w IPv6 Bezpieczeństwo

Podobne dokumenty
dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Sieci komputerowe - administracja

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Metody zabezpieczania transmisji w sieci Ethernet

Dlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR

Przesyłania danych przez protokół TCP/IP

Adresy w sieciach komputerowych

Protokoły sieciowe - TCP/IP

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.

Plan i problematyka wykładu. Sieci komputerowe IPv6. Rozwój sieci Internet. Dlaczego IPv6? Przykład zatykania dziur w funkcjonalności IPv4 - NAT

Sieci VPN SSL czy IPSec?

Metody ataków sieciowych

ARP Address Resolution Protocol (RFC 826)

Bezpieczeństwo w M875

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

MODEL WARSTWOWY PROTOKOŁY TCP/IP

ZiMSK. VLAN, trunk, intervlan-routing 1

ZiMSK NAT, PAT, ACL 1

MODEL OSI A INTERNET

Funkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

Zapory sieciowe i techniki filtrowania.

Warstwa sieciowa. mgr inż. Krzysztof Szałajko

mgr inż. Radosław Podedworny

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Router programowy z firewallem oparty o iptables

Plan wykładu. Wyznaczanie tras. Podsieci liczba urządzeń w klasie C. Funkcje warstwy sieciowej

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

ADRESY PRYWATNE W IPv4

Podstawy bezpieczeństwa

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

Sieci wirtualne VLAN cz. I

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Test sprawdzający wiadomości z przedmiotu Systemy operacyjne i sieci komputerowe.

Translacja adresów - NAT (Network Address Translation)

Sieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP

Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Internet Control Message Protocol (ICMP) Łukasz Trzciałkowski

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

Firewall bez adresu IP

WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 filia w EŁKU, ul. Grunwaldzka

Komunikacja w sieciach komputerowych

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Zapory sieciowe i techniki filtrowania danych

Sieci komputerowe - Wstęp do intersieci, protokół IPv4

Paweł Pokrywka. Radar w Ethernecie. Lokalizowanie hostów w sieci LAN

Zdalne logowanie do serwerów

Wprowadzenie do zagadnień związanych z firewallingiem

Sieci komputerowe w sterowaniu informacje ogólne, model TCP/IP, protokoły warstwy internetowej i sieciowej

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Akademia Techniczno-Humanistyczna w Bielsku-Białej

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PODSTAWY RUTINGU IP. WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r.

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Internet Control Messaging Protocol

TCP/IP (Transmission Control Protocol / Internet Protocol) komunikacji otwartej stosem protokołów

1PSI: TEST do wykonania (protokoły sieciowe jedna prawidłowa odp.): Tematy prac semestralnych G. Romotowski. Sieci Komputerowe:

LABORATORIUM - SINUS Firewall

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

CCNA : zostań administratorem sieci komputerowych Cisco / Adam Józefiok. Gliwice, cop Spis treści

Zarządzanie bezpieczeństwem w sieciach

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Referencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37

WOJEWÓDZTWO PODKARPACKIE

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 24

Adresowanie grupowe. Bartłomiej Świercz. Katedra Mikroelektroniki i Technik Informatycznych. Łódź, 25 kwietnia 2006

Laboratorium Sieci Komputerowych - 2

1. W protokole http w ogólnym przypadku elementy odpowiedzi mają: a) Postać tekstu b) Postać HTML c) Zarówno a i b 2. W usłudze DNS odpowiedź

Zadania z sieci Rozwiązanie

Ataki sieciowe Materiały pomocnicze do wykładu

Protokół ARP Datagram IP

9. System wykrywania i blokowania włamań ASQ (IPS)

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

Audytowane obszary IT

Protokół IPsec. Patryk Czarnik

BRINET Sp. z o. o.

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

ZiMSK. Routing statyczny, ICMP 1

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

ZiMSK. Konsola, TELNET, SSH 1

ZADANIE.10 DHCP (Router, ASA) 1,5h

Zarządzanie systemami informatycznymi. Zagrożenia w sieci

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

DLACZEGO QoS ROUTING

Protokół IPX (Internetwork Packet Exchange)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Transkrypt:

Bezpieczeństwo w IPv6 Autor: Mariusz Sepczuk Opiekun: prof. dr hab. inŝ. Zbigniew Kotulski 1/44

Plan prezentacji Plan prezentacji Wstęp, czyli dlaczego IPv6 Ataki na protokół i metody zabezpieczeń nowe ataki w IPv6 ataki podobne do ataków w Ipv4 IPsec Firewalle w środowisku uŝywającym IPv6 Tunelowanie IPv6 2/44

Plan prezentacji Plan prezentacji Wstęp, czyli dlaczego IPv6 Ataki na protokół i metody zabezpieczeń nowe ataki w IPv6 ataki podobne do ataków w Ipv4 IPsec Firewalle w środowisku uŝywającym IPv6 Tunelowanie IPv6 3/44

Motywacja dotychczasowa 32-bitowa przestrzeń adresowa niedługo się wyczerpie 4/44

Co mamy w związku zku z IPv6? pula adresów 2 128 vs 2 32 struktura adresu 2001:0db8:0000:0000:0000:0000:1428:070b 2001:db8::1428:70b 5/44

Co mamy w związku zku z IPv6? typy adresów unicast address anycast address multicast address nowy nagłówek 6/44

Plan prezentacji Plan prezentacji Wstęp, czyli dlaczego IPv6 Ataki na protokół i metody zabezpieczeń nowe ataki w IPv6 ataki podobne do ataków w Ipv4 IPsec Firewalle w środowisku uŝywającym IPv6 Tunelowanie IPv6 7/44

Ataki na protokół rozpoznanie (rekonesans) manipulowanie nagłówkiem i fragmentacja spoofing warstw 3 i 4 ARP and DHCP attacks smurf attack ataki na routing wirusy i robaki 8/44

Rekonesans Pierwsza faza ataku mająca na celu odkrycie słabych punktów potencjalnej ofiary Atak w IPv4 Ping sweeps Port scans Applocation and vulnerability scans Atak w IPv6 Ping sweeps lub port scans Opcja wykorzystania adresów multicast 9/44

Jak się zabezpieczać? WdroŜenie rozszerzeń prywatności Filtr do uŝytku wewnętrznego adresów ipv6 na routerach brzegowych UŜywanie standardowych, ale nie oczywistych adresów dla systemów Filtr niepotrzebnych usług na zaporze Selektywny filtr ICMP 10/44

Manipulacja nagłówkiem i fragmentacja Jedna z najłatwiejszych technik naduŝycia W nowej wersji protokołu dodatkowo: Niedopracowanie oprogramowania (w tym liczne błędy) Dlaczego filtrowanie pakietów ipv6 jest trudne? Brak ograniczenia na rozmiar nagłówka Ściśle określona kolejność występowania po sobie rozszerzeń nagłówka Fragmentacja: nie wiemy jak zachowa się system ze stosem OSI w przypadku dwóch ramek zawierających ten sam numer sekwencyjny 11/44

Jak się zabezpieczać? Zapewnienie odpowiednich zdolności filtrowania fragmentacji IPv6 Usuwanie wszystkich fragmentów z mniej niŝ 1280 oktetów (oprócz ostatniego) 12/44

Spoofing warstw 3 i 4 Spoofing warstw 3 i 4 Jeden z najpowaŝniejszych ataków Fałszowanie podstawowych usług i protokołów sieciowych Atak w IPv4 Następuje kaŝdego dnia (DoS, spam, robaki I wirusy) RFC 2827 definiuje metody do filtrowania przeciwdziałające spoofingowi warstwy 3 Zasadniczo nie wprowadzono w Ŝycie (ochrona przed spoofingiem części sieciowej adresu, a nie części hosta) 13/44

Spoofing warstw 3 i 4 Spoofing warstw 3 i 4 Atak w IPv6 Zagregowany charakter IPv6 pozwala na zaimplementowanie metod filtrowania z RFC 2827 Spoffing warstwy 4 nie został zmieniony w stosunku do IPv4 DuŜo więcej adresów więcej adresów do sfałszowania Zabezpieczenia RFC 2827 Ochrona kryptograficzna 14/44

ARP I DHCP attack ARP I DHCP attack Zanim stacja zacznie komunikację musi znać adres MAC drugiej strony (wysyła zapytanie ARP) Wszystkie stacje w podsieci przetwarzają zapytanie i odpowiada tylko ta której ip było w zapytaniu 15/44

ARP I DHCP attack ARP I DHCP attack Zgodnie z ARP RFC, klient moŝe wysłać odpowiedź ARP bez Ŝądania (ARP grzecznościowy Gratuituous ARP). Inne hosty w podsieci mogą zachować tę informację w swoich tablicach ARP KaŜdy moŝe podać się za posiadacza dowolnego IP/MAC Ataki ARP pozwalają przekierowywać ruch 16/44

ARP I DHCP attack ARP I DHCP attack DHCP: przyznawanie dynamicznego ip na Ŝądanie Atak w IPv6 Brak zabezpieczeń dla IPv6 odpowiedników ARP i DHCP Ataki takie jak w IPv4 Fałszywy serwer DHCP Wygłodnienie serwera DHCP 17/44

Neighbors Discovery Neighbors Discovery Komunikacja stacji znajdujących się w jednym segmencie (bez routerów I konfiguracji tras routingu) Działanie: A, po włączeniu się do sieci wysyła swój adres jednostkowy łącza lokalnego na adres Solicited- Node Address hosta B z zapytaniem o adres B B wysyła swój adres jednostkowy łącza lokalnego A i B mogą się komunikować A B 18/44

Jak się zabezpieczać? DHCP snooping- nie pozwala on na nadawanie adresów IP serwerom DHCP z nie zaufanych portów na switchu UŜywanie statycznych wpisów sąsiada 19/44

Smurf attack Smurf attack Atakujący fałszuje ping, poprzez zmianę adresu źródła tych zapytań na adres atakowanego serwera Pakiety wysyłane są na adres rozgłoszeniowy, po czym odpowiedź przesyłana będzie na sfałszowany adres źródłowy atakowanej ofiary 20/44

Smurf attack Smurf attack Atak w IPv4 Prosta metoda ograniczenia w sieciach IP Wyłączenie broadcastu na routerach: : no ip directed broadcasts Atak w IPv6 Usunięcie adresów broadcast Pakiety ICMPv6 nie powinny być generowane jako odpowiedź na IPv6 multicast destination address lub link-layer multicast address(jeśli tak jest w routerach końcowych, to atak nie jest problemem) 21/44

Jak się zabezpieczać? Wprowadzenie filtrowania pakietów z IPv6 multicast source addresses 22/44

Ataki na routing Ataki na routing Zakłócenia lub przekierowanie ruchu w sieci Flooding, szybkie ogłaszanie i usuwanie tras, podrabianie tras ZaleŜne od wyboru protokołu routingu IPv4: uwierzytelnienie w celu zabezpieczenia komunikacji między węzłami Protokoły w IPv6 Uwierzytelnienie w BGP i IS-IS OSPFv3 i RIPng- brak pola uwierzytelnienia nagłówka 23/44

Jak się zabezpieczać? UŜywać tradycyjnych mechanizmów uwierzytelnienia w BGP i IS-IS UŜywać IPsec jako ochrony dla protokołów OSPFv3 I RIPng Generalised TTL Security Mechanism GTSM chroni sesje BGP przed atakami z oddalonych sieci/stacji Routery wymieniają się pakietami IP z polem TTL ustawionym na wartość 255(<254 odrzucamy) Urządzenia niepodłączone bezpośrednio pomiędzy routerami nie moŝe wygenerować takiego ruchu 24/44

Wirusy i robaki Wirusy i robaki Wirusy i robaki pozostają jednym najwaŝniejszych problemów w sieciach IP Atak w IPv4 uszkodzenie hosta uszkodzenie transportu sieciowego ObciąŜenie routerów, serwerów pocztowych w całym Internecie SQL slammer Ataki w IPv6 Utrudnione skanowanie potencjalnej ofiary 25/44

Jak się zabezpieczać? Program antywirusowy Firewall Aktualizacja bazy wirusów i regularne skanowanie dysków Niezbędne dalsze badania dotyczące rozwoju wirusów i robaków 26/44

Plan prezentacji Plan prezentacji Wstęp, czyli dlaczego IPv6 Ataki na protokół i metody zabezpieczeń nowe ataki w IPv6 ataki podobne do ataków w Ipv4 IPsec Firewalle w środowisku uŝywającym IPv6 Tunelowanie IPv6 27/44

Ataki podobne do ataków w w Ipv4 Sniffing, czyli przechwytywanie danych podczas transmisji w sieci Ataki na warstwę aplikacji, czyli ataki na aplikacje webowe Rogue devices, czyli wprowadzanie fałszywych urządzeń do sieci Man in the middle, czyli podsłuch i modyfikacja przesyłanych wiadomości Flooding, czyli wysyłanie tej samej wiadomości w bardzo krótkim odstępie czasu 28/44

Plan prezentacji Plan prezentacji Wstęp, czyli dlaczego IPv6 Ataki na protokół i metody zabezpieczeń nowe ataki w IPv6 ataki podobne do ataków w Ipv4 IPsec Firewalle w środowisku uŝywającym IPv6 Tunelowanie IPv6 29/44

IPsec Zbiór protokołów słuŝących implementacji bezpiecznych połączeń oraz wymiany kluczy szyfrowania pomiędzy komputerami Co oferuje? Kontrola dostępu Integralność danych (bezpołączeniowa) Autentyczność pochodzenia danych Odrzucanie powtarzających się pakietów Poufność (szyfrowanie) Ograniczona poufność przepływu danych 30/44

IPsec Jakie zalety? Implementowalny w firewallach/routerach, zapewnia silne bezpieczeństwo Ruch nie moŝe ominąć firewalla z zaimplemntowanym Ipsec PołoŜony poniŝej warstwy transportowej, przejrzysty dla warstwy aplikacji Przejrzysty dla uŝytkowników końcowych Zapewnia bezpieczeństwo dla uŝytkowników indywidualnych gdy to konieczne 31/44

IPsec Ograniczenia? Nie prowadzi analizy ruchu Nie gwarantuje niezaprzeczalności Nie chroni przed odmową usługi 32/44

Plan prezentacji Plan prezentacji Wstęp, czyli dlaczego IPv6 Ataki na protokół i metody zabezpieczeń nowe ataki w IPv6 ataki podobne do ataków w Ipv4 IPsec Firewalle w środowisku uŝywającym IPv6 Tunelowanie IPv6 33/44

Firewall Zapory ogniowe stanowią jeden z najwaŝniejszych mechanizmów bezpieczeństwa sieci Filtrują wychodzący i wchodzący ruch sieciowy KaŜdy pakiet jest badany i sprawdzany z regułami ustawionymi na zaporze Reguły filtrowania muszą być zdefiniowane dla obu wersji protokołu 34/44

Firewall Architektura IPv6 I zapory (Wymagania) NAT nie jest potrzebny Słabe strony filtrowania pakietów nie mogą być ukryte przez NAT Wsparcie dla transformacji i współistnienia IPv4/IPv6 35/44

Firewall Cechy firewalla w sieci z ipv6 36/44

Firewall Typowe umiejscowienie firewalli w sieciach ipv6 37/44

Firewall 38/44

Plan prezentacji Plan prezentacji Wstęp, czyli dlaczego IPv6 Ataki na protokół i metody zabezpieczeń nowe ataki w ipv6 ataki podobne do ataków w Ipv4 IPsec Firewalle w środowisku uŝywającym IPv6 Tunelowanie IPv6 39/44

Tunelowanie IPv6 Tunelowanie IPv6 Przejście z IPv4 na IPv6 nie będzie szybkie (przez pewien czas współistnienie obu protokołów) Mechanizmy tunelowania Teredo 6to4 inne 40/44

Teredo Teredo jest systemem tunelowania, przeznaczonym głównie do tworzenia tuneli dla hostów znajdujących się za NAT, czyli nie posiadających globalnego adresu IPv4 W systemie Teredo tworzone są tunele automatyczne pomiędzy klientem a serwerem Teredo KaŜdy z klientów systemu posiada adres IPv6 zaczynający się od prefiksu 2001:0000::/32. W systemie Teredo uŝywa się kapsułkowania datagramów IPv6 wewnątrz pakietów UDP, które są przesyłane przez sieć IPv4. 41/44

6to4 Mechanizm automatycznych tuneli 6to4 pozwala podłączyć się do sieci IPv6 kaŝdemu kto dysponuje choćby jednym publicznym adresem Ipv4 Mechanizm 6to4 polega na enkapsulacji (tunelowaniu) pakietów IPv6 w pakiety Ipv4 Pakiety wysyłane są do komputera stanowiącego bramę pomiędzy siecią opartą o IPv4 a "prawdziwą" siecią IPv6 42/44

Bezpieczeństwo tunnelowania 6to4 moŝe stwarzać pewne problemy na polu bezpieczeństwa Większość z do tej pory rozpoznanych stanowią ataki typu DoS wykorzystujące moŝliwość łatwego podszywania się pod przekaźnik 6to4 Ruch tunelowany przez Teredo nie jest naleŝycie kontrolowany w firewallach Rozwiązania przystosowane do ruchu IPv4 będą kontrolować warstwę IPv4, ale nie rozpoznają pakietu IPv6 w nim zanurzonego 43/44

Pytania??? 44/44

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres