interfaz>”. El identificador de interfaz se genera automáticamente a partir de su
dirección MAC, siguiendo el formato EUI-64. Ejemplo:
MAC: 39:A7:D3:F9:61:A1
Dir. IPv6: fe80:0:0:0:039A7:D3FF:FEF9:61A1
Siendo FF:FE partes de la dirección que siempre se repiten en todas las direcciones
que siguen el formato EUI-64.
• Local único (“unique-local”): Las direcciones locales únicas son direcciones que
permiten la comunicación de nodos al interior de un la red de toda una
organización, de prefijo /48, compuesta por 1 o más subredes.
Son el equivalente a las direcciones privadas en IPv4. Al igual que las direcciones
locales al enlace, no pueden ser enrutadas hacia Internet.
La estructura de una dirección local única es la siguiente:
a) Identificador único: Campo de 40[bits] que identifica a un sitio en particular.
Dado que este tipo de direcciones no son publicadas en Internet, pueden existir
distintos sitios con el mismo identificador.
b) Identificador subred: Permite crear un plan de direccionamiento jerárquico,
identificando a cada una de las 216 posibles subredes en un sitio.
c) Identificador de interfaz: Individualiza a una interfaz presente en una
determinada subred del sitio.
A diferencia de las direcciones locales al enlace, este identificador no se genera
automáticamente.
• Global: Las direcciones “Unicast Globales” son usadas para comunicar 2 nodos a
través de Internet; son equivalentes a las direcciones públicas en IPv4. Son el único
tipo de direcciones que pueden ser enrutadas a través de Internet. El espacio
reservado actualmente para este tipo de direcciones es de 2001:: a
3fff:ffff:ffff:ffff:ffff:ffff:ffff (2001::/3).
Todas las subredes en el espacio de direccionamiento “unicast global” tienen un prefijo
de red fijo e igual a /64. Esto implica que los primeros 64 [bit] corresponden al
identificador de red, y los siguientes corresponden a la identificación de la interfaz de
un determinado nodo.
El prefijo de enrutamiento global es aquel que identifica a un sitio conectado a
Internet. Dicho prefijo sigue una estructura jerárquica, con el fin de reducir el tamaño
de la tabla de enrutamiento global en Internet.
Cada una de los Registros Regionales maneja direcciones con prefijo /23, y otorgan a
cada ISP direcciones con prefijo /32, y estos a su vez dan direcciones con prefijo /48,
permitiendo a cada sitio u organización el tener 2^16 subredes, cada una con 2^64
usuarios. Cada interfaz de red puede tener más de una dirección IPv6, por ejemplo
una interfaz puede tener una dirección Local Enlace, y dos direcciones Globales.
2. Direcciones Multicast:
La estructura de una dirección multicast IPv6 es el siguiente:
Primeros Campos: Son dos campos de 8 [bits] cada uno y que siempre llevan los
valores de “FF” [en hexadecimal].
a) Campo L: Indica el tiempo de vida de un grupo “multicast”. Si se coloca el valor
de „0‟ cuando es un grupo permanente y „1‟ cuando es un grupo “multicast”
temporal.
b) • Campo S:
c) • Indica el contexto o alcance del grupo. Ya existen valores predeterminados
para este campo; los mismos que a continuación se detallan:
Con estos dos campos se pueden crear varias grupos de direcciones para cada tipo de
contexto y con diferente duración, pero también ya existen grupos Multicast
predeterminados como
Las Direcciones Multicast no deben aparecer como direcciones origen en ningún
paquete, así como tampoco deben estar presentes en las tablas de enrutamiento.
Existe además una clase especial de dirección Multicast llamada “Dirección de Nodo-
Solicitado”, ésta cumple con la función de asociar las direcciónes “Unicast” y “Anycast”
configuradas en las interfaces de un Nodo. Esta dirección tiene como prefijo
predeterminado:
„FF02:0:0:0:0:1:FF00::/104‟ por lo que el rango de direcciones Multicast de Nodo-
Solicitado son:
FF02:0:0:0:0:1:FF00:0000 hasta FF02:0:0:0:0:1:FFFF:FFFF
La forma en que se arman estas direcciones es la siguiente:
Los primeros 104 [bits] de la dirección siempre serán fijos, mientras que los últimos 24
[bits] son tomados de las direcciones IPv6 Unicast y Anycast que tenga configurado el
Nodo. Por ejemplo:
Se tiene la dirección IPv6: 4037::01:800:200E:8C6C
Su dirección Multicast de Nodo-Solicitado es: FF02::1:FF0E:8C6C Las direcciones
Multicast de Nodo-Solicitado son usadas para obtener las direcciones MAC de los
Nodos presentes en un mismo Enlace, para ello se envía un paquete con la dirección
Multicast del Nodo- Solicitado, para que éste responda con su respectiva dirección
MAC.
3. Direcciones Anycast:
Es aquella que identifica a un grupo de interfaces, los paquetes enviados a una
dirección anycast son reenviados por la infraestructura de enrutamiento hacia la
interfaz más cercana al origen del paquete que posea una dirección anycast
perteneciente al grupo.
Con el fin de facilitar la entrega, la infraestructura de enrutamiento debe conocer las
interfaces que están asociadas a una dirección anycast y su distancia en métricas de
enrutamiento, para que se envíen siempre al nodo más cercano o de menor métrica.
Una dirección Anycast se crea al asignar una misma dirección Unicast a varias
interfaces de distintos Nodos. Una dirección Anycast no puede ser nunca una dirección
de origen.
Un uso de direcciones Anycast es el identificar a los routers que pertenecen a una
organización y que proveen de servicio de internet.
SEGURIDAD EN REDES IPV6
El tema de la seguridad en redes IPv6 ha sido ampliamente estudiado y discutido en
diversos congresos, encuentros y listas de discusión. Un grupo internacional de
investigadores en seguridad y redes, llamado “The Hacker`s Choice”, ha desarrollado
un conjunto de programas que explotan las vulnerabilidades conocidas de IPv6. En
este apartado se utilizaran algunos de estos programas con el fin de demostrar el
impacto de los problemas de seguridad existentes en IPv6.
RECONOCIMIENTO EN REDES IPV6
La primera etapa de cualquier tipo de ataque hacia una red normalmente involucra
algún tipo de procedimiento para examinar que dispositivos se encuentran activos en
una red determinada. Para ello, se realiza un barrido de pings por todas las direcciones
IP posibles en la red, con el fin de detectar cuales están en uso. Dicha técnica es muy
utilizada en IPv4, ya que el número de posibles direcciones en una red de tamaño
normal (/24) es de 256. Dicha operación puede tardar entre 5 a 30 y existen una serie
de herramientas que realizan este barrido de forma automática.
Sin embargo, existen otras técnicas mediante las cuales un atacante puede realizar un
reconocimiento de la red. Si el atacante se encuentra conectado físicamente a la red,
puede realizar un “ping” a la dirección “multicast” que representa a todos los nodos o a
todos los “routers” conectados a dicha red (FF02::1 y FF02::2 respectivamente). De
acuerdo a las especificaciones de IPv6, un nodo no debería responder a pings enviados
a dichas direcciones, sin embargo varias implementaciones no han tomado en cuenta
dicha recomendación. Existen varias recomendaciones para evitar los problemas
asociados al reconocimiento local o remoto de una red. La principal es que los
identificadores de interfaz de los nodos no sean números correlativos y que no partan
desde el límite inferior del rango (evitar las secuencias ::1, ::2, ::3, etc.). Esto se
puede lograr mediante el uso de la autoconfiguración de direcciones IPv6, ya que es
posible obligar a los nodos generar un identificador de interfaz pseudo-aleatorio o
basado en la dirección física de la interfaz.
VULNERABILIDADES EN ICMPV6
CONFIGURACIÓN AUTOMÁTICA DE DIRECCIONES (SLACC)
El mecanismo de configuración automática de direcciones (SLACC) permite a los nodos
obtener una dirección IPv6 automáticamente a partir de la información que un “router”
transmite en un enlace capa 2. Los “routers” envían anuncios de enrutamiento (RA)
transportados sobre mensajes ICMPv6, los cuales contienen la siguiente información:
Prefijo(s) local(es): Los primeros 64 [bit] de una dirección IPv6
Dirección de enlace local del “router”.
Prioridad del “router”: Un valor entero que indica la prioridad de este “router”.
Cuando existen varios routers en el mismo enlace, los nodos utilizan el de más alta
prioridad.
Tiempo de vida del mensaje
Máxima unidad de transporte (MTU): Indica a los nodos la MTU a utilizar en el
enlace.
A partir de los anuncios de enrutamiento (RA), los nodos pueden construir sus
direcciones IPv6 mediante la combinación del prefijo local y su dirección física (MAC).
Obtienen además la dirección de la ruta por omisión que deben agregar en sus tablas
de enrutamiento.
Para ejecutar este ataque, se puede utilizar la herramienta “fake_router6” incluida en
el paquete THC IPv6. Dicha herramienta permite enviar anuncios de enrutamiento en
donde se puede definir el prefijo a anunciar y la dirección de enlace local del “router” a
anunciar. Todos los anuncios creados con esta herramienta son enviados con alta
prioridad, por lo que tienen preferencia por sobre los enviados por otros dispositivos.
RESOLUCIÓN DE DIRECCIONES
Cuando un nodo desea obtener la dirección física de una determinada dirección IPv6,
se utiliza el siguiente procedimiento:
a) Se envía un mensaje de solicitud de vecino (”Neighbor Solicitation”, NS) que
contiene la dirección IPv6 a consultar.
b) El nodo con la dirección IPv6 solicitada responde con un mensaje de anuncio de
vecino (“Neighbor Advertisement”, NA), que contiene su dirección física (MAC).
Los riesgos de este ataque es que un usuario mal intencionado puede falsear la
dirección física del “router” presente en el enlace, redirigiendo todo el tráfico a su
propio equipo o a una dirección física inexistente. El problema aumenta cuando se
considera que por especificaciones del protocolo IPv6, las entradas en la tabla de
direcciones de un nodo se actualizan constantemente, generando una gran cantidad de
mensajes de solicitud de vecinos.
Para ejecutar este ataque, se puede utilizar la herramienta “fake_advertise6” incluida
en el paquete THC IPv6. Dicha herramienta permite enviar mensajes de anuncio de
vecino en donde se puede definir la dirección IPv6 a anunciar, la dirección MAC
asociada y el destinatario de los mensajes (normalmente se utiliza la dirección ff02::1
que identifica a todos los nodos IPv6 en un enlace) .
DETECCIÓN DE DIRECCIONES DUPLICADAS (DAD)
El mecanismo de detección de direcciones duplicadas previene que dos nodos utilicen
la misma dirección IPv6 en un enlace. Cada vez que un nodo desea utilizar cualquier
tipo de dirección IPv6, envía un mensaje de solicitud de vecino preguntando por la
dirección física de dicha dirección. Si no obtiene respuesta, significa que dicha
dirección no está siendo utilizada actualmente, por lo que puede usarla sin problemas.
Al no existir autenticación, un atacante podría fácilmente realizar un ataque de
denegación de servicio (DoS) pretendiendo poseer todas las direcciones IPv6 posibles.
Cada vez que un nodo desea utilizar una dirección IPv6, el atacante responde su
solicitud de solicitud de vecino, impidiendo su uso.
Para ejecutar este ataque, se puede utilizar la herramienta “dos-new-ip6” incluida en el
paquete THC IPv6. Dicha herramienta responde a todos los mensajes de solicitud de
vecinos que se reciben en una determinada interfaz, independiente de la dirección IPv6
consultada. De esta forma, el resto de los nodos presentes en el enlace no pueden
utilizar ninguna nueva dirección IPv6.
REDIRECCIÓN
La redirección es un mecanismo basado en ICMPv6 que permite a un “router” informar
a otros nodos de un enlace la existencia de un mejor primer salto para llegar a una
dirección o red determinada. Cuando un “router” recibe un paquete, revisa su tabla de
rutas y si encuentra que existe un mejor primer salto envía un mensaje de redirección
al nodo que envió el paquete. El nodo al recibir un mensaje de redirección, actualiza su
tabla de rutas y envía el paquete al nuevo primer salto.
Al igual que en los casos anteriores, no existe autenticación para el envío de mensajes
de redirección. El único mecanismo de protección existente consiste en que para que
un mensaje de redirección enviado por un “router” sea válido, debe contener una copia
del paquete original que causo el envío del mensaje de redirección. Sin embargo, un
atacante puede inducir a un nodo generar paquetes con contenido conocido (como un
mensaje ICMPv6 “echo request”) los cuales pueden ser utilizados en mensajes de
redirección falsos. Para ejecutar este ataque, se puede utilizar la herramienta “redir6”
incluida en el paquete THC IPv6. Dicha herramienta genera mensajes de redirección
falsos, que sobrescriben la tabla de rutas de un determinado nodo.
ATAQUE POR MEDIO DEL ENVÍO DE PAQUETES DE ROUTER ADVERTISING, Y
DHCPV6
ICMP: Internet Control Message Protocol - Protocolo de Control de Mensajes de
Internet). su utilidad no está en el transporte de datos de usuario, sino en controlar si
un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento
lleva un valor no permitido, si es un paquete de eco o respuesta, etc.
Este tipo de ataque está orientado para aquellas redes que no están preparadas para
las aplicaciones que utilizan el nuevo protocolo de red IPv6, por lo que no tienen
implementado ninguna política de seguridad, ni ningún mecanismos que alerte al
administrador de
red que se está realizando acciones indebidas por medio del protocolo.
El ataque consiste en tener una PC dentro de la red que se encuentre simulando ser un
router que está divulgando su prefijo IPv6 por medio de paquetes de “Router
Advertisement”, lo que causa que la víctima configure como su Default Gateway a la
dirección IP versión 6 de nuestra máquina atacante. Con ello se puede causar que la
víctima intente salir hacia internet a través de las interfaces de la pc atacante, lo que
se puede usar para hacer una revisión y cambio de los datos que fluyen por esta ruta.
Además de ello también se puede usar la máquina atacante para que actúe como un
servidor DNSv6, con el objetivo de configurar en las víctimas la dirección de un
servidor DNS corrupto con el que podríamos hacer ataques de DNS “spoofing”, pues
dirigiríamos las peticiones de DNS a portales como Facebook, o Gmail hacia direcciones
IP de servidores HTTP corruptos en los que se ha clonado estas páginas web, y por
medio de ellas poder obtener los usuarios y claves de las víctimas.
SOLUCIÒN:
Para Win vista,7,8
netsh interface ipv6 set interface “Local Area Connection” routerdiscovery=disabled
Para winxp
delete interface name="Local Area Connection"
VULNERABILIDADES QUE USAN EL CAMPO “FLOW LABEL”
Flow Label El Flow Label es un número pseudo-aleatorio entre el 1 y FFFFFF
(hexadecimal) que es único cuando se combina con la dirección de la fuente. Entonces
el router puede llevar a cabo procesamientos particulares: escoger una ruta, procesar
información en "tiempo real", etc. La fuente mantendrá este valor para todos los
paquetes que envíe para esta aplicación y este destino.
Por ejemplo, cuando un par de nodos necesiten cierto ancho de banda pueden levantar
esta bandera y los enrutadores pueden darle tratamiento especial.
Este comportamiento de la red puede ser usado por competidores y personas mal
intencionadas para obtener un mejor servicio, o en un extremo la denegación de
servicio del tráfico que nos pertenece al inyectar paquetes con direcciones IPv6 falsas
o etiquetas “Flow Label” adulteradas.
Además, una de las desventajas que se presenta en una red IPv6 es que las cabeceras
de los paquetes que pasan por los nodos intermedios no se verifican y no existe
garantía que estos datos sean confiables, por lo que la red confía en que estos datos
son tan confiables como los nodos que originan este tráfico.
Solucion: El uso de “IPSEC” dentro de IPv6, no garantiza seguridad contra ataques de
este tipo, pues no contempla en sus cálculos criptográficos la etiqueta “Flow Label”,
por lo que el cambio fraudulento del contenido de esta etiqueta sigue siendo un riesgo,
aun cuando se utilice el modo de Tunneling IPSEC, pues IPSEC solo garantiza la
seguridad de extremo a extremo, pues se puede comprometer al nodo final del túnel
para realizar el ataque.
ATAQUE A TRAVÉS DE “EXTENSIONS HEADER’S”EN PAQUETES “DISCOVERY” Y
“ADVERTISEMENT”
El uso de “Extension Header‟s” provee al atacante maneras de eludir los mecanismos
de defensa que posee la red (RA-Guard RFC-6105). Por eso hay que ignorar aquellos
paquetes Discovery y Advertisement que contengan “Extension‟s Headers”, para así
evitar ataques que puedan utilizar esta clase de paquetes.
A continuación se va a explicar cómo se realiza la evasión del mecanismo de defensa
que se implementa en la red en contra paquetes “Router Advertisement” fraudulentos
que pueden causar ataques de DoS, DNS “Spoofing” y ” Man-in-the-middle”.
SOLUCION
El mecanismo de RA-Guard (Router Advertisement Guard)
Es utilizado como primera línea de defensa en contra de ataques de falsificación de
paquetes Router Advertisement (lo vamos a llamar RA),
Consiste en un mecanismo de filtrado de capa 2 que sigue algunos criterios para elegir
cuáles son los paquetes legítimos y cuáles no. El principio básico de filtrado es que se
descartarán cualquier paquete RA que llegue a los puertos del dispositivo capa 2,
excepto aquellos paquetes que lleguen por medio de un puerto que específicamente los
permite, por lo que se puede notar que la efectividad de este filtrado depende de la
habilidad del dispositivo capa 2 para identificar a los paquetes RA; además, se puede
aprovechar las “Extension‟s Headers” para engañar al filtrado de paquetes RA, pues
algunos dispositivos capa 2 solo examina el “Header IPv6” fijo que vienen por defecto
en IPv6 para determinar si este paquete es o no un paquete RA, por lo que si se tiene
un “Extension Header” en el paquete. Por allí se puede enviar la información que
pertenece a un paquete RA y así engañar el filtrado de RA-Guard.
ATAQUE A TRAVÉS DEL USO DE FRAGMENTACIÓN DE PAQUETES.
El tamaño de un datagrama es de 65536 bytes .Sin embargo este valor nunca es
alcanzado porque las redes no tienen suficiente capacidad para enviar paquetes tan
grandes. Además las redes en internet utilizan diferentes tecnologías por lo tanto el
tamaño máximo de un datagrama varia según el tipo de red. El tamaño máximo de
una trama se denomina MTU(Unidad de transmisión máxima). El datagrama se
fragmenta si es mas grande que la MTU de la red. La fragmentación del datagrama se
lleva a cabo a nivel de router, es decir durante la transición de una red con una MTU
grande a una red con una MTU más pequeña.
En el RFC 2460 se especifica el mecanismo de fragmentación que permitiría a los
paquetes IPv6 para que se adapten al MTU máximo que se puede utilizar para
atravesar una red con una tecnología determinada. Estos fragmentos pueden ser
superpuestos entre sí, por lo que en el momento de ensamblaje se puede tener
ambigüedades; éstas pueden ser usadas por los atacantes para vulnerar firewall‟s y
mecanismos de detección de intrusiones. Es por ello que se creó un documento RFC
5722 para prohibir el uso de fragmento sobrelapados, pero en la sección 5 del RFC
2460 se especifica que se puede usar los llamados „fragmentos atómicos‟, que son
paquetes IPv6 que son demasiado grandes para que sean llevados por medio de una
red que posea un tamaño máximo de MTU menor que el tamaño que tiene el paquete
IPv6 que quiere pasar, y por ello en vez de fragmentarlo, lo que hace es añadirle una
cabecera de “Header Fragmentation” en la que se tiene como “Fragmentation Value ” y
el bit “M” con valores „0‟; este tipo de paquetes pueden ser creados por medio del
envío de paquetes ICMPv6 “Packet Too Big Error”, con ello ya puedo utilizar estos
headers para causar ataques como DoS de un flujo de datos de una víctima específica
(como se indicaen “draft-gont-6man-predictable-fragment-id”) pues con los Fragment
Header se puede hacer creer que los paquetes que envíe la victima son todos resultad
de una colisión y por lo tanto deben ser descartados; como este ataque también
existen otros ataques que aprovechan las vulnerabilidades que tienen los paquetes que
utilizan “Fragment‟s Headers”.
Además de ello otros factores que favorecen este tipo de vulnerabilidad son: Muchas
implementaciones no validan los paquetes ICMPv6 “Error Messages”, aun cuando es
una práctica recomendada en los RFC‟s 4443 y 592; otro factor es que después de que
un mensaje “ICMPv6 Error” llegó al destino, la cache destino es actualizada para que
espere que todos los paquetes que lleguen posean un “Fragment Header” dentro ellos,
lo que significa que este mensaje adulterado puede afectar a múltiples comunicaciones
TCP con ese destino; y por último se tiene el caso de que es casi imposible la
validación de mensajes ICMPv6 de error que hayan sido provocados por un protocolo
de transporte sin conexión que está siendo encapsulado en IPv6.
Otro tipo de ataque que utiliza la fragmentación de paquetes es la evasión de
mecanismos de seguridad como RA-Guard, en el que se utiliza la fragmentación para
ocultar la naturaleza de un paquete RA fraudulento que se está siendo enviado dentro
de los fragmentos de un paquete IPv6 normal de datos, tal y como se muestra en la
siguiente figura.
SOLUCION:
La forma más fácil de mitigar este ataque es deshabilitando IPv6, pero esto puede
bloquear también servicios como “HomeGroup” o “DirectAccess”.
HomeGroup: Compartir archivos,impresoras y otros recursos de red.
DirectAccess: Soluciona las limitaciones que presentan las redes privadas virtuales
(VPN) al establecer automáticamente una conexión bidireccional entre los equipos
cliente y la red corporativa. DirectAccess surge de la combinación de dos tecnologías
basadas en estándares de eficacia probada: el protocolo de seguridad de Internet (IPsec) y el protocolo de Internet versión 6 (IPv6).
DirectAccess usa IPsec para autenticar el equipo y el usuario, lo cual permite que el
personal de TI administre el equipo antes de que el usuario inicie sesión. De manera
opcional, puede hacer que sea necesaria una tarjeta inteligente para la autenticación del usuario.
Otra alternativa es deshabilitar la recepción de paquetes “Router Advertisement”; esta
es una buena medida para implementar en servidores, pero no es buena idea para los
clientes, pues sería necesaria la configuración manual de las direcciones IPv6 en cada
uno de ellos.
VI. CONCLUSIONES
La integración de mecanismos de seguridad, autenticación y confidencialidad
dentro del núcleo de protocolo IPv6 es una de las grandes ventajas que este
nuevo protocolo presenta.
Todas los host con Sistemas operativos WINDOWS (XP,Vista,Seven “7”, hasta el
actual Win “8”) son vulnerables a los ataques de Router Advertising. Incluso los
equipos CISCO que gozan de gran reputación no han corregido esta gran
vulnerabilidad de seguridad en los anexos se detallan con más detalles la series
de estos equipos y las versiones de los sistemas operativos Windows.
Pero los que gozan de gran reputación son los sistemas operativos bajo LINUX
como Ubuntu y OpenBSD bajo UNIX,ya que estos sistemas tienen la capacidad
de permitir solo diez paquetes de Router Advertising y el resto se dropea.
Los sistemas operativos MAC también tienen buena notoriedad al dropear el
décimo paquete de Router Advertising.
VII. RECOMENDACIONES
Explorar el impacto que tendrá el uso del protocolo IPv6 en las seguridades
informáticas.
Hacer una revisión exhaustiva de las alternativas al momento de actualizar o
implementar una red IPv6. Se descubrió que muchos fabricantes anuncian
soporte IPv6 en sus productos, pero en la realidad dicho soporte es parcial o se
incluirá en futuras actualizaciones. En dichos casos son útiles las iniciativas
como el programa “IPv6 Ready” que certifican el soporte IPv6 de equipos y
“software”, realizando una serie de pruebas sobre ellos.
VIII. BIBLIOGRAFÍA
Revista supertel Nº14 IPV6 en Ecuador
Comer,D. (2000). “Internetworking with TCP/IP Vol 1”, Cuarta Edición, Prentice
Hall.
Deering,S. & Hiden, R.(2000). “IPv6”. Primera Edición.
Thomson,S & T. Narten. (2000). “IPV6 Stateless Address Autoconfiguration”,
Primera Edición.
D. Johnson,C. Perkins, J Arkko.(2004). “Mobility Support in IPv6”, Primera
Edición
Paginas Web
Web oficial Supertel: www.supertel.com
Web oficial backtrac: http://www.backtrack-linux.org/
Web Oficial de IPv6 http://www.ipv6.org
Linux advance routing & Trafic Control http://www.lartc.net
Internet Engineering Task Force IETF www.ietf.org
IX. ANEXOS
ANEXOS A
SOPORTE IPV6 EN SISTEMAS OPERATIVOS
ANEXOS B
CONFIGURACIÓN DHCPV6 (UBUNTU)
El servicio que inicia el DHCPv6 es el programa dibbler, entonces iniciamos la
instalación.
apt-get install dibbler-server la carpeta se instala bajo /etc/dibbler bajo este
path modificamos el archivo server.conf vi server.cof
Nuestro pool va desde fc00:2012:2011:1::10 hasta fc00:2012:2011:1::15
Iniciamos el servidor dibbler /etc/init.d/dibbler-server start
Luego nos aseguramos que tenga soporte de ruteo IPv6 habilitado
root@rodd-laptop:~# sysctl -w net.ipv6.conf.all.forwarding=1 luego se mostrara
net.ipv6.conf.all.forwarding = 1 Si todo ha salido bien.
Instalación de las herramientas de la organización The Hacker’s Choice.
@ rodd-laptop #apt-get install libnet-pcap-perl
@ rodd-laptop #apt-get install libpcap0.8-dev
@ rodd-laptop #apt-get install libssl-dev
Ahora se puede instalar las herramientas de
HTC:
@ rodd-laptop #tar xzf thc-ipv6-1.8.tar.gz
@ rodd-laptop #cd thc-ipv6-1.8
@ rodd-laptop #make.
ANEXOS C
Microsoft Server 2003, Windows 7, Server 2008, Windows 8, FreeBSD, NetBSD, Cisco
y Juniper; por medio del envío de paquetes Router Advertisement con orígenes
aleatorios.
En este ataque se vale de herramientas creadas por la organización The Hacker‟s
Choice. La herramienta puede descargarse de la siguiente dirección Web:
http://www.thc.org/thc-ipv6/
Los requerimientos básicos de la PC donde se instalarán son:
• Linux con kernel 2.6 o superior
• Arquitectura x86
• Ethernet
Para instalar las herramientas hay que primero instalar las librerías necesarias para
que funcionen las herramientas de HTC:
@root#apt-get install libnet-pcap-perl
@root#apt-get install libpcap0.8-dev
@root#apt-get install libssl-dev
Ahora se puede instalar las herramientas de
HTC:
@root#tar xzf thc-ipv6-1.8.tar.gz
@root#cd thc-ipv6-1.8
@root#make
Inicio del ataque:
Una vez instaladas las herramientas se puede comenzar con el ataque, el cual consiste
en el envío de cientos o miles de paquetes “Router” Advertisement(RA) con direcciones
IPv6 y MAC origen aleatorias. La vulnerabilidad a explotar es el excesivo tiempo en
CPU que toma la configuración “Stateless Autoconfiguration” de cada una de las
direcciones IPv6 que llegan por medio de los paquetes RA.
Esta vulnerabilidad existe en los sistemas operativos Windows Server 2003, 2008, 7
,8; FreeBSD, NetBSD y en los equipos ASA Cisco. A continuación se muestra la lista de
sistemas afectados por esta vulnerabilidad, publicada por la comunidad de seguridad
„Security Connect‟ de la compañía Symantec (http://www.
securityfocus.com/bid/45760/info):
CVE: CVE-2010-4669
CVE-2010-4670
CVE-2010-4671
Published: Jan 11 2011 12:00AM
Updated: Apr 06 2011 03:05PM
Credit: vanHauser
Vulnerable: Microsoft Windows XP Tablet PC
Edition SP3
Microsoft Windows XP Tablet PC Edition SP2
Microsoft Windows XP Tablet PC Edition SP1
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Service Pack 3 0
Microsoft Windows XP Professional x64
Edition SP3
Microsoft Windows XP Professional x64
Edition SP2
Microsoft Windows XP Professional x64
Edition
Microsoft Windows XP Professional SP3
Microsoft Windows XP Professional SP2
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Media Center Edition
SP3
Microsoft Windows XP Media Center Edition
SP2
Microsoft Windows XP Media Center Edition
SP1
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Home SP3
Microsoft Windows XP Home SP2
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP Gold 0
Microsoft Windows XP Embedded Update Rollup
1.0
Microsoft Windows XP Embedded SP2 Feature
Pack 2007 0
Microsoft Windows XP Embedded SP3
Microsoft Windows XP Embedded SP2
Microsoft Windows XP Embedded SP1
Microsoft Windows XP Embedded
Microsoft Windows XP 64-bit Edition Version
2003 SP1
Microsoft Windows XP 64-bit Edition Version
2003
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP Gold Tablet Pc
Microsoft Windows XP Gold Professional
Microsoft Windows XP Gold Media Center
Microsoft Windows XP Gold Embedded
Microsoft Windows XP 0
Microsoft Windows XP 0
Microsoft Windows XP - Gold X64
Microsoft Windows XP - Gold Home
Microsoft Windows XP - Gold 64-Bit-2002
Microsoft Windows Vista x64 Edition SP2
Microsoft Windows Vista x64 Edition SP1
Microsoft Windows Vista x64 Edition 0
Microsoft Windows Vista Ultimate 64-bit
edition SP2
Microsoft Windows Vista Ultimate 64-bit
edition SP1
Microsoft Windows Vista Ultimate 64-bit
edition 0
Microsoft Windows Vista Home Premium 64-bit
edition SP2
Microsoft Windows Vista Home Premium 64-bit
edition SP1
Microsoft Windows Vista Home Premium 64-bit
edition 0
Microsoft Windows Vista Home Basic 64-bit
edition Sp2 X64
Microsoft Windows Vista Home Basic 64-bit
edition SP2
Microsoft Windows Vista Home Basic 64-bit
edition Sp1 X64
Microsoft Windows Vista Home Basic 64-bit
edition SP1
Microsoft Windows Vista Home Basic 64-bit
edition 0
Microsoft Windows Vista Enterprise 64-bit
edition SP2
Microsoft Windows Vista Enterprise 64-bit
edition SP1
Microsoft Windows Vista Enterprise 64-bit
edition 0
Microsoft Windows Vista December CTP X64
Microsoft Windows Vista December CTP SP2
Microsoft Windows Vista December CTP SP1
Microsoft Windows Vista December CTP Gold
Microsoft Windows Vista December CTP
Microsoft Windows Vista Business 64-bit
edition SP2
Microsoft Windows Vista Business 64-bit
edition SP1
Microsoft Windows Vista Business 64-bit
edition 0
Microsoft Windows Vista Ultimate SP2
Microsoft Windows Vista Ultimate SP1
Microsoft Windows Vista Ultimate
Microsoft Windows Vista SP2 Beta
Microsoft Windows Vista SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista Home Premium SP2
Microsoft Windows Vista Home Premium SP1
Microsoft Windows Vista Home Premium
Microsoft Windows Vista Home Basic SP2
Microsoft Windows Vista Home Basic SP1
Microsoft Windows Vista Home Basic
Microsoft Windows Vista Enterprise SP2
Microsoft Windows Vista Enterprise SP1
Microsoft Windows Vista Enterprise
Microsoft Windows Vista Business SP2
Microsoft Windows Vista Business SP1
Microsoft Windows Vista Business
Microsoft Windows Vista beta 2
Microsoft Windows Vista Beta 1
Microsoft Windows Vista Beta
Microsoft Windows Vista 3.0
Microsoft Windows Vista 2.0
Microsoft Windows Vista 1.0
Microsoft Windows Vista 0
Microsoft Windows Server 2008 Standard
Edition X64
Microsoft Windows Server 2008 Standard
Edition SP2
Microsoft Windows Server 2008 Standard
Edition Release Candidate
Microsoft Windows Server 2008 Standard
Edition Itanium
Microsoft Windows Server 2008 Standard
Edition 0
Microsoft Windows Server 2008 Standard
Edition - Sp2 Web
Microsoft Windows Server 2008 Standard
Edition - Sp2 Storage
Microsoft Windows Server 2008 Standard
Edition - Sp2 Hpc
Microsoft Windows Server 2008 Standard
Edition - Gold Web
Microsoft Windows Server 2008 Standard
Edition - Gold Storage
Microsoft Windows Server 2008 Standard
Edition - Gold Standard
Microsoft Windows Server 2008 Standard
Edition - Gold Itanium
Microsoft Windows Server 2008 Standard
Edition - Gold Hpc
Microsoft Windows Server 2008 Standard
Edition - Gold Enterprise
Microsoft Windows Server 2008 Standard
Edition - Gold Datacenter
Microsoft Windows Server 2008 Standard
Edition - Gold
Microsoft Windows Server 2008 R2 x64 0
Microsoft Windows Server 2008 R2 Itanium 0
Microsoft Windows Server 2008 R2 Datacenter
0
Microsoft Windows Server 2008 for x64-based
Systems SP2
Microsoft Windows Server 2008 for x64-based
Systems R2
Microsoft Windows Server 2008 for x64-based
Systems 0
Microsoft Windows Server 2008 for Itaniumbased
Systems SP2
Microsoft Windows Server 2008 for Itaniumbased
Systems R2
Microsoft Windows Server 2008 for Itaniumbased
Systems 0
Microsoft Windows Server 2008 for 32-bit
Systems SP2
Microsoft Windows Server 2008 for 32-bit
Systems 0
Microsoft Windows Server 2008 Enterprise
Edition SP2
Microsoft Windows Server 2008 Enterprise
Edition Release Candidate
Microsoft Windows Server 2008 Enterprise
Edition 0
Microsoft Windows Server 2008 Datacenter
Edition SP2
Microsoft Windows Server 2008 Datacenter
Edition Release Candidate
Microsoft Windows Server 2008 Datacenter
Edition 0
Microsoft Windows Server 2008 SP2 Beta
Microsoft Windows Server 2003 x64 SP2
Microsoft Windows Server 2003 x64 SP1
Microsoft Windows Server 2003 Web Edition
SP2
Microsoft Windows Server 2003 Web Edition
SP1 Beta 1
Microsoft Windows Server 2003 Web Edition
SP1
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard x64
Edition
Microsoft Windows Server 2003 Standard
Edition SP2
Microsoft Windows Server 2003 Standard
Edition SP1 Beta 1
Microsoft Windows Server 2003 Standard
Edition SP1
Microsoft Windows Server 2003 Standard
Edition
Microsoft Windows Server 2003 R2 web Edition
0
Microsoft Windows Server 2003 R2 Standard Edition 0
Microsoft Windows Server 2003 R2 Enterprise
Edition SP2 0
Microsoft Windows Server 2003 R2 Enterprise
Edition SP1 0
Microsoft Windows Server 2003 R2 Enterprise
Edition 0
Microsoft Windows Server 2003 R2 Datacenter
Edition SP2 0
Microsoft Windows Server 2003 R2 Datacenter
Edition SP1 0
Microsoft Windows Server 2003 R2 Datacenter
Edition 0
Microsoft Windows Server 2003 Itanium SP2
Microsoft Windows Server 2003 Itanium SP1
Microsoft Windows Server 2003 Itanium 0
Microsoft Windows Server 2003 Enterprise x64
Edition SP2
Microsoft Windows Server 2003 Enterprise x64
Edition
Microsoft Windows Server 2003 Enterprise
Edition Itanium Sp2 Itanium
Microsoft Windows Server 2003 Enterprise
Edition Itanium SP2
Microsoft Windows Server 2003 Enterprise
Edition Itanium SP1 Beta 1
Microsoft Windows Server 2003 Enterprise
Edition Itanium SP1
Microsoft Windows Server 2003 Enterprise
Edition Itanium 0
Microsoft Windows Server 2003 Enterprise
Edition SP1 Beta 1
Microsoft Windows Server 2003 Enterprise
Edition SP1
Microsoft Windows Server 2003 Enterprise
Edition
Microsoft Windows Server 2003 Datacenter x64
Edition SP2
Microsoft Windows Server 2003 Datacenter x64
Edition
Microsoft Windows Server 2003 Datacenter
Edition Itanium SP1 Beta 1
Microsoft Windows Server 2003 Datacenter
Edition Itanium SP1
Microsoft Windows Server 2003 Datacenter
Edition Itanium 0
Microsoft Windows Server 2003 Datacenter
Edition SP1 Beta 1
Microsoft Windows Server 2003 Datacenter
Edition SP1
Microsoft Windows Server 2003 Datacenter
Edition
Microsoft Windows Server 2003 Sp2 Storage
Microsoft Windows Server 2003 Sp2 Enterprise
Microsoft Windows Server 2003 Sp2 Datacenter
Microsoft Windows Server 2003 Sp2 Compute
Cluster
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 Sp1 Storage
Microsoft Windows Server 2003 SP1 Platform
SDK
Microsoft Windows Server 2003 Sp1 Compute
Cluster
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003 R2 X64-
Standard
Microsoft Windows Server 2003 R2 X64-
Enterprise
Microsoft Windows Server 2003 R2 X64-
Datacenter
Microsoft Windows Server 2003 R2 X64
Microsoft Windows Server 2003 R2 Storage
Microsoft Windows Server 2003 R2 Standard
Microsoft Windows Server 2003 R2 Platfom SDK
Microsoft Windows Server 2003 R2 Enterprise
Microsoft Windows Server 2003 R2 Datacenter
Microsoft Windows Server 2003 R2 Compute
Cluster
Microsoft Windows Server 2003 R2
Microsoft Windows Server 2003 Gold X64-
Standard
Microsoft Windows Server 2003 Gold X64-
Enterprise
Microsoft Windows Server 2003 Gold X64-
Datacenter
Microsoft Windows Server 2003 Gold X64
Microsoft Windows Server 2003 Gold Storage
Microsoft Windows Server 2003 Gold Standard
Microsoft Windows Server 2003 Gold Itanium
Microsoft Windows Server 2003 Gold Enterprise
Microsoft Windows Server 2003 Gold Datacenter
Microsoft Windows Server 2003 Gold Compute
Cluster
Microsoft Windows Server 2003 Gold
Microsoft Windows Server 2008 R2
Microsoft Windows 7 XP Mode 0
Microsoft Windows 7 Ultimate 0
Microsoft Windows 7 Starter 0
Microsoft Windows 7 Professional 0
Microsoft Windows 7 Home Premium 0
Microsoft Windows 7 for x64-based Systems 0
Microsoft Windows 7 for Itanium-based
Systems 0
Microsoft Windows 7 for 32-bit Systems 0
Microsoft Windows 7 RC
Microsoft Windows 7 beta
Microsoft Windows 7
Cisco PIX/ASA 8.1(2.3)
Cisco PIX/ASA 8.1(2.19)
Cisco PIX/ASA 8.1(2)19
Cisco PIX/ASA 8.1(2)16
Cisco PIX/ASA 8.1(2)15
Cisco PIX/ASA 8.1(2)14
Cisco PIX/ASA 8.1(2)12
Cisco PIX/ASA 8.1(2)
Cisco PIX/ASA 8.1(1)5
Cisco PIX/ASA 8.1(1)4
Cisco PIX/ASA 8.1(1)2
Cisco PIX/ASA 8.1(1)13
Cisco PIX/ASA 8.1(1)1
Cisco PIX/ASA 8.1
Cisco PIX/ASA 8.0(4.9)
Cisco PIX/ASA 8.0(4.28)
Cisco PIX/ASA 8.0(4)7
Cisco PIX/ASA 8.0(4)6
Cisco PIX/ASA 8.0(4)5
Cisco PIX/ASA 8.0(4)28
Cisco PIX/ASA 8.0(4)25
Cisco PIX/ASA 8.0(4)24
Cisco PIX/ASA 8.0(4)23
Cisco PIX/ASA 8.0(4)22
Cisco PIX/ASA 8.0(4)
Cisco PIX/ASA 8.0(3)9
Cisco PIX/ASA 8.0(3)15
Cisco PIX/ASA 8.0(3)14
Cisco PIX/ASA 8.0(3)10
Cisco PIX/ASA 8.0(3)
Cisco PIX/ASA 8.0(2)17
Cisco PIX/ASA 8.0(2)
Cisco PIX/ASA 8.0
Cisco IOS 15.0M
Cisco IOS 15.0M
Cisco Ios 15.0(1)XA1
Cisco Ios 15.0(1)XA
Cisco IOS 15.0(1)M2
Cisco IOS 15.0(1)M1
Cisco IOS 15.0(1)M1
Cisco IOS 15.0 M
Cisco Ios 15.0
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2.2
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(3)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(2.17)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(2.13)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(2.10)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(2.1)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(2)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(1.5)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(1.2)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(1.16)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(1.15)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2(1.10)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.2
Cisco ASA 5500 Series Adaptive Security
Appliance 8.1(2.46)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.1(2.45)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.1(2.44)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.1(2.40)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.1(2.39)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.1(2.37)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.1(2.35)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.1(2.29)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.1
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0(5.7)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0(5.6)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0(5.2)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0(5.19)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0(5.17)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0(5.15)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0(5.1)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0(4.44)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0(4.38)
Cisco ASA 5500 Series Adaptive Security
Appliance 8.0
Not Vulnerable: Cisco Ios 15.0(1)XA5
Como se puede ver esta herramienta nos permite apreciar que existe muchos objetivos
vulnerables para este tipo de ataque; según las pruebas realizadas en la página web
„samsclass‟ se pudo determinar que 600 paquetes RA‟s son suficientes para que una PC
que corre Windows 7 ya sobrepase su capacidad de procesamiento y todos sus
procesos comiencen a congelarse.
Los sistemas operativos: OpenBSD, Ubuntu y MAC, no son vulnerables a este tipo de
ataque pues ignoran los paquetes RA a partir del décimo paquete que llega.
Para iniciar con el ataque solo necesitamos colocar en la consola el siguiente comando:
@root#flood_router6 eth0
Con esto indicamos que vamos a envíar un continuo flujo de paquetes RA con
direcciones origen MAC e IPv6 aleatorias hacia la red local.
En la figura 7 se puede ver como sube el nivel de utilización del CPU de una PC
Windows 7 al que se está atacando por medio del envío masivo de paquetes Router
Advertisement.
Figura 7. Utilización de CPU de PC atacada por medio de envío masivo de paquetes RA