Configuración silenciosa en IPv6 - Ataque al protocolo SLAAC de autoconfiguración de direcciones
Aprovechando que el equipo de DARFE (I y II) ha iniciado la publicación de una serie de artículos relacionados con IPv6, hemos pensado en hacer mención a un problema de seguridad inherente a este protocolo.
Pero antes, hay que explicar el por qué de la necesidad de cambiar de protocolo de comunicación. Desde hace un tiempo uno de los recursos más escasos de los que se dispone en Internet es el número de direcciones públicas. Estas, que antes los operadores no tenían problemas en cederte se han convertido en un bien bastante escaso. Tan escaso que, hace unos años alguien dijo que se iban a acabar los 4200 millones de direcciones y que había que diseñar un nuevo protocolo de comunicación. Por esto, a mediados de los 90 se diseña y se crea IPv6 que, entre otras cosas, amplía el número de direcciones un número inagotable, pasando de direcciones de 32 bits a 128 bits.
IPv6 trae nuevos retos de seguridad. Hay que diseñar alguna forma de que IPv6 e IPv4 sean capaces de coexistir y esta tarea no es sencilla porque básicamente son dos protocolos que están diseñados para no entenderse. Para facilitar que IPv6 se fuera integrando en las redes nuevas, se estableció en todos los sistemas operativos actuales una preferencia de IPv6 sobre IPv4, de forma que si un sistema tiene ambos protocolos configurados, se utilice preferentemente IPv6. Además todos los sistemas operativos habituales modernos traen la pila de IPv6 activada y a la espera de ser configurada.
De este despliegue de doble pila IPv4-IPv6 surge un vector de ataque característico de este protocolo, la configuración silenciosa de IPv6. En ella, de aprovechan las capacidades de IPv6 de configurarse de forma sencilla mediante el protocolo SLAAC para “secuestrar” las comunicaciones de los equipos afectados.
El proceso se basa en el envío fraudulento de mensajes ICMPv6 al destino. Por necesidades de diseño el protocolo ICMPv6 no puede ser descartado en su totalidad en los equipos de seguridad perimetral, ya que es un protocolo necesario para las comunicaciones IPv6 al permitir determinar la MTU máxima de la comunicación. Debe permitirse el paso de determinados mensajes ICMPv6 si se utiliza IPv6, pero hay que filtrar aquellos mensajes que puedan ser dañinos.
Los mensajes de Router Advertisment (RA) que provienen de fuera de la red suponen un peligro para la arquitectura de la misma. Este tipo de mensajes, diseñados para facilitar el despliegue y la configuración de IPv6 contienen información de conexión, con parámetros tales como la puerta de enlace o el prefijo, por lo que un equipo que no tenga configurada la pila de IPv6 la configurará con esta información fraudulenta, pudiendo el atacante establecer la puerta de enlace para todas las comunicaciones. Las siguientes imágenes, obtenidas de Infosec institute
ilustran el proceso:
El atacante ha conseguido enviar mensajes de RA a los equipos de la red, que configuran sus pilas IPv6 con los datos que les han enviado. La preferencia de IPv6 sobre IPv4 hace el resto, y los equipos pasan a utilizar los recursos proporcionados por el atacante.
Este ataque es posible de mitigar mediante la incorporación de un cortafuegos con capacidades IPv6 en el perímetro y mediante el control de los mensajes ICMPv6 que circulan dentro de la organización en los cortafuegos que delimitan las zonas de la red de la organización.
Si esta no utiliza IPv6 se podrá descartar todos los mensajes ICMPv6 entrantes e informar a los operadores de red de la presencia de dicho tipo de mensajes. También se puede mitigar si se deshabilita la opción de configuración mediante SLAAC y se utiliza para la asignación de direcciones otros métodos tales como DHCPv6.
Fuente: INTECO-CERT
Pero antes, hay que explicar el por qué de la necesidad de cambiar de protocolo de comunicación. Desde hace un tiempo uno de los recursos más escasos de los que se dispone en Internet es el número de direcciones públicas. Estas, que antes los operadores no tenían problemas en cederte se han convertido en un bien bastante escaso. Tan escaso que, hace unos años alguien dijo que se iban a acabar los 4200 millones de direcciones y que había que diseñar un nuevo protocolo de comunicación. Por esto, a mediados de los 90 se diseña y se crea IPv6 que, entre otras cosas, amplía el número de direcciones un número inagotable, pasando de direcciones de 32 bits a 128 bits.
IPv6 trae nuevos retos de seguridad. Hay que diseñar alguna forma de que IPv6 e IPv4 sean capaces de coexistir y esta tarea no es sencilla porque básicamente son dos protocolos que están diseñados para no entenderse. Para facilitar que IPv6 se fuera integrando en las redes nuevas, se estableció en todos los sistemas operativos actuales una preferencia de IPv6 sobre IPv4, de forma que si un sistema tiene ambos protocolos configurados, se utilice preferentemente IPv6. Además todos los sistemas operativos habituales modernos traen la pila de IPv6 activada y a la espera de ser configurada.
De este despliegue de doble pila IPv4-IPv6 surge un vector de ataque característico de este protocolo, la configuración silenciosa de IPv6. En ella, de aprovechan las capacidades de IPv6 de configurarse de forma sencilla mediante el protocolo SLAAC para “secuestrar” las comunicaciones de los equipos afectados.
El proceso se basa en el envío fraudulento de mensajes ICMPv6 al destino. Por necesidades de diseño el protocolo ICMPv6 no puede ser descartado en su totalidad en los equipos de seguridad perimetral, ya que es un protocolo necesario para las comunicaciones IPv6 al permitir determinar la MTU máxima de la comunicación. Debe permitirse el paso de determinados mensajes ICMPv6 si se utiliza IPv6, pero hay que filtrar aquellos mensajes que puedan ser dañinos.
Los mensajes de Router Advertisment (RA) que provienen de fuera de la red suponen un peligro para la arquitectura de la misma. Este tipo de mensajes, diseñados para facilitar el despliegue y la configuración de IPv6 contienen información de conexión, con parámetros tales como la puerta de enlace o el prefijo, por lo que un equipo que no tenga configurada la pila de IPv6 la configurará con esta información fraudulenta, pudiendo el atacante establecer la puerta de enlace para todas las comunicaciones. Las siguientes imágenes, obtenidas de Infosec institute
ilustran el proceso: 
Este ataque es posible de mitigar mediante la incorporación de un cortafuegos con capacidades IPv6 en el perímetro y mediante el control de los mensajes ICMPv6 que circulan dentro de la organización en los cortafuegos que delimitan las zonas de la red de la organización.
Fuente: INTECO-CERT
Un detalle... IPv6 permite multiples direcciones IPv6 incluyendo de diferentes sub-redes. Aún si la red estuviese totalmente en IPv6 un mensaje fraudalento permitiría por ejemplo hacer que las maquinas agregaran una sub-red falsa con SLAAC permitiendole al atacante ahorrase en determinar los bits 49-64 de la dirección de red. Por cierto, al menos que el atacante estuviese en la misma sub-red no podría engañarlos publicando su gateway, pues debe ser una local y son inmediatamente validados mediante un ping si están en servicio (bueno, un ataque mas sofisticado si podría )
ResponderBorrar