Wpªyw wdro»enia IPv6 na bezpiecze«stwo sieci

Transkrypt

1 Wpªyw wdro»enia IPv6 na bezpiecze«stwo sieci Piotr Lewandowski Instytut Informatyki Krzysztof Szczypiorski Instytut Telekomunikacji Politechnika Warszawska 24 marca 2009 Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

2 Plan prezentacji Zmiany w IPv6 wpªywaj ce na bezpiecze«stwo Zmiana struktury nagªówków Adresacja w IPv6 Nowe mechanizmy kryptograczne Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

3 Zmiana struktury nagªówków Zmiana struktury nagªówków Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

4 Zmiana struktury nagªówków Najwa»niejsze zmiany I staªa dªugo± nagªówka, I brak sumy kontrolnej, I fragmentacja dokonywana wyª cznie przez nadawc, I brak konieczno±ci analizy rozszerze«(za wyj tkiem hop-by-hop). Efekt Potencjalnie wi ksza odporno± routerów na ataki typu denial-of-service. Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

5 Adresacja w IPv6 Adresacja w IPv6 Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

6 Adresacja w IPv6 Adresacja Najwa»niejsze zmiany I wi ksza przestrze«adresowa (2 32! adresów), I hierarchiczna adresacja sieci. Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

7 Adresacja w IPv6 Network Address Translation w IPv6 NAT nie jest mechanizmem zapewnienia bezpiecze«stwa! Negatywne efekty NAT dla bezpiecze«stwa sieci: I gromadzenie logów poª cze«z przestrzeni prywatnej, I zwi kszenie zªo»ono±ci struktury sieci, I obni»enie odporno±ci sieci na ataki denial-of-service. Ponadto: I powoduje wzrost zªo»ono±ci protokoªów, I uniemo»liwia zastosowanie IPSec, I dzieli u»ytkowników na dwie klasy. Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

8 Adresacja w IPv6 Przyszªo± ataków sieciowych Skanowanie sieci na o±lep nieopªacalne. # Konieczno± znalezienia innych metod poszukiwania oary. Potencjalne ¹ródªa adresów I wewn trzne serwery DNS, I logi serwerów, I sieci peer-to-peer, Dotkni te spoªeczno±ci I wªamywacze, I spammerzy, I twórcy robaków internetowych. I dost p do lokalnego ª cza, I wyszukiwarki internetowe, I czarny rynek (?). Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

9 Nowe mechanizmy kryptograczne Nowe mechanizmy kryptograczne Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

10 Nowe mechanizmy kryptograczne Bezpiecze«stwo warstwy sieciowej w IPv6 IPv6 wprowadza obowi zkow implementacj mechanizmów IPSec: I Authentication Header (AH), I Encapsulating Security Payload (ESP), I Internet Key Exchange Protocol (IKEv2). Efekty I mniejsza zªo»ono± nowych protokoªów (np. OSPFv3), I mo»liwo± zabezpieczenia istniej cych protokoªów (DNS, Telnet), I potencjalnie wi ksza wydajno± (sprz towe ukªady kryptograczne), I mniejszy koszt tworzenia aplikacji. Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

11 Nowe mechanizmy kryptograczne Pomi dzy warstw 2 a 3 Problem Address Resolution Protocol (ARP) nie zapewnia»adnych mechanizmów bezpiecze«stwa na poziomie warstwy ª cza danych. Rozwi zanie Secure Neighbour Discovery (SEND) zabezpiecza komunikaty ICMPv6 w warstwie ª cza danych. I wykorzystuje CGA powi zanie adresu i klucza publicznego, I dziaªa równie» z urz dzeniami bez SEND, I zapobiega atakom denial-of-service w Duplicate Address Detection, I zapobiega atakom man-in-the-middle pomi dzy urz dzeniami. Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12

12 Nowe mechanizmy kryptograczne Dzi kujemy za uwag. Prosimy o pytania. Lewandowski, Szczypiorski (pw.edu.pl) Bezpiecze«stwo IPv / 12