asegurando una red con ipv6

ESCUELA DE INGENIERÍA EN ELECTRÓNICA

TELECOMUNICACIONES Y REDES

Danilo Hidalgo Rodrigo García Santiago Cáceres

ASEGURANDO UNA RED CON IPV6

Riobamba – Ecuador

http://images.google.com.ec/imgres?imgurl=http://cisco.espoch.edu.ec/images/cms/espoch.jpg&imgrefurl=http://cisco.espoch.edu.ec/&usg=__A1BkdvfVeKDNkdrHAfYt5ePbU6k=&h=243&w=250&sz=26&hl=es&start=1&tbnid=-UsZM0QTowwGZM:&tbnh=108&tbnw=111&prev=/images?q=espoch&gbv=2&hl=es




I. INTRODUCCIÓN

Entre otros varios identificadores únicos que se manejan en Internet tenemos el

identificador del protocolo Internet (IP, “Internet Protocol”) conocido como “dirección

IP”. Estas direcciones permiten identificar unívocamente cualquier interfaz dentro de

una red que utiliza IP, como es el caso de Internet. Estos identificadores son números

binarios con un número limitado de bits, 32 en el caso de las direcciones IPv4, es

decir, más de 4200 millones de direcciones posibles, pero si descontamos algunos

rangos reservados para usos especiales, la cantidad de direcciones realmente utilizable

se reduce a alrededor de 3700 millones de direcciones IPv4.

Esa cantidad de direcciones pareció ser suficiente en los albores del Internet donde la

cantidad de redes y computadores interconectados era relativamente poca, pero el

vertiginoso crecimiento de la penetración mundial de Internet (hoy con una población

de más de 7000 millones de personas) y el surgimiento del “Internet de las cosas”,

han hecho que esa cantidad quede corta.

Por su gran impacto el negocio de proveer acceso a Internet ha crecido solo, pero

actualmente incluso se ve impulsado por los gobiernos. Estudios económicos

demuestran que un incremento del 10% en la penetración del acceso a Internet

genera un crecimiento del 1% en el PIB y por otra parte el acceso a Internet es

considerado como un instrumento habilitante de derechos humanos fundamentales

como la libertad de expresión, de ahí que el plan de gobierno de muchos países

considera alguna medida para lograr la masificación del Internet.

Por otra parte, muchos dispositivos que antes funcionaban sin conexión de red

requieren o requerirán de direcciones IP para aprovechar al máximo nuevas

funcionalidades, conformando así lo que hoy se conoce como el “Internet de las cosas”,

es decir, dispositivos que se comunican entre sí o hacia Internet para cumplir ciertas

tareas sin necesidad de intervención humana, por ejemplo: celulares actualizando

aplicaciones, televisores actualizando/bajando programación, cámaras de video y

sensores de movimiento informado/ grabando la presencia de intrusos,

sensores/medidores enviando información recolectada periódicamente, refrigeradores

informando del estado de los víveres, etc..

La administración de los recursos IP actualmente tiene una estructura jerárquica, una

entidad central llamada IANA (“Internet Assigned Numbers Authority”) administra todo

el espacio de direccionamiento disponible y es la encargada de entregar bloques de

direcciones a organizaciones regionales denominadas RIRs (“Regional Internet

Registry”) conforme a demanda, quienes a su vez se encargan de la distribución/

asignación a los proveedores de Internet. LACNIC es el RIR para la región de América

Latina y Caribe. El espacio IPv4 disponible en IANA se agotó definitivamente en febrero

de 2011 y en abril del mismo año APNIC (el RIR para la región de Asia Pacífico)

empezó a asignar direcciones IPv4 desde su último bloque de direcciones, esto implica

algunas restricciones en la asignación de direcciones.

Para dar solución a la necesidad creciente de direcciones, la IETF (“Internet

Engineering Task Force”) creó IPv6 en la década de los 90. Esta nueva versión del

protocolo usa direcciones de 128 bits, lo cual significa algo más de 340 sextillones de

direcciones disponibles. Para tener una idea de la cantidad de direcciones disponibles

se puede decir que el espacio de direccionamiento disponible es suficiente para cubrir

la demanda de más de 4200 millones de proveedores de Internet con 65536 clientes

cada uno.

Muchas veces se pretende vender a IPv6 como un protocolo que resuelve algunos

problemas encontrados en IPv4, por ejemplo seguridad, pero esto no es tan preciso y

nada más crea falsas expectativas, pues lo que se buscaba resolver con el nuevo

protocolo es la escasez de direcciones IP, lo cual no quiere decir que IPv6 sea más o

menos inseguro que IPv4 o que no implique la oportunidad para mejorar algunas otras

cosas. Así mismo, en el otro extremo hay quienes creen que NAT a gran escala es una

mejor opción que IPv6, o que por ejemplo, es una mala opción para PYMEs, pues sin

NAT sería (dicen ellos) necesario renumerar toda la red en caso de cambio de

proveedor, pero dependiendo del tamaño una asignación PI (Provider Independent)

resolvería el problema. En todo caso, a nivel personal creo que IPv6 no es perfecto,

pero es lo que tenemos y su uso es la alternativa técnica y económicamente más

adecuada a la realidad de nuestro país que permitirá afrontar el crecimiento futuro del

Internet.

Como se mencionó, las especificaciones básicas del protocolo fueron establecidas hace

aproximadamente 15 años; sin embargo, su utilización estuvo por mucho tiempo

circunscrita a unas pocas redes, en su mayoría de carácter universitario o de

investigación, pero esto ha comenzado a cambiar con el advenimiento de sistemas

operativos que traen IPv6 habilitado por defecto (Windows Vista, 7) y especialmente

con la realización del “IPv6 Day”, el 6 de junio de 2011, un evento organizado y

coordinado por la Internet Society (ISOC) a través del cual - durante 24 horas –

grandes redes y proveedores de contenido (Facebook, Yahoo, Google entre otras)

habilitaron acceso por IPv6 a sus páginas principales. Para el 6 de junio de 2012, ISOC

ha organizado el “IPv6 Launch”, los participantes de este evento dejarán habilitado

IPv6 en sus redes/portales a partir de dicho día y de forma indefinida.

IPv6 en Ecuador:

Bloques IPv6 asignados y utilizados (al 8 de abril de 2012):

23 bloques IPv6 asignados/ distribuidos por LACNIC a organizaciones

ecuatorianas

12 bloques utilizados (vistos en el Internet Global)

11 organizaciones diferentes utilizan prefijos IPv6

II. OBJETIVOS

i. Objetivo General

Realizar el análisis de las vulnerabilidades de una Intranet con el

protocolo IPV6 utilizando GNU/Linux como sistema operativo para

levantar servicios básicos de Internet con el fin de manipularlos para

desarrollar pruebas desde clientes con diferentes plataformas.

ii. Objetivo especifico

Plantear los posibles problemas de vulnerabilidades en Ipv6.

Realizar un ataque a dispositivos de red que tienen configurado

IPv6 por defecto. Existen campos en las tramas y protocolos que

nos permiten generar paquetes que necesariamente serán

atendidos causando un uso alto del procesador.

Se explicará el funcionamiento y ciertos conceptos básicos de

IPv6 para luego explicar unos ataques de red a dispositivos que

fueron probados.

Proveer un análisis objetivo de las implicancias de seguridad

generales de IPv6

Identificar áreas en las que se requiere más trabajo

Obtener algunas conclusiones respecto a la seguridad en IPv6

III. Alcance / Meta

Los siguientes puntos describen el alcance/meta de este proyecto:

Investigar y documentar todo sobre la arquitectura y componentes de IPv6.

Configurar el Kernel y utilidades en una distribución GNU/Linux para dar

soporte de IPv6.

Documentar todo el proceso de análisis de las vulnerabilidades en IPV6

Realizar pruebas a los servicios levantados y realizar la documentación

respectiva.

Solucionar los problemas que se encuentren en IPV6

IV. SUPUESTOS

El alegato de comenzar a utilizar IPv6 viene dado por que permite dar solución a las

necesidades actuales como son la seguridad, movilidad, calidad de servicio (QoS),

comunicación de grupo en tiempo real, etc. IPv6 es además extensible y permitirá

incorporar nuevos protocolos en el futuro a medida que sean demandados.

Al probar las vulnerabilidades en la red IPV6 podemos mostrar que la seguridad es un

campo aun por experimentar ya que al migrar de ipv4 a ipv6 surgirán inseguridades en

una red.

V. DESARROLLO

Con la implantación de redes basadas en el protocolo IP versión 6, el tema de

seguridad no debe dejar de ser observado cuando todas las redes del mundo migren

desde IP versión 4, pues ahí se pueden presentar ciertas vulnerabilidades que no se

consideran ahora por los administradores de redes. La seguridad en IPv6 es uno de los

temas más importantes que será tratado en este documento en donde se identificarán

agujeros de seguridad que sin duda generaría riesgos en ataques que podrían

comprometer la información confidencial, la privacidad y en general el negocio de la

empresa. Por ello, se hará una revisión a los problemas que IPv6 tiene en la actualidad

para ser implementados en la infraestructura tecnológica de cualquier empresa.

Uno de los primeros problemas en surgir en las redes IPv6 es que existen muchos mal

entendidos relacionados con su funcionamiento, tales como:

• La seguridad fue un tópico principal en el desarrollo de Ipv6.

• El uso de IPSec será más difundido.

• Muchos de los ataques de IPv4 ya no podrán hacerse en IPv6.

• La seguridad ya no será orientada a la red, sino al host.

Además de estos inconvenientes, también existen problemas relacionados con el poco

tiempo que tiene IPv6 como tecnología; estos problemas son:

• El protocolo IPv6 no ha sido tan probado en un ambiente real como IPv4.

• Existe un limitado grupo de productos de “networking” (switches, firewalls y routers)

en el mercado que ya brinden servicios de interconectividad y seguridad IPv6.

• Las aplicaciones IPv6 no han sido probadas lo suficiente.

Otro de los problemas es la poca experiencia y conocimiento que tienen los

profesionales de las Tecnologías de la Información y Comunicación (TICs) sobre el

funcionamiento de los mecanismos que utiliza IPv6; y el desconocimiento de las

herramientas que existen para su configuración y mantener segura una red de este

tipo.

Otro inconveniente que surge es que el funcionamiento de la red en general se vuelve

más complejo, debido a que para mantener la compatibilidad con aquellos servicios

que utilicen IPv4 o IPv6, es necesario que las empresas utilicen los protocolos IPv4 e

IPv6 al mismo tiempo (Afifi, H.,1999)1 ; entre los mecanismos que hacen que la red se

vuelva más compleja están:

• Mayor uso de NAT.

• Uso de diferentes tecnologías de transición entre tecnologías.

• Mayor uso de tecnologías de “tuneling”.

Revisión del Funcionamiento del protocolo IPv6

Las principales características que este protocolo presenta se van a detallar a

continuación:

• Espacio de Direcciones: El tamaño total de la dirección IPv6 es de 128[bits], lo que

permitirá que se puedan tener en teoría alrededor de 3.4 x 1038 direcciones

disponibles, lo que garantizará que todos los dispositivos puedan acceder a una

dirección IP.

• Nuevo formato de Cabecera: Aunque la cabecera IPv6 sea mayor a la de IPv4, se

han quitado muchos campos de la cabecera que eran poco utilizados, para obtener un

manejo más eficiente de los paquetes.

• El Direccionamiento es Jerárquico: Las direcciones IP Globales (direcciones públicas)

se rigen por una jerarquía basada en la existencia de diferentes tipos de ISP, esto

permitirá tener tablas de enrutamiento resumidas y por lo tanto más manejables.

• Autoconfiguración de las direcciones IP: El protocolo IPv6 tiene de forma mandatoria

el uso de este tipo de configuración (Stateless Address Configuration) para que los

clientes obtengan una dirección IPv6 automática.

• Existe un nuevo protocolo para interactuar con los vecinos (Neighbor Discovery

Protocol): Los protocolos ARP y “Router Discovery” son reemplazados por este nuevo

protocolo que ya no utiliza “broadcast” para propagarse por la red, en vez de ello

utiliza “multicast”.

Formato de Direcciones IPv6.

La cabecera de un paquete IPv6 es de 40 bytes fijo, lo cual es considerablemente más

grande que la cabecera de IPv4, esto se debe principalmente por los 32 bytes que

ocupan ahora las direcciones IP origen y destino. Otra característica de la cabecera del

paquete IPv6 es que ahora el número de campos ha disminuido de 14 a solo 8

campos, entre los que están:

1. Versión (“Version”): Indica la versión del protocolo IP, en este caso su valor es

igual a 6.

2. Clase de tráfico (“Traffic Class”): Incluye información para clasificar el tipo de

tráfico que lleva el paquete, para que los “routers” aplique la política de

enrutamiento más adecuada. Tiene la misma funcionalidad que el campo “Type

of Service” de IPv4.

3. Etiqueta de flujo (“Flow Label”): Ubica a un flujo de paquetes, que les sirve a

los routers para identificar rápidamente paquetes que deben ser tratados de la

misma manera (para QoS).

4. Tamaño de la carga útil (“Payload Length”): Indica el tamaño de la carga útil

del paquete. Las cabeceras adicionales son consideradas parte de la carga para

este cálculo.

5. Próximo encabezado (“Next Header”): Indica que existe una siguiente cabecera

en la que se especificarán opciones específicas para el paquete; si no se utiliza

con ese propósito entonces indica la cabecera de capa 4que será la siguiente.

6. Límite de saltos (“Hop Limit”): Indica el máximo número de saltos que puede

realizar el paquete. Este valor disminuye en uno por cada router que reenvía el

paquete. Si el valor llega a cero, el paquete es descartado.

7. Dirección de origen (“Source Destination Address”): Indica la dirección IPv6 del

nodo que generó el paquete.

8. Dirección de origen (“Source Destination Address”): Indica la dirección de

destino final del paquete.

Fig1 Encabezados IPV6 y IPV4

Direccionamiento IPv6.

Existen tres tipos de Direcciones:

• Unicast.- Identifica a un solo nodo.

• Multicast.- Identifica a un grupo de nodos.

• Anycast.- Identifica a un grupo de nodos, pero el paquete llega siempre al nodo

más cercano perteneciente a ese grupo.

1. Direcciones Unicast:

Estas direcciones identifican de manera única a cada nodo de la red, permitiendo la

comunicación punto a punto entre ellos.

La nueva característica que trae IPv6 es la ubicación de las direcciones Unicast

dentro de contextos, cada uno de los cuales define un dominio lógico o físico de la

red.

Los tipos de contextos que se tienen son:

• Local al enlace (“link-local”): Permiten la comunicación entre los distintos

nodos conectados a un mismo enlace capa 2 del modelo ISO/OSI.

Estas direcciones no pueden ser enrutadas y sólo son válidas al interior del enlace.

Cada vez que un nodo IPv6 se conecta a una red, adquiere automáticamente una

dirección local al enlace, sin ser necesaria la intervención del usuario o de otros

dispositivos.

La estructura de una dirección local al enlace es “fe80:0:0:0:<identificador de

interfaz>”. El identificador de interfaz se genera automáticamente a partir de su

dirección MAC, siguiendo el formato EUI-64. Ejemplo:

MAC: 39:A7:D3:F9:61:A1

Dir. IPv6: fe80:0:0:0:039A7:D3FF:FEF9:61A1

Siendo FF:FE partes de la dirección que siempre se repiten en todas las direcciones

que siguen el formato EUI-64.

• Local único (“unique-local”): Las direcciones locales únicas son direcciones que

permiten la comunicación de nodos al interior de un la red de toda una

organización, de prefijo /48, compuesta por 1 o más subredes.

Son el equivalente a las direcciones privadas en IPv4. Al igual que las direcciones

locales al enlace, no pueden ser enrutadas hacia Internet.

La estructura de una dirección local única es la siguiente:

a) Identificador único: Campo de 40[bits] que identifica a un sitio en particular.

Dado que este tipo de direcciones no son publicadas en Internet, pueden existir

distintos sitios con el mismo identificador.

b) Identificador subred: Permite crear un plan de direccionamiento jerárquico,

identificando a cada una de las 216 posibles subredes en un sitio.

c) Identificador de interfaz: Individualiza a una interfaz presente en una

determinada subred del sitio.

A diferencia de las direcciones locales al enlace, este identificador no se genera

automáticamente.

• Global: Las direcciones “Unicast Globales” son usadas para comunicar 2 nodos a

través de Internet; son equivalentes a las direcciones públicas en IPv4. Son el único

tipo de direcciones que pueden ser enrutadas a través de Internet. El espacio

reservado actualmente para este tipo de direcciones es de 2001:: a

3fff:ffff:ffff:ffff:ffff:ffff:ffff (2001::/3).

Todas las subredes en el espacio de direccionamiento “unicast global” tienen un prefijo

de red fijo e igual a /64. Esto implica que los primeros 64 [bit] corresponden al

identificador de red, y los siguientes corresponden a la identificación de la interfaz de

un determinado nodo.

El prefijo de enrutamiento global es aquel que identifica a un sitio conectado a

Internet. Dicho prefijo sigue una estructura jerárquica, con el fin de reducir el tamaño

de la tabla de enrutamiento global en Internet.

Cada una de los Registros Regionales maneja direcciones con prefijo /23, y otorgan a

cada ISP direcciones con prefijo /32, y estos a su vez dan direcciones con prefijo /48,

permitiendo a cada sitio u organización el tener 2^16 subredes, cada una con 2^64

usuarios. Cada interfaz de red puede tener más de una dirección IPv6, por ejemplo

una interfaz puede tener una dirección Local Enlace, y dos direcciones Globales.

2. Direcciones Multicast:

La estructura de una dirección multicast IPv6 es el siguiente:

Primeros Campos: Son dos campos de 8 [bits] cada uno y que siempre llevan los

valores de “FF” [en hexadecimal].

a) Campo L: Indica el tiempo de vida de un grupo “multicast”. Si se coloca el valor

de „0‟ cuando es un grupo permanente y „1‟ cuando es un grupo “multicast”

temporal.

b) • Campo S:

c) • Indica el contexto o alcance del grupo. Ya existen valores predeterminados

para este campo; los mismos que a continuación se detallan:

Con estos dos campos se pueden crear varias grupos de direcciones para cada tipo de

contexto y con diferente duración, pero también ya existen grupos Multicast

predeterminados como

Las Direcciones Multicast no deben aparecer como direcciones origen en ningún

paquete, así como tampoco deben estar presentes en las tablas de enrutamiento.

Existe además una clase especial de dirección Multicast llamada “Dirección de Nodo-

Solicitado”, ésta cumple con la función de asociar las direcciónes “Unicast” y “Anycast”

configuradas en las interfaces de un Nodo. Esta dirección tiene como prefijo

predeterminado:

„FF02:0:0:0:0:1:FF00::/104‟ por lo que el rango de direcciones Multicast de Nodo-

Solicitado son:

FF02:0:0:0:0:1:FF00:0000 hasta FF02:0:0:0:0:1:FFFF:FFFF

La forma en que se arman estas direcciones es la siguiente:

Los primeros 104 [bits] de la dirección siempre serán fijos, mientras que los últimos 24

[bits] son tomados de las direcciones IPv6 Unicast y Anycast que tenga configurado el

Nodo. Por ejemplo:

Se tiene la dirección IPv6: 4037::01:800:200E:8C6C

Su dirección Multicast de Nodo-Solicitado es: FF02::1:FF0E:8C6C Las direcciones

Multicast de Nodo-Solicitado son usadas para obtener las direcciones MAC de los

Nodos presentes en un mismo Enlace, para ello se envía un paquete con la dirección

Multicast del Nodo- Solicitado, para que éste responda con su respectiva dirección

MAC.

3. Direcciones Anycast:

Es aquella que identifica a un grupo de interfaces, los paquetes enviados a una

dirección anycast son reenviados por la infraestructura de enrutamiento hacia la

interfaz más cercana al origen del paquete que posea una dirección anycast

perteneciente al grupo.

Con el fin de facilitar la entrega, la infraestructura de enrutamiento debe conocer las

interfaces que están asociadas a una dirección anycast y su distancia en métricas de

enrutamiento, para que se envíen siempre al nodo más cercano o de menor métrica.

Una dirección Anycast se crea al asignar una misma dirección Unicast a varias

interfaces de distintos Nodos. Una dirección Anycast no puede ser nunca una dirección

de origen.

Un uso de direcciones Anycast es el identificar a los routers que pertenecen a una

organización y que proveen de servicio de internet.

SEGURIDAD EN REDES IPV6

El tema de la seguridad en redes IPv6 ha sido ampliamente estudiado y discutido en

diversos congresos, encuentros y listas de discusión. Un grupo internacional de

investigadores en seguridad y redes, llamado “The Hacker`s Choice”, ha desarrollado

un conjunto de programas que explotan las vulnerabilidades conocidas de IPv6. En

este apartado se utilizaran algunos de estos programas con el fin de demostrar el

impacto de los problemas de seguridad existentes en IPv6.

RECONOCIMIENTO EN REDES IPV6

La primera etapa de cualquier tipo de ataque hacia una red normalmente involucra

algún tipo de procedimiento para examinar que dispositivos se encuentran activos en

una red determinada. Para ello, se realiza un barrido de pings por todas las direcciones

IP posibles en la red, con el fin de detectar cuales están en uso. Dicha técnica es muy

utilizada en IPv4, ya que el número de posibles direcciones en una red de tamaño

normal (/24) es de 256. Dicha operación puede tardar entre 5 a 30 y existen una serie

de herramientas que realizan este barrido de forma automática.

Sin embargo, existen otras técnicas mediante las cuales un atacante puede realizar un

reconocimiento de la red. Si el atacante se encuentra conectado físicamente a la red,

puede realizar un “ping” a la dirección “multicast” que representa a todos los nodos o a

todos los “routers” conectados a dicha red (FF02::1 y FF02::2 respectivamente). De

acuerdo a las especificaciones de IPv6, un nodo no debería responder a pings enviados

a dichas direcciones, sin embargo varias implementaciones no han tomado en cuenta

dicha recomendación. Existen varias recomendaciones para evitar los problemas

asociados al reconocimiento local o remoto de una red. La principal es que los

identificadores de interfaz de los nodos no sean números correlativos y que no partan

desde el límite inferior del rango (evitar las secuencias ::1, ::2, ::3, etc.). Esto se

puede lograr mediante el uso de la autoconfiguración de direcciones IPv6, ya que es

posible obligar a los nodos generar un identificador de interfaz pseudo-aleatorio o

basado en la dirección física de la interfaz.

VULNERABILIDADES EN ICMPV6

CONFIGURACIÓN AUTOMÁTICA DE DIRECCIONES (SLACC)

El mecanismo de configuración automática de direcciones (SLACC) permite a los nodos

obtener una dirección IPv6 automáticamente a partir de la información que un “router”

transmite en un enlace capa 2. Los “routers” envían anuncios de enrutamiento (RA)

transportados sobre mensajes ICMPv6, los cuales contienen la siguiente información:

Prefijo(s) local(es): Los primeros 64 [bit] de una dirección IPv6

Dirección de enlace local del “router”.

Prioridad del “router”: Un valor entero que indica la prioridad de este “router”.

Cuando existen varios routers en el mismo enlace, los nodos utilizan el de más alta

prioridad.

Tiempo de vida del mensaje

Máxima unidad de transporte (MTU): Indica a los nodos la MTU a utilizar en el

enlace.

A partir de los anuncios de enrutamiento (RA), los nodos pueden construir sus

direcciones IPv6 mediante la combinación del prefijo local y su dirección física (MAC).

Obtienen además la dirección de la ruta por omisión que deben agregar en sus tablas

de enrutamiento.

Para ejecutar este ataque, se puede utilizar la herramienta “fake_router6” incluida en

el paquete THC IPv6. Dicha herramienta permite enviar anuncios de enrutamiento en

donde se puede definir el prefijo a anunciar y la dirección de enlace local del “router” a

anunciar. Todos los anuncios creados con esta herramienta son enviados con alta

prioridad, por lo que tienen preferencia por sobre los enviados por otros dispositivos.

RESOLUCIÓN DE DIRECCIONES

Cuando un nodo desea obtener la dirección física de una determinada dirección IPv6,

se utiliza el siguiente procedimiento:

a) Se envía un mensaje de solicitud de vecino (”Neighbor Solicitation”, NS) que

contiene la dirección IPv6 a consultar.

b) El nodo con la dirección IPv6 solicitada responde con un mensaje de anuncio de

vecino (“Neighbor Advertisement”, NA), que contiene su dirección física (MAC).

Los riesgos de este ataque es que un usuario mal intencionado puede falsear la

dirección física del “router” presente en el enlace, redirigiendo todo el tráfico a su

propio equipo o a una dirección física inexistente. El problema aumenta cuando se

considera que por especificaciones del protocolo IPv6, las entradas en la tabla de

direcciones de un nodo se actualizan constantemente, generando una gran cantidad de

mensajes de solicitud de vecinos.

Para ejecutar este ataque, se puede utilizar la herramienta “fake_advertise6” incluida

en el paquete THC IPv6. Dicha herramienta permite enviar mensajes de anuncio de

vecino en donde se puede definir la dirección IPv6 a anunciar, la dirección MAC

asociada y el destinatario de los mensajes (normalmente se utiliza la dirección ff02::1

que identifica a todos los nodos IPv6 en un enlace) .

DETECCIÓN DE DIRECCIONES DUPLICADAS (DAD)

El mecanismo de detección de direcciones duplicadas previene que dos nodos utilicen

la misma dirección IPv6 en un enlace. Cada vez que un nodo desea utilizar cualquier

tipo de dirección IPv6, envía un mensaje de solicitud de vecino preguntando por la

dirección física de dicha dirección. Si no obtiene respuesta, significa que dicha

dirección no está siendo utilizada actualmente, por lo que puede usarla sin problemas.

Al no existir autenticación, un atacante podría fácilmente realizar un ataque de

denegación de servicio (DoS) pretendiendo poseer todas las direcciones IPv6 posibles.

Cada vez que un nodo desea utilizar una dirección IPv6, el atacante responde su

solicitud de solicitud de vecino, impidiendo su uso.

Para ejecutar este ataque, se puede utilizar la herramienta “dos-new-ip6” incluida en el

paquete THC IPv6. Dicha herramienta responde a todos los mensajes de solicitud de

vecinos que se reciben en una determinada interfaz, independiente de la dirección IPv6

consultada. De esta forma, el resto de los nodos presentes en el enlace no pueden

utilizar ninguna nueva dirección IPv6.

REDIRECCIÓN

La redirección es un mecanismo basado en ICMPv6 que permite a un “router” informar

a otros nodos de un enlace la existencia de un mejor primer salto para llegar a una

dirección o red determinada. Cuando un “router” recibe un paquete, revisa su tabla de

rutas y si encuentra que existe un mejor primer salto envía un mensaje de redirección

al nodo que envió el paquete. El nodo al recibir un mensaje de redirección, actualiza su

tabla de rutas y envía el paquete al nuevo primer salto.

Al igual que en los casos anteriores, no existe autenticación para el envío de mensajes

de redirección. El único mecanismo de protección existente consiste en que para que

un mensaje de redirección enviado por un “router” sea válido, debe contener una copia

del paquete original que causo el envío del mensaje de redirección. Sin embargo, un

atacante puede inducir a un nodo generar paquetes con contenido conocido (como un

mensaje ICMPv6 “echo request”) los cuales pueden ser utilizados en mensajes de

redirección falsos. Para ejecutar este ataque, se puede utilizar la herramienta “redir6”

incluida en el paquete THC IPv6. Dicha herramienta genera mensajes de redirección

falsos, que sobrescriben la tabla de rutas de un determinado nodo.

ATAQUE POR MEDIO DEL ENVÍO DE PAQUETES DE ROUTER ADVERTISING, Y

DHCPV6

ICMP: Internet Control Message Protocol - Protocolo de Control de Mensajes de

Internet). su utilidad no está en el transporte de datos de usuario, sino en controlar si

un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento

lleva un valor no permitido, si es un paquete de eco o respuesta, etc.

Este tipo de ataque está orientado para aquellas redes que no están preparadas para

las aplicaciones que utilizan el nuevo protocolo de red IPv6, por lo que no tienen

implementado ninguna política de seguridad, ni ningún mecanismos que alerte al

administrador de

red que se está realizando acciones indebidas por medio del protocolo.

El ataque consiste en tener una PC dentro de la red que se encuentre simulando ser un

router que está divulgando su prefijo IPv6 por medio de paquetes de “Router

Advertisement”, lo que causa que la víctima configure como su Default Gateway a la

dirección IP versión 6 de nuestra máquina atacante. Con ello se puede causar que la

víctima intente salir hacia internet a través de las interfaces de la pc atacante, lo que

se puede usar para hacer una revisión y cambio de los datos que fluyen por esta ruta.

Además de ello también se puede usar la máquina atacante para que actúe como un

servidor DNSv6, con el objetivo de configurar en las víctimas la dirección de un

servidor DNS corrupto con el que podríamos hacer ataques de DNS “spoofing”, pues

dirigiríamos las peticiones de DNS a portales como Facebook, o Gmail hacia direcciones

IP de servidores HTTP corruptos en los que se ha clonado estas páginas web, y por

medio de ellas poder obtener los usuarios y claves de las víctimas.

SOLUCIÒN:

Para Win vista,7,8

netsh interface ipv6 set interface “Local Area Connection” routerdiscovery=disabled

Para winxp

delete interface name="Local Area Connection"

VULNERABILIDADES QUE USAN EL CAMPO “FLOW LABEL”

Flow Label El Flow Label es un número pseudo-aleatorio entre el 1 y FFFFFF

(hexadecimal) que es único cuando se combina con la dirección de la fuente. Entonces

el router puede llevar a cabo procesamientos particulares: escoger una ruta, procesar

información en "tiempo real", etc. La fuente mantendrá este valor para todos los

paquetes que envíe para esta aplicación y este destino.

Por ejemplo, cuando un par de nodos necesiten cierto ancho de banda pueden levantar

esta bandera y los enrutadores pueden darle tratamiento especial.

Este comportamiento de la red puede ser usado por competidores y personas mal

intencionadas para obtener un mejor servicio, o en un extremo la denegación de

servicio del tráfico que nos pertenece al inyectar paquetes con direcciones IPv6 falsas

o etiquetas “Flow Label” adulteradas.

Además, una de las desventajas que se presenta en una red IPv6 es que las cabeceras

de los paquetes que pasan por los nodos intermedios no se verifican y no existe

garantía que estos datos sean confiables, por lo que la red confía en que estos datos

son tan confiables como los nodos que originan este tráfico.

Solucion: El uso de “IPSEC” dentro de IPv6, no garantiza seguridad contra ataques de

este tipo, pues no contempla en sus cálculos criptográficos la etiqueta “Flow Label”,

por lo que el cambio fraudulento del contenido de esta etiqueta sigue siendo un riesgo,

aun cuando se utilice el modo de Tunneling IPSEC, pues IPSEC solo garantiza la

seguridad de extremo a extremo, pues se puede comprometer al nodo final del túnel

para realizar el ataque.

ATAQUE A TRAVÉS DE “EXTENSIONS HEADER’S”EN PAQUETES “DISCOVERY” Y

“ADVERTISEMENT”

El uso de “Extension Header‟s” provee al atacante maneras de eludir los mecanismos

de defensa que posee la red (RA-Guard RFC-6105). Por eso hay que ignorar aquellos

paquetes Discovery y Advertisement que contengan “Extension‟s Headers”, para así

evitar ataques que puedan utilizar esta clase de paquetes.

A continuación se va a explicar cómo se realiza la evasión del mecanismo de defensa

que se implementa en la red en contra paquetes “Router Advertisement” fraudulentos

que pueden causar ataques de DoS, DNS “Spoofing” y ” Man-in-the-middle”.

SOLUCION

El mecanismo de RA-Guard (Router Advertisement Guard)

Es utilizado como primera línea de defensa en contra de ataques de falsificación de

paquetes Router Advertisement (lo vamos a llamar RA),

Consiste en un mecanismo de filtrado de capa 2 que sigue algunos criterios para elegir

cuáles son los paquetes legítimos y cuáles no. El principio básico de filtrado es que se

descartarán cualquier paquete RA que llegue a los puertos del dispositivo capa 2,

excepto aquellos paquetes que lleguen por medio de un puerto que específicamente los

permite, por lo que se puede notar que la efectividad de este filtrado depende de la

habilidad del dispositivo capa 2 para identificar a los paquetes RA; además, se puede

aprovechar las “Extension‟s Headers” para engañar al filtrado de paquetes RA, pues

algunos dispositivos capa 2 solo examina el “Header IPv6” fijo que vienen por defecto

en IPv6 para determinar si este paquete es o no un paquete RA, por lo que si se tiene

un “Extension Header” en el paquete. Por allí se puede enviar la información que

pertenece a un paquete RA y así engañar el filtrado de RA-Guard.

ATAQUE A TRAVÉS DEL USO DE FRAGMENTACIÓN DE PAQUETES.

El tamaño de un datagrama es de 65536 bytes .Sin embargo este valor nunca es

alcanzado porque las redes no tienen suficiente capacidad para enviar paquetes tan

grandes. Además las redes en internet utilizan diferentes tecnologías por lo tanto el

tamaño máximo de un datagrama varia según el tipo de red. El tamaño máximo de

una trama se denomina MTU(Unidad de transmisión máxima). El datagrama se

fragmenta si es mas grande que la MTU de la red. La fragmentación del datagrama se

lleva a cabo a nivel de router, es decir durante la transición de una red con una MTU

grande a una red con una MTU más pequeña.

En el RFC 2460 se especifica el mecanismo de fragmentación que permitiría a los

paquetes IPv6 para que se adapten al MTU máximo que se puede utilizar para

atravesar una red con una tecnología determinada. Estos fragmentos pueden ser

superpuestos entre sí, por lo que en el momento de ensamblaje se puede tener

ambigüedades; éstas pueden ser usadas por los atacantes para vulnerar firewall‟s y

mecanismos de detección de intrusiones. Es por ello que se creó un documento RFC

5722 para prohibir el uso de fragmento sobrelapados, pero en la sección 5 del RFC

2460 se especifica que se puede usar los llamados „fragmentos atómicos‟, que son

paquetes IPv6 que son demasiado grandes para que sean llevados por medio de una

red que posea un tamaño máximo de MTU menor que el tamaño que tiene el paquete

IPv6 que quiere pasar, y por ello en vez de fragmentarlo, lo que hace es añadirle una

cabecera de “Header Fragmentation” en la que se tiene como “Fragmentation Value ” y

el bit “M” con valores „0‟; este tipo de paquetes pueden ser creados por medio del

envío de paquetes ICMPv6 “Packet Too Big Error”, con ello ya puedo utilizar estos

headers para causar ataques como DoS de un flujo de datos de una víctima específica

(como se indicaen “draft-gont-6man-predictable-fragment-id”) pues con los Fragment

Header se puede hacer creer que los paquetes que envíe la victima son todos resultad

de una colisión y por lo tanto deben ser descartados; como este ataque también

existen otros ataques que aprovechan las vulnerabilidades que tienen los paquetes que

utilizan “Fragment‟s Headers”.

Además de ello otros factores que favorecen este tipo de vulnerabilidad son: Muchas

implementaciones no validan los paquetes ICMPv6 “Error Messages”, aun cuando es

una práctica recomendada en los RFC‟s 4443 y 592; otro factor es que después de que

un mensaje “ICMPv6 Error” llegó al destino, la cache destino es actualizada para que

espere que todos los paquetes que lleguen posean un “Fragment Header” dentro ellos,

lo que significa que este mensaje adulterado puede afectar a múltiples comunicaciones

TCP con ese destino; y por último se tiene el caso de que es casi imposible la

validación de mensajes ICMPv6 de error que hayan sido provocados por un protocolo

de transporte sin conexión que está siendo encapsulado en IPv6.

Otro tipo de ataque que utiliza la fragmentación de paquetes es la evasión de

mecanismos de seguridad como RA-Guard, en el que se utiliza la fragmentación para

ocultar la naturaleza de un paquete RA fraudulento que se está siendo enviado dentro

de los fragmentos de un paquete IPv6 normal de datos, tal y como se muestra en la

siguiente figura.

SOLUCION:

La forma más fácil de mitigar este ataque es deshabilitando IPv6, pero esto puede

bloquear también servicios como “HomeGroup” o “DirectAccess”.

HomeGroup: Compartir archivos,impresoras y otros recursos de red.

DirectAccess: Soluciona las limitaciones que presentan las redes privadas virtuales

(VPN) al establecer automáticamente una conexión bidireccional entre los equipos

cliente y la red corporativa. DirectAccess surge de la combinación de dos tecnologías

basadas en estándares de eficacia probada: el protocolo de seguridad de Internet (IPsec) y el protocolo de Internet versión 6 (IPv6).

DirectAccess usa IPsec para autenticar el equipo y el usuario, lo cual permite que el

personal de TI administre el equipo antes de que el usuario inicie sesión. De manera

opcional, puede hacer que sea necesaria una tarjeta inteligente para la autenticación del usuario.

Otra alternativa es deshabilitar la recepción de paquetes “Router Advertisement”; esta

es una buena medida para implementar en servidores, pero no es buena idea para los

clientes, pues sería necesaria la configuración manual de las direcciones IPv6 en cada

uno de ellos.

VI. CONCLUSIONES

La integración de mecanismos de seguridad, autenticación y confidencialidad

dentro del núcleo de protocolo IPv6 es una de las grandes ventajas que este

nuevo protocolo presenta.

Todas los host con Sistemas operativos WINDOWS (XP,Vista,Seven “7”, hasta el

actual Win “8”) son vulnerables a los ataques de Router Advertising. Incluso los

equipos CISCO que gozan de gran reputación no han corregido esta gran

vulnerabilidad de seguridad en los anexos se detallan con más detalles la series

de estos equipos y las versiones de los sistemas operativos Windows.

Pero los que gozan de gran reputación son los sistemas operativos bajo LINUX

como Ubuntu y OpenBSD bajo UNIX,ya que estos sistemas tienen la capacidad

de permitir solo diez paquetes de Router Advertising y el resto se dropea.

Los sistemas operativos MAC también tienen buena notoriedad al dropear el

décimo paquete de Router Advertising.

VII. RECOMENDACIONES

Explorar el impacto que tendrá el uso del protocolo IPv6 en las seguridades

informáticas.

Hacer una revisión exhaustiva de las alternativas al momento de actualizar o

implementar una red IPv6. Se descubrió que muchos fabricantes anuncian

soporte IPv6 en sus productos, pero en la realidad dicho soporte es parcial o se

incluirá en futuras actualizaciones. En dichos casos son útiles las iniciativas

como el programa “IPv6 Ready” que certifican el soporte IPv6 de equipos y

“software”, realizando una serie de pruebas sobre ellos.

VIII. BIBLIOGRAFÍA

Revista supertel Nº14 IPV6 en Ecuador

Comer,D. (2000). “Internetworking with TCP/IP Vol 1”, Cuarta Edición, Prentice

Hall.

Deering,S. & Hiden, R.(2000). “IPv6”. Primera Edición.

Thomson,S & T. Narten. (2000). “IPV6 Stateless Address Autoconfiguration”,

Primera Edición.

D. Johnson,C. Perkins, J Arkko.(2004). “Mobility Support in IPv6”, Primera

Edición

Paginas Web

Web oficial Supertel: www.supertel.com

Web oficial backtrac: http://www.backtrack-linux.org/

Web Oficial de IPv6 http://www.ipv6.org

Linux advance routing & Trafic Control http://www.lartc.net

Internet Engineering Task Force IETF www.ietf.org

IX. ANEXOS

ANEXOS A

SOPORTE IPV6 EN SISTEMAS OPERATIVOS

ANEXOS B

CONFIGURACIÓN DHCPV6 (UBUNTU)

El servicio que inicia el DHCPv6 es el programa dibbler, entonces iniciamos la

instalación.

http://www.supertel.com/

http://www.backtrack-linux.org/

apt-get install dibbler-server la carpeta se instala bajo /etc/dibbler bajo este

path modificamos el archivo server.conf vi server.cof

Nuestro pool va desde fc00:2012:2011:1::10 hasta fc00:2012:2011:1::15

Iniciamos el servidor dibbler /etc/init.d/dibbler-server start

Luego nos aseguramos que tenga soporte de ruteo IPv6 habilitado

root@rodd-laptop:~# sysctl -w net.ipv6.conf.all.forwarding=1 luego se mostrara

net.ipv6.conf.all.forwarding = 1 Si todo ha salido bien.

Instalación de las herramientas de la organización The Hacker’s Choice.

@ rodd-laptop #apt-get install libnet-pcap-perl

@ rodd-laptop #apt-get install libpcap0.8-dev

@ rodd-laptop #apt-get install libssl-dev

Ahora se puede instalar las herramientas de

HTC:

@ rodd-laptop #tar xzf thc-ipv6-1.8.tar.gz

@ rodd-laptop #cd thc-ipv6-1.8

@ rodd-laptop #make.

ANEXOS C

Microsoft Server 2003, Windows 7, Server 2008, Windows 8, FreeBSD, NetBSD, Cisco

y Juniper; por medio del envío de paquetes Router Advertisement con orígenes

aleatorios.

En este ataque se vale de herramientas creadas por la organización The Hacker‟s

Choice. La herramienta puede descargarse de la siguiente dirección Web:

http://www.thc.org/thc-ipv6/

Los requerimientos básicos de la PC donde se instalarán son:

• Linux con kernel 2.6 o superior

• Arquitectura x86

• Ethernet

Para instalar las herramientas hay que primero instalar las librerías necesarias para

que funcionen las herramientas de HTC:

@root#apt-get install libnet-pcap-perl

@root#apt-get install libpcap0.8-dev

http://www.thc.org/thc-ipv6/

@root#apt-get install libssl-dev

Ahora se puede instalar las herramientas de

HTC:

@root#tar xzf thc-ipv6-1.8.tar.gz

@root#cd thc-ipv6-1.8

@root#make

Inicio del ataque:

Una vez instaladas las herramientas se puede comenzar con el ataque, el cual consiste

en el envío de cientos o miles de paquetes “Router” Advertisement(RA) con direcciones

IPv6 y MAC origen aleatorias. La vulnerabilidad a explotar es el excesivo tiempo en

CPU que toma la configuración “Stateless Autoconfiguration” de cada una de las

direcciones IPv6 que llegan por medio de los paquetes RA.

Esta vulnerabilidad existe en los sistemas operativos Windows Server 2003, 2008, 7

,8; FreeBSD, NetBSD y en los equipos ASA Cisco. A continuación se muestra la lista de

sistemas afectados por esta vulnerabilidad, publicada por la comunidad de seguridad

„Security Connect‟ de la compañía Symantec (http://www.

securityfocus.com/bid/45760/info):

CVE: CVE-2010-4669

CVE-2010-4670

CVE-2010-4671

Published: Jan 11 2011 12:00AM

Updated: Apr 06 2011 03:05PM

Credit: vanHauser

Vulnerable: Microsoft Windows XP Tablet PC

Edition SP3

Microsoft Windows XP Tablet PC Edition SP2

Microsoft Windows XP Tablet PC Edition SP1

Microsoft Windows XP Tablet PC Edition

Microsoft Windows XP Service Pack 3 0

Microsoft Windows XP Professional x64

Edition SP3


Edition SP2


Edition

Microsoft Windows XP Professional SP3



Microsoft Windows XP Professional

Microsoft Windows XP Media Center Edition

SP3


SP2


SP1


Microsoft Windows XP Home SP3



Microsoft Windows XP Home

Microsoft Windows XP Gold 0

Microsoft Windows XP Embedded Update Rollup

http://www/

1.0

Microsoft Windows XP Embedded SP2 Feature

Pack 2007 0

Microsoft Windows XP Embedded SP3



Microsoft Windows XP Embedded

Microsoft Windows XP 64-bit Edition Version

2003 SP1

Microsoft Windows XP 64-bit Edition Version

2003

Microsoft Windows XP 64-bit Edition SP1

Microsoft Windows XP 64-bit Edition

Microsoft Windows XP Gold Tablet Pc

Microsoft Windows XP Gold Professional

Microsoft Windows XP Gold Media Center

Microsoft Windows XP Gold Embedded

Microsoft Windows XP 0

Microsoft Windows XP 0

Microsoft Windows XP - Gold X64

Microsoft Windows XP - Gold Home

Microsoft Windows XP - Gold 64-Bit-2002

Microsoft Windows Vista x64 Edition SP2

Microsoft Windows Vista x64 Edition SP1

Microsoft Windows Vista x64 Edition 0

Microsoft Windows Vista Ultimate 64-bit

edition SP2


edition SP1


edition 0

Microsoft Windows Vista Home Premium 64-bit

edition SP2


edition SP1


edition 0

Microsoft Windows Vista Home Basic 64-bit

edition Sp2 X64


edition SP2


edition Sp1 X64


edition SP1


edition 0

Microsoft Windows Vista Enterprise 64-bit

edition SP2


edition SP1


edition 0

Microsoft Windows Vista December CTP X64

Microsoft Windows Vista December CTP SP2

Microsoft Windows Vista December CTP SP1

Microsoft Windows Vista December CTP Gold

Microsoft Windows Vista December CTP

Microsoft Windows Vista Business 64-bit

edition SP2


edition SP1


edition 0

Microsoft Windows Vista Ultimate SP2

Microsoft Windows Vista Ultimate SP1

Microsoft Windows Vista Ultimate

Microsoft Windows Vista SP2 Beta

Microsoft Windows Vista SP2

Microsoft Windows Vista SP1

Microsoft Windows Vista Home Premium SP2

Microsoft Windows Vista Home Premium SP1

Microsoft Windows Vista Home Premium

Microsoft Windows Vista Home Basic SP2

Microsoft Windows Vista Home Basic SP1

Microsoft Windows Vista Home Basic

Microsoft Windows Vista Enterprise SP2

Microsoft Windows Vista Enterprise SP1

Microsoft Windows Vista Enterprise

Microsoft Windows Vista Business SP2

Microsoft Windows Vista Business SP1

Microsoft Windows Vista Business

Microsoft Windows Vista beta 2

Microsoft Windows Vista Beta 1

Microsoft Windows Vista Beta

Microsoft Windows Vista 3.0



Microsoft Windows Vista 0

Microsoft Windows Server 2008 Standard

Edition X64


Edition SP2


Edition Release Candidate


Edition Itanium


Edition 0


Edition - Sp2 Web


Edition - Sp2 Storage


Edition - Sp2 Hpc


Edition - Gold Web


Edition - Gold Storage


Edition - Gold Standard


Edition - Gold Itanium


Edition - Gold Hpc


Edition - Gold Enterprise


Edition - Gold Datacenter


Edition - Gold

Microsoft Windows Server 2008 R2 x64 0

Microsoft Windows Server 2008 R2 Itanium 0

Microsoft Windows Server 2008 R2 Datacenter

0

Microsoft Windows Server 2008 for x64-based

Systems SP2


Systems R2


Systems 0

Microsoft Windows Server 2008 for Itaniumbased

Systems SP2


Systems R2


Systems 0

Microsoft Windows Server 2008 for 32-bit

Systems SP2

Microsoft Windows Server 2008 for 32-bit

Systems 0

Microsoft Windows Server 2008 Enterprise

Edition SP2




Edition 0

Microsoft Windows Server 2008 Datacenter

Edition SP2




Edition 0

Microsoft Windows Server 2008 SP2 Beta

Microsoft Windows Server 2003 x64 SP2

Microsoft Windows Server 2003 x64 SP1

Microsoft Windows Server 2003 Web Edition

SP2


SP1 Beta 1


SP1


Microsoft Windows Server 2003 Standard x64

Edition


Edition SP2


Edition SP1 Beta 1


Edition SP1


Edition

Microsoft Windows Server 2003 R2 web Edition

0

Microsoft Windows Server 2003 R2 Standard Edition 0

Microsoft Windows Server 2003 R2 Enterprise

Edition SP2 0


Edition SP1 0


Edition 0


Edition SP2 0


Edition SP1 0


Edition 0

Microsoft Windows Server 2003 Itanium SP2

Microsoft Windows Server 2003 Itanium SP1

Microsoft Windows Server 2003 Itanium 0

Microsoft Windows Server 2003 Enterprise x64

Edition SP2

Microsoft Windows Server 2003 Enterprise x64

Edition


Edition Itanium Sp2 Itanium


Edition Itanium SP2


Edition Itanium SP1 Beta 1


Edition Itanium SP1


Edition Itanium 0


Edition SP1 Beta 1


Edition SP1


Edition

Microsoft Windows Server 2003 Datacenter x64

Edition SP2

Microsoft Windows Server 2003 Datacenter x64

Edition


Edition Itanium SP1 Beta 1


Edition Itanium SP1


Edition Itanium 0


Edition SP1 Beta 1


Edition SP1


Edition

Microsoft Windows Server 2003 Sp2 Storage

Microsoft Windows Server 2003 Sp2 Enterprise

Microsoft Windows Server 2003 Sp2 Datacenter

Microsoft Windows Server 2003 Sp2 Compute

Cluster

Microsoft Windows Server 2003 SP2

Microsoft Windows Server 2003 Sp1 Storage

Microsoft Windows Server 2003 SP1 Platform

SDK

Microsoft Windows Server 2003 Sp1 Compute

Cluster

Microsoft Windows Server 2003 SP1

Microsoft Windows Server 2003 R2 X64-

Standard


Enterprise


Datacenter

Microsoft Windows Server 2003 R2 X64

Microsoft Windows Server 2003 R2 Storage

Microsoft Windows Server 2003 R2 Standard

Microsoft Windows Server 2003 R2 Platfom SDK



Microsoft Windows Server 2003 R2 Compute

Cluster

Microsoft Windows Server 2003 R2

Microsoft Windows Server 2003 Gold X64-

Standard


Enterprise


Datacenter

Microsoft Windows Server 2003 Gold X64

Microsoft Windows Server 2003 Gold Storage

Microsoft Windows Server 2003 Gold Standard

Microsoft Windows Server 2003 Gold Itanium

Microsoft Windows Server 2003 Gold Enterprise

Microsoft Windows Server 2003 Gold Datacenter

Microsoft Windows Server 2003 Gold Compute

Cluster

Microsoft Windows Server 2003 Gold

Microsoft Windows Server 2008 R2

Microsoft Windows 7 XP Mode 0

Microsoft Windows 7 Ultimate 0

Microsoft Windows 7 Starter 0

Microsoft Windows 7 Professional 0

Microsoft Windows 7 Home Premium 0

Microsoft Windows 7 for x64-based Systems 0

Microsoft Windows 7 for Itanium-based

Systems 0

Microsoft Windows 7 for 32-bit Systems 0

Microsoft Windows 7 RC

Microsoft Windows 7 beta

Microsoft Windows 7

Cisco PIX/ASA 8.1(2.3)


Cisco PIX/ASA 8.1(2)19





Cisco PIX/ASA 8.1(2)






Cisco PIX/ASA 8.1



















Cisco PIX/ASA 8.0

Cisco IOS 15.0M

Cisco IOS 15.0M

Cisco Ios 15.0(1)XA1

Cisco Ios 15.0(1)XA

Cisco IOS 15.0(1)M2

Cisco IOS 15.0(1)M1

Cisco IOS 15.0(1)M1

Cisco IOS 15.0 M

Cisco Ios 15.0

Cisco ASA 5500 Series Adaptive Security

Appliance 8.2.2


Appliance 8.2(3)


Appliance 8.2(2.17)


Appliance 8.2(2.13)


Appliance 8.2(2.10)


Appliance 8.2(2.1)


Appliance 8.2(2)


Appliance 8.2(1.5)


Appliance 8.2(1.2)


Appliance 8.2(1.16)


Appliance 8.2(1.15)


Appliance 8.2(1.10)


Appliance 8.2


Appliance 8.1(2.46)


Appliance 8.1(2.45)


Appliance 8.1(2.44)


Appliance 8.1(2.40)


Appliance 8.1(2.39)


Appliance 8.1(2.37)


Appliance 8.1(2.35)


Appliance 8.1(2.29)


Appliance 8.1


Appliance 8.0(5.7)


Appliance 8.0(5.6)


Appliance 8.0(5.2)


Appliance 8.0(5.19)


Appliance 8.0(5.17)


Appliance 8.0(5.15)


Appliance 8.0(5.1)


Appliance 8.0(4.44)


Appliance 8.0(4.38)


Appliance 8.0

Not Vulnerable: Cisco Ios 15.0(1)XA5

Como se puede ver esta herramienta nos permite apreciar que existe muchos objetivos

vulnerables para este tipo de ataque; según las pruebas realizadas en la página web

„samsclass‟ se pudo determinar que 600 paquetes RA‟s son suficientes para que una PC

que corre Windows 7 ya sobrepase su capacidad de procesamiento y todos sus

procesos comiencen a congelarse.

Los sistemas operativos: OpenBSD, Ubuntu y MAC, no son vulnerables a este tipo de

ataque pues ignoran los paquetes RA a partir del décimo paquete que llega.

Para iniciar con el ataque solo necesitamos colocar en la consola el siguiente comando:

@root#flood_router6 eth0

Con esto indicamos que vamos a envíar un continuo flujo de paquetes RA con

direcciones origen MAC e IPv6 aleatorias hacia la red local.

En la figura 7 se puede ver como sube el nivel de utilización del CPU de una PC

Windows 7 al que se está atacando por medio del envío masivo de paquetes Router

Advertisement.

Figura 7. Utilización de CPU de PC atacada por medio de envío masivo de paquetes RA

asegurando una red con ipv6

Documents