Θέματα Ασφαλείας στο IPv6 Γιώργος Κουτέπας, ΕΜΠ Ημερίδα "Τεχνολογία IPv6 και Προηγμένες Υπηρεσίες" 19 Οκτωβρίου 2004

Θέματα Ασφαλείας στο IPv6 Νέα Ζητήματα Ασφαλείας στο IPv6 Πολλά από τα νέα χαρακτηριστικά του IPv6 μπορούν να χρησιμοποιηθούν για να διευκολύνουν επιθέσεις σε δίκτυα και συστήματα Η υλοποίηση του IPv6 σε ένα δίκτυο είναι μια διαδικασία που απαιτεί εις βάθος κατανόηση του πρωτοκόλλου και των απαιτήσεων του από την ασφάλεια, προσεκτικό σχεδιασμό και μέτρα που θα αποτρέψουν την κακόβουλη εκμετάλλευση του.

Θέματα Ασφαλείας στο IPv6 Εγγενής Ασφάλεια στο IPv6 Το νέο πρωτόκολλο, βασισμένο στην εμπειρία που είχε συγκεντρωθεί από το IPv4, ενσωματώνει μια σειρά από στοιχεία που σκοπό έχουν να βελτιώσουν την ασφάλεια αντιμετωπίζοντας ορισμένα γνωστά προβλήματα. Υποστήριξη κάποιων τμημάτων του IPsec: –Επικεφαλίδες επιβεβαίωσης ταυτότητας (authentication) –Επικεφαλίδες κρυπτογράφησης (encryption) –Μπορούν να χρησιμοποιηθούν για να υλοποιήσουν συγκεκριμένες πολιτικές ασφαλείας. Για το σκοπό αυτό μπορούν να υλοποιηθούν και ξεχωριστά (ανάλογα με την ισχύουσα πολιτική)

Θέματα Ασφαλείας στο IPv6 Ανακάλυψη στοιχείων για ένα δίκτυο Το μεγάλο εύρος διαθέσιμων διευθύνσεων δυσκολεύει την αναγνώριση των συστημάτων που λειτουργούν σε ένα δίκτυο και υπηρεσιών σε αυτά (host και port scanning) –Το προκαθορισμένο μέγεθος υποδικτύου είναι 2 64 συστήματα – πολύ δύσκολο να καλυφθεί με αποστολή διερευνητικών πακέτων Αδυναμίες: –Εύκολες, προκαθορισμένες διευθύνσεις για τα κύρια συστήματα, εξυπηρετητές DNS, IPv6 neighbor-discovery data –Ειδικές διευθύνσεις Multicast για ειδικούς τύπους συσκευών (δρομολογητές, εξυπηρετητές DHCP κ.λπ.)

Θέματα Ασφαλείας στο IPv6 Έλεγχος πρόσβασης Ένα Interface μπορεί να έχει πολλές διαφορετικές διευθύνσεις –Link local, site local, global unicast –Ο διαχειριστής μπορεί να ορίσει ώστε συγκεκριμένες συσκευές μόνον να έχουν τη δυνατότητα πρόσβασης στο Διαδίκτυο (ή ανάλογα σε άλλες περιοχές) Extension Headers στο IPv6 μπορεί να χρησιμοποιηθούν για να παρακάμψουν την πολιτική ασφαλείας –Π.χ. routing headers πρέπει να γίνονται οπωσδήποτε δεκτοί σε συγκεκριμένες συσκευές (IPv6 endpoints)

Θέματα Ασφαλείας στο IPv6 Έλεγχος πρόσβασης (2) Στο IPv6 κάποια μηνύματα ICMP και το (link-local) Multicast είναι απαραίτητα για την ομαλή λειτουργία του πρωτοκόλλου –Οι firewalls πρέπει να είναι κατάλληλα ρυθμισμένοι ώστε να αναλύουν και να επιτρέπουν την κίνηση αυτού του είδους κατά περίπτωση –Είναι σημαντικό η πολιτική ασφαλείας για το ICMP που έχει εκπονηθεί IPv4 να προσαρμοστεί για τα μηνύματα ICMPv6 που είναι πραγματικά αναγκαία

Θέματα Ασφαλείας στο IPv6 Παραποίηση Πακέτων (Spoofing) Είναι εξίσου δυνατή στα επίπεδα 3 και (ειδικά) 4 Προσφέρεται ένα νέο χαρακτηριστικό που διευκολύνει τον έλεγχο για πακέτα με διευθύνσεις αποστολέα που δεν αντιστοιχούν στο χώρο διευθύνσεων του δικτύου προέλευσης τους. –Οι διευθύνσεις αποδίδονται με τρόπο που να μπορούν να ομαδοποιηθούν ανά περιοχή προέλευσης (από πιο γενικευμένη σε πιο συγκεκριμένη). Σε διαφορετικά επίπεδα της δρομολόγησης μπορούν να οριστούν φίλτρα ελέγχου της ορθής προέλευσης των πακέτων –Πάντως, με το μεγάλο πλήθος διευθύνσεων IPv6 ακόμα και με φιλτράρισμα, ο επιτιθέμενος μπορεί να χρησιμοποιήσει διευθύνσεις νόμιμης προέλευσης

Θέματα Ασφαλείας στο IPv6 Επιθέσεις ARP και DHCP Επιχειρείται η «υποκλοπή» διευθύνσεων IP To IPv6 δεν παρέχει καμιά επιπλέον ασφάλεια σε αυτό το θέμα –Η διαδικασία stateless – autoconfiguration (βασισμένη στο ICMPv6) δίνει αυτόματα διευθύνσεις. Εξυπηρετητές DHCP μπορεί να χρησιμοποιηθούν μελλοντικά για επιπλέον υπηρεσίες –Το DHCPv6 θεωρείται ακόμα «ανώριμο» –Η ίδια διαδικασία (stateless – autoconfiguration) μπορεί να υποστεί παραποίηση –Αντί για το ARP υπάρχει το ICMPv6 neighbor discovery το οποίο όμως παρουσιάζει παρόμοια προβλήματα

Θέματα Ασφαλείας στο IPv6 Επιθέσεις (DDoS) με Παράγοντα Ενίσχυσης Στο IPv6 έχει αφαιρεθεί η έννοια της διεύθυνσης γενικής εκπομπής (broadcast address). –Έτσι αποκλείονται επιθέσεις με την αποστολή πακέτων ICMP σε αυτή (amplification/"Smurf" attacks) –Υπάρχουν γενικευμένες (global) διευθύνσεις multicast για ειδικές, κλιμακούμενες ομαδοποιήσεις κόμβων π.χ. διευθύνσεις για όλους τους κόμβους στο ίδιο δικτυακό μέσο (link-local), στο ίδιο υποδίκτυο (site-local), όλους τους δρομολογητές site-local, κ.λπ. Οι προδιαγραφές του IPv6 απαγορεύουν την παραγωγή μηνυμάτων ICMPv6 σε απάντηση πακέτων στις γενικευμένες διευθύνσεις multicast. –Πολλά δημοφιλή λειτουργικά συστήματα ακολουθούν το πρότυπο –Υπάρχει ασάφεια για τον κίνδυνο από πακέτα ICMP με διεύθυνση πηγής μια από τις γενικευμένες διευθύνσεις multicast

Θέματα Ασφαλείας στο IPv6 Μικτά περιβάλλοντα v4/v6 Προβλήματα ασφαλείας δημιουργούν και οι (προσωρινοί) μεταβατικοί μηχανισμοί που χρησιμοποιούνται για τη συνύπαρξη των δύο εκδόσεων του πρωτοκόλλου IP –Σήραγγες (tunnels) χρησιμοποιούνται εκτεταμένα για συνδέσεις διαμέσου δικτύων τα οποία δεν υποστηρίζουν την επιθυμητή έκδοση πρωτοκόλλου –Η κίνηση που περνά από τις σήραγγες, σε πολλές περιπτώσεις δεν έχει προβλεφθεί από τις πολιτικές ασφαλείας. Μπορεί έτσι να διαπεράσει συστήματα firewalls και τους ελέγχους που αυτά θέτουν, επειδή δεν έχουν τη δυνατότητα να διερευνήσουν ταυτόχρονα και τα δύο πρωτόκολλα –Το πρόβλημα επιτείνεται από την ύπαρξη δυναμικών και αυτόματων μηχανισμών δημιουργίας σηράγγων.

Θέματα Ασφαλείας στο IPv6 Μικτά περιβάλλοντα v4/v6 – 6to4 Το 6to4 είναι ο κύριος μηχανισμός για την επικοινωνία υπολογιστών ή δικτύων IPv6 πάνω από δίκτυα IPv4 –Προφέρει αυτόματη και δυναμική συνδεσιμότητα ανάμεσα σε συστήματα που ζητούν να χρησιμοποιήσουν IPv6 μέσα σε δίκτυα IPv4 (6to4 hosts) και περιοχές αποκλειστικά IPv6 –Οι πύλες (gateways) 6to4 παίρνουν μια διεύθυνση IPv6 με πρόθεμα 2002: που βασίζεται στη διεύθυνση IPv4 που ήδη διαθέτουν

Θέματα Ασφαλείας στο IPv6 Μικτά περιβάλλοντα v4/v6 – 6to4 (2) Είναι δυνατόν μέσα από ένα δίκτυο IPv6 να αποσταλεί κίνηση επίθεσης προς ένα σύστημα IPv4 κατασκευάζοντας κατάλληλα μια διεύθυνση προορισμού IPv6/6to4. Οι σήραγγες υλοποιούνται δυναμικά ανά περίπτωση Το ίδιο μπορεί να γίνει και από ένα σύστημα IPv4 με ταυτόχρονη απόκρυψη της προέλευσης. Διαδρομή: Σύστημα IPv4 - 6to4 router και αφαίρεση της προέλευσης IPv4 - Σύστημα στόχος IPv4 του οποίου η διεύθυνση έχει περιγραφεί στο IPv6/6to4 –Το καθ' αυτό πρόβλημα επίθεσης DoS όμως σε αυτή την περίπτωση δεν είναι τόσο σοβαρό επειδή οι κόμβοι 6to4 δημιουργούν οι ίδιοι "στενωπό" –Είναι δυνατόν να χρησιμοποιούνται διαφορετικοί κόμβοι 6to4 ανά κατεύθυνση. Οι κόμβοι 6to4 πρέπει να αποδέχονται όλες τις συνδέσεις προς αυτούς –Κατά τον ίδιο τρόπο μπορούν να γίνουν επιθέσεις Ανάκλασης (Reflection attacks)

Θέματα Ασφαλείας στο IPv6 Ιοί, Worms και Αυτόματα Προγράμματα Επίθεσης Δεν είναι γνωστή ακόμα η επίδραση που το νέο πρωτόκολλο μπορεί να έχει στη δυνατότητα διάδοσης Worms Ήδη υπάρχουν εργαλεία διενέργειας επιθέσεων DDoS που λειτουργούν σε περιβάλλον IPv6, όπως το 6Τo4DDos. Υπάρχουν επίσης επιθετικά προγράμματα που ενσωματώνουν τμήματα κώδικα που επιτρέπει τη λειτουργία τους (εκτός του IPv4) και στο IPv6 –Ένα worm ανιχνεύτηκε και αναλύθηκε ήδη στα πλαίσια του προγράμματος Honeynet

Θέματα Ασφαλείας στο IPv6 Επιθέσεις κοινές στα IPv4 και IPv6 Υποκλοπή κίνησης (sniffing) Επιθέσεις επιπέδου εφαρμογής Μη εξουσιοδοτημένες συσκευές (rogue devices) Επιθέσεις “Man-in-the-middle” Επιθέσεις DDoS παραγωγής μεγάλου όγκου κίνησης

Θέματα Ασφαλείας στο IPv6 Προτάσεις για τη βελτίωση της ασφάλειας Οι μηχανισμοί απόκρυψης διευθύνσεων MAC κατά την απόκτηση διεύθυνσης IPv6 πρέπει να χρησιμοποιούνται προσεκτικά ανά περίπτωση γιατί μπορεί να προσφέρουν κάλυψη σε επιτιθέμενους Φιλτράρισμα εσωτερικών διευθύνσεων στα όρια του δικτύου Χρήση μη προβλέψιμων διευθύνσεων για κρίσιμα συστήματα Φιλτράρισμα μη αναγκαίων υπηρεσιών στο firewall Επιλεκτικό φιλτράρισμα των πακέτων ICMPv6, επιλογή των ειδών που είναι αναγκαία Η διατήρηση της ασφάλειας επιμέρους υπολογιστών και των εφαρμογών τους (με patches) παραμένει σημαντική! Επιλογή των Extension Headers που θα χρησιμοποιούνται και θα επιτρέπονται

Θέματα Ασφαλείας στο IPv6 Προτάσεις για τη βελτίωση της ασφάλειας (2) Δυνατότητα ελέγχου κατακερματισμένων πακέτων στο firewall Φιλτράρισμα πακέτων που προέρχονται από μη προβλεπόμενες διευθύνσεις Διαδικασίες παρακολούθησης της κίνησης σε επίπεδο 2 και 3 μέσα στο δίκτυο για την ανακάλυψη συγκαλυμμένων επιτιθέμενων –Το μεγάλο εύρος διαθέσιμων διευθύνσεων μπορεί να χρησιμέψει για την απόκρυψη των επιτιθέμενων Απαγόρευση εισόδου στο δίκτυο σε πακέτα με διευθύνσεις προέλευσης multicast Είναι καλύτερο να αποφεύγεται η «μετάφραση» ανάμεσα σε διευθύνσεις IPv4 και IPv6 και αντί αυτής να χρησιμοποιείται dual stack

Θέματα Ασφαλείας στο IPv6 Προτάσεις για τη βελτίωση της ασφάλειας (3) Προτιμητέα η στατική ρύθμιση σηράγγων Μόνον εξουσιοδοτημένα τελικά σημεία να επιτρέπονται για τις σήραγγες

Ερωτήσεις...;