Научная статья на тему 'Анализ уязвимостей и поиск решений по организации безопасности протокола IPv6'

Анализ уязвимостей и поиск решений по организации безопасности протокола IPv6 Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1333
156
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ПРОТОКОЛ / IPV6 / АНАЛИЗ / УЯЗВИМОСТИ / АТАКИ / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / РЕШЕНИЯ / ИНТЕРНЕТ / СПОСОБЫ ОБНАРУЖЕНИЯ / IP АДРЕСА / МАРШРУТИЗАЦИЯ / PROTOCOL / ANALYSIS / VULNERABILITIES / ATTACKS / INFORMATION SECURITY / SOLUTIONS / INTERNET / DETECTION METHODS / IP ADDRESSES / ROUTING

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Качалкова С. В., Рыбушкин Н. А., Мифтахова Л. Х.

В данной статье изучен вопрос актуальности использования протокола IPv6, рассмотрены наиболее часто встречающиеся уязвимости, их реализация, а также приведены результаты работы по поиску решений для их устранения. Приведённые способы нейтрализации атак осуществляются посредством использования специальных программных утилит протокола IPv6. На основании проведённых исследований выдвинут ряд предложений по оптимизации работы данного протокола.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Анализ уязвимостей и поиск решений по организации безопасности протокола IPv6»

УДК 004.057.4

С. В. Качалкова, Н. А. Рыбушкин, Л. Х. Мифтахова

АНАЛИЗ УЯЗВИМОСТЕЙ И ПОИСК РЕШЕНИЙ

ПО ОРГАНИЗАЦИИ БЕЗОПАСНОСТИ ПРОТОКОЛА IPV6

Ключевые слова: протокол, IPv6, анализ, уязвимости, атаки, информационная безопасность, решения, интернет, способы

обнаружения, IP адреса, маршрутизация.

В данной статье изучен вопрос актуальности использования протокола IPv6, рассмотрены наиболее часто встречающиеся уязвимости, их реализация, а также приведены результаты работы по поиску решений для их устранения. Приведённые способы нейтрализации атак осуществляются посредством использования специальных программных утилит протокола IPv6. На основании проведённых исследований выдвинут ряд предложений по оптимизации работы данного протокола.

Keywords: protocol, IPv6, analysis, vulnerabilities, attacks, information security, solutions, the Internet, detection methods, IP addresses, routing.

This article explores the relevance of the use of the IPv6 protocol, discusses the most common vulnerabilities, their implementation, and also shows the results of the work to find solutions for their elimination. The methods of neutralizing attacks are implemented by using special software utilities of the IPv6 protocol. Based on the conducted research, a number ofproposals have been put forward to optimize the operation of this protocol.

Введение

На сегодняшний день протокол IPv6 уже не является далеким будущим, как несколько лет назад. Вследствие динамического развития сети Интернет старый стандарт ipv4 с ограниченным адресным пространством медленно отходит на второй план.

Согласно отчёту, приведённому на сайте WebTechnology Surveys (диаграмма 1) [1] за последний год процент сайтов, использующих протокол IPv6, вырос с 7 до 10 % и тенденция процентного роста сохраняется. Принимая во внимание данную динамику перехода, можно сделать вывод, что вероятность осуществления вражеских атак со стороны злоумышленников возрастает.

Рис. 1 - Процент сайтов, использующих протокол 1Руб, за последний год

Протокол 1Ру6 разрабатывался с целью увеличения объёма адресного пространства и решения некоторых системных проблем предшествующего 1Ру4. Архитектура 1Р протокола 6-го поколения создана для обслуживания 2128 адресов - маршрутизация производится по префиксам адресов [2]. Заголовки адресов значительно упрощены для увеличения скорости обработки и передачи пакетов. Новые механизмы защиты, разрабатываемые изначально для 1Ру6, устраняют уязвимости старого стандарта в определённых областях, но некоторые из таких

участков по-прежнему открыты для эксплуатации злоумышленниками.

Целью данной работы выступает анализ существующих уязвимостей нового протокола, а также поиск решений проблем на основе проводимых атак.

Нововведения в решении вопроса безопасности

Протокол IPv6 разрабатывался с учетом проблем безопасности, обнаруженных в IPv4. Основные улучшения, реализованные в протоколе IPv6, можно обобщить следующим образом:

1. Массивный размер IP-адресного пространства. Чаще всего злоумышленники используют сканирование портов в качестве техники разведки, для сбора большого количества информации о сети жертвы. Предполагается, что весь Интернет на основе IPv4 можно просканировать примерно за 10 часов с достаточной пропускной способностью, т.к. данный протокол обладает адресным пространством лишь в 32 бита. IPv6 резко увеличивает этот временной предел, расширяя количество бит в адресных полях до 128. Само по себе такое массивное адресное пространство создает значительный барьер для злоумышленников, желающих провести всестороннее сканирование портов.

Также в IP протоколе 6 поколения можно связать открытый ключ подписи с адресом IPv6. Получившийся адрес называется криптографическим генерируемым адресом CGA (Crypto-graphically Generated Addresses) [3]. Это обеспечивает дополнительную защиту безопасности для механизма обнаружения маршрутизаторов соседства IPv6, и позволяет пользователю предоставить «доказательство принадлежности» для конкретного IPv6 -адреса. Данная функция является ключевым отличием от IPv4, вследствие того, что она не может быть реализована в IPv4 из-за текущего ограничения 32-разрядного адресного пространства.

CGA предполагает три основных преимущества: 1. Осуществление подделки или кражи IPv6 адресов становится намного сложнее.

2. Возможность иметь сообщения, подписанные с закрытым ключом владельца.

3. Отсутствие необходимости какого-либо обновления или изменения общей сетевой инфраструктуры.

2. IP Security (IPsec). IPsec улучшает исходный протокол IP, предоставляя аутентичность, целостность, конфиденциальность и контроль доступа к каждому пакету IP, посредством использования двух протоколов: AH (Authentication Header) и ESP (Encapsulating Security Payload). Заголовок аутентификации АН выполняет функцию проверки целостности данных и аутентификацию источника, а ESP отвечает непосредственно за шифрование [4].

S. Замена ARP протокола «протоколом обнаружения соседей» NDP (NeighborDiscovery Protocol). Данный протокол позволяет хостам, совместно использующим канал IPv6, обнаруживать друг друга, определять адрес уровня канала другого хоста (вместо ARP, который ранее применялся в IPv4), отслеживать доступность путей к другим активным соседям.

Ниже приводятся механизмы (типы сообщений) NDP для решения некоторых задач:

- Parameter Discovery- получение хостами параметров сети (например, MTU);

- Prefix Discovery - возможность обнаружения хостами префиксов, которые определяют, какие получатели находятся в одной с ними сети (хосты используют префиксы, чтобы определить, какие получатели доступны по сети, а какие доступны только через маршрутизатор);

- Addressresolution -определение адреса канального уровня соседейпо IP-адресу получателя;

- Duplicate Address Detection (DAD) - проверка адреса, который хост хочет использовать, на использование другим хостом [5];

- Router Discovery - возможность обнаружения хостами маршрутизаторов, которые находятся в одной сети;

- Neighbor Unreachability Detection (NUD) -определение хостом доступности соседа;

- Next-hopdetermination - алгоритм для установления соответствия между IP-адресом получателя и IP-адресом соседа, которому нужно отправить трафик с целью доставки его получателю;

- Redirect - уведомление маршрутизатором хоста о том, что есть лучший маршрутизатор (firsthop), для отправки трафика к конкретному получателю;

- Address Autoconfiguration - автоматическая настройка адресов на интерфейсе.

Однако, стоит отметить, что вышеуказанные новые функции и механизмы не решают всех вопросов, связанных с безопасностью. Одним из таких примеров может служить рассылка с помощью ISMPv6 в открытом виде рассмотренных выше NDP сообщений, которые могут быть перехвачены злоумышленником. Подробнее об этом будет рассмотрено далее.

Анализ уязвимостей. Список наиболее часто встречающихся угроз IPv6 составлен на основа-нииисследования, проведенного пятью компаниями, специализирующимися на тестировании проникно-

вений и представлен в таблице 1. Анализ основывался на проверке определённых областей протокола в соответствии со следующими категориями:

1. Discovery - проблемы безопасности, связанные с обнаружением систем;

2. MitM - проблемы безопасности, которые могут быть использованы для атак типа «man-in-the-middle»;

3. Covert - проблемы безопасности, которые могут привести к скрытому каналу связи;

4. Local - проблемы безопасности, которые можно протестировать в локальной сети;

5. Functionality - проблемы безопасности, вызванные побочным эффектом функциональных дизайнерских решений;

6. Firewall - проблемы безопасности, связанные с брандмауэрами или другими фильтрационными устройствами;

7. Application - проблемы безопасности, связанные с приложениями;

8. Remote - проблемы безопасности, которые можно протестировать удаленно;

9. DoS - проблемы безопасности, которые могут привести к отказу в обслуживании.

Таблица 1 - Сопоставление уязвимостей и категорий

Discovery MitM Covert Local Functionality Firewall Application Remote Dos

Неприкосновенность частной жизни без авторизации. Автоконфигурация адреса (SLAAC) * *

Получение сетью пакетов рекламы RouterRouterAdverti semen t (RA). * * * *

Использование скрытых каналов устройством фильтрации * * *

Отсутствие фильтрации туннелей IPv6 * * * *

Получение сетью мошеннических пакетов перенаправления ICMPv6 * * *

Атака DoSReflector через адрес назначения многоадресной рассылки (атака Smurf) * * * *

Распространение DoSче-рез петли маршрутизации с использованием туннелей * * *

Маршрутизация под влиянием ICMP-спуфинга (подмены) * * * *

1. Неприкосновенность частной жизни без авторизации. Автоконфигурация адреса (SLAAC) Описание

Многие операционные системы используют MAC-адрес сетевой интерфейсной платы с целью создания EUI-64 (64-битный идентификатор MAC) для пользовательских устройств, используя Stateless Address Autoconfiguration (SLAAC) [5,6]. Данный EUI-64 протокол служит для назначения сетевого

адреса IPv6. Существуют две основные проблемы, связанные с EUI-64:

1. Возможность слежения за людьми через Интернет, поскольку часть хоста Г^6-адреса будет чаще всего оставаться той же, даже если хост перейдет в другую сеть.

2. Получить поставщика сетевой интерфейсной карты можно, просто используя список поставщиков MAC.

Решения

Использование расширения конфиденциальности для генерации случайных идентификаторов хостов, которые специально разработаны, чтобы обойти эту проблему.

Способы обнаружения

scan6: Этот инструмент сканирует сеть для устройств, которые использовали SLAAC с целью генерации IP-адреса, основанный на их MAC-адресе.

Scan6 -i <интерфейс> -d <№-адрес назначения> -K <Поставщик сетевого адаптера>. Например: scan6 -iethO -dfc00 :: / 64 -K 'DellInc', # -v для многословного режима.

Результат: вывод показывает активные адреса IPv6 устройств.

alive6:Alive6 -s 1 <интерфейс><подсеть>. Например: sudo alive6 -s 1 eth0 2620: 0: 1cfe: face: b00c :: 0-ffff(-s 1 означает сканирование ping, -s 64 -SYN-порт 80).

Результат: вывод alive6 показывает активные адреса IPv6 обнаруженных устройств.

Результат

Для проверки, применяется ли SLAAC без случайной опции, необходимо сравнить MAC-адрес(ы) аппарата с найденными адресами IPv6. Если MAC-адрес используется в последних 64-х битах (где 7-й старший значащий бит инвертирован), значит, условие выполняется.

2. Получение сетью пакетов рекламы Router Router Advertisement (RA)

Описание

Посылая поддельные пакеты RA [7] в локальной сети, злоумышленник может претендовать на роль шлюза по умолчанию. Трафик, покидающий подсеть, может быть перехвачен и проверен злоумышленником. Данная атака обычно вводит другой шлюз для существующей сети или новый (мошеннический) префикс и не всегда является преднамеренной.

Решения

Коммутаторы с функциональностью «RA Guard» (RFC 6105: «IPv6 RouterAdvertisementGuard») фильтруют эти пакеты. Обычные «дешевые» коммутаторы чаще всего не поддерживают эту функцию.

Способы обнаружения

fake_router6:

ПРЕДУПРЕЖДЕНИЕ: МОЖЕТ ПРИВЕСТИ К DOS.

fake_router6 отправляет поддельные рекламные сообщения маршрутизатора с наивысшим приоритетом, направляя трафик от других клиентов к атакующему устройству или другим системам.

В первую очередь необходимо включить маршрутизацию на устройстве атаки, чтобы жертвы сохраняли сетевое подключение.

fake_router6<интерфейс><префикссети>e.g.: sudofake_router6 eth0 2002::1/64 or fake_router6 <интер-

фейс><префикссети><dnsсерверip><локальныймар шрутизаторip>e.g.:

sudofake_router6 eth0 2002::1/64 2002::2 2002::1 Результат:

С помощью данного способа осуществляется проверка, проходит ли клиент в сети трафик через атакующее устройство во время выполнения fake_router6. Программные средства: tcpdump (на устройстве атаки) или traceroute (на жертву).

Если fake_router6 остановлен, обычная реклама маршрутизатора должна вступить в силу, когда срок жизни поддельного RA заканчивается. Самое большее 9000 секунд. Если нормальный RA имеет высокий приоритет, он немедленно обновит все хосты.

3. Использование скрытых каналов устройством фильтрации Описание

Скрытый канал - это возможность передачи информационных объектов между процессами [8], которые, как предполагается, не могут связываться с помощью политики безопасности компьютера. Существует много форм скрытых каналов, некоторые из которых могут быть созданы с использованием определенных функций IPv6. Они могут, например, использоваться как каналы управления и контроля APT и бот-сетями. Некоторые специфические IPv6 заголовки:

1. Неизвестные заголовки расширений. Данные могут храниться в заголовках расширений, чтобы незаметно проходить брандмауэры.

2. Дополнительные данные после заголовков расширений. Значение 59 в поле NextHeader (Следующий заголовок) IPv6 или любого заголовка расширения указывает, что за этим заголовком ничего не следует. Если поле Payloadlength (Длина полезной нагрузки) в заголовке IPv6 указывает наличие октетов за пределами заголовка, поле «Следующий заголовок» содержит 59, то эти октеты должны игнорироваться и передаваться без изменений (с учетом что пакет пересылается).

3. Использование полей заголовка IPv6 для переноса данных. Метка потока и тип служебных полей в заголовке IPv6 обычно не используются и часто игнорируются брандмауэрами и копируются VPN.

4. В сети много неиспользуемых адресов IPv6. Подмножество адреса IPv6 может использоваться как скрытый канал.

Решения

Как правило, скрытые каналы и скрытые нарушения канала трудно найти и защититься от них. Чаще всего в этих случаях применяются правила фильтрации и нормализация пакетов. Специальные скрытые каналы обычно требуют конкретных решений. Способы обнаружения Scapy / networksniffer:

Scapy [9] - это инструмент манипуляции пакетами, который позволяет создавать специфические пакеты.

Для начала необходима настройка среды тестирования, при которой устройство фильтрации (DUT) помещается между отправляющим узлом и конечным узлом. Хост-отправитель должен быть оснащен scapy [10], а конечный хост -networksniffer. Отправитель и получатель должны находиться в сетях, размещенных на разных интерфейсах DUT.

Для каждого сценария скрытого канала используется scapy с целью подделывания пакетов IPv6, несущих известные идентификаторы в соответствующем поле (например, заголовки расширений, заголовок/адрес IPv6, ...). Поддельный пакет должен иметь адрес получателя. После запуска networksniffer на принимающем узле, необходимо отправлять пакеты, используя внутренние функции scapy.

Результат:

С помощью networksniffer проверяется были получены поддельные пакеты конечным хостом или же они были отброшены тестируемым устройством.

4. Отсутствие фильтрации туннелей IPv6.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Описание

С помощью использования туннелей, например, Teredo, ISATAP, 6to4, 4to6, злоумышленники могут обойти брандмауэр и другие механизмы защиты, особенно если эти механизмы вообще не поддерживают IPv6 или же туннели скрыты. Данные действия создают неуправляемое и небезопасное соединение IPv6, которое в свою очередь может привести к многочисленным атакам на базе IPv6.

Примечание. Туннелирование - это очень общий механизм для обхода мер безопасности, включая HTTP-туннелирование, туннелирование DNS, туннелирование SSH и т. д., который не зависит от версии протокола IP.

Решения

Необходимо блокирование туннелирования IPv6, если оно не требуется. Если требуется туннелирование IPv6, то разрешение стоит давать лишь для определенных хостов.

Способы обнаружения

Также как и в предыдущем случае, для начала требуется настройка среды тестирования. Хост-отправитель должен попытаться настроить туннель IPv6 (или имитировать это с помощью scapy-профиля), а конечный хост - networksniffer. Отправитель и получатель должны находиться в сетях, размещенных на разных интерфейсах DUT.

Для подделывания пакетов IPv6, которые имитируют туннели IPv6, используют scapy. Поддельный пакет должен иметь адрес получателя. После запуска networksniffer на принимающем узле, необходимо отправлять пакеты, используя внутренние функции scapy.

Результат:

С помощью networksniffer проверяется были ли получены поддельные пакеты конечным хостом или же они были отброшены тестируемым устройством.

5. Получение мошеннических пакетов перенаправления ICMPv6

Описание

Перенаправления ICMP6 используются маршрутизаторами для указания лучшего маршрутизатора первого прыжка (firsthoprouter) для адресата. Это влияет на маршрутизацию пакетов. Злоумышленник может отправлять поддельные пакеты перенаправления ICMPv6 в локальной сети, что может привести к «отравлению» таблицы маршрутизации узлов. В результате трафик будет перенаправлен к мошенническому узлу в сети. Решения

Требуется отключение приема ICMP Redirect для систем, которые не являются маршрутизаторами.

В Linux это можно сделать, установив операторы sysctl:

Net.ipv4.conf.all.accept_redirects = 0 Net.ipv6.conf.all.accept_redirects = 0 В Windows этотребует изменения записи реестра Enable ICMP Redirect вразделе

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentCon-trolSet \ Services \ Tcpip \ Parameters на 0 Способы обнаружения redir6:

Этот инструмент отправляет сообщения ICMP Redirect, которые могут заставить систему изменить свою таблицу маршрутизации и отправить трафик для системы X через систему Y.

Во-первых, необходимо посмотреть оригинальный IP-адрес маршрутизатора, чтобы вернуться к исходной ситуации позже.

redir6 <интерфейс><целевой ip><оригинальный маршрутиза-тор><новый маршрутизатор^^.: sudoredir6 eth0 2001:DB8::335B:5EF:14 2001:DB8::335B:5EF:1 2001:DB8::335B:5EF:18 Результат:

Данный способ проверяет, проходит ли клиент в сети трафик через атакующее устройство во время выполнения redir6. Программные средства: tcpdump (на атакуемом устройстве), traceroute (на жертву). Поведение пострадавших систем после прекращения атаки нуждается в проверке. Некоторые могут вернуться к первоначальному маршруту через несколько минут, в то время как другие могут сохранить новый маршрут на неопределенное время. Рекомендуется отправлять новый пакет перенаправления, перенаправляя трафик на исходный маршрутизатор.

6. Атака DoSReflector через адрес назначения многоадресной рассыпки (атака Smurf) Описание

RFC 2463: «ICMPv6 for IPv6 Specification» указывает, что ICMP-ответы не должны отправляться, когда адрес назначения является групповым адресом (multicastaddress). Не все системы могут реализовать это правильно. Если отправляются сообщения об ошибках ICMP, их можно использовать в атаке отражателя (smurf), например, с помощью ICMP эхо-запроса и ответных сообщений.

Как это может работать: злонамеренная система генерирует сообщения эхо-запроса ICMP для адреса многоадресной рассылки с адресом источника, за-

данным жертве. Все узлы будут отвечать на эхо-ответ ICMP жертве, возможно, вызывая DoS. Это очень похоже на smurf-атаку на IPv4.

Решения

Не следует отправлять ICMP-ответ, если адресатом IP-пакета является групповой адрес.

Способы обнаружения

Smurf6:

ПРЕДУПРЕЖДЕНИЕ: МОЖЕТ ПРИВЕСТИ К DOS.

Этот инструмент отправляет пакеты IPv6 с исходным кодом, установленным в системе жертвы, и адресом назначения, заданным для адреса многоадресной рассылки.

Smurf6 <интерфейс><целевой-ipv6-

адрес><многоадресный адрес> например: sudo smurf6 ethl 2001: db8: 12: 0: a00: 46ff: fe51: 9e47 ff02 :: 1

Результат:

Системы не должны отвечать ICMP-сообщением после получения пакета, отправленного на групповой адрес. Если такое произойдет, можно сделать вывод что системы не соответствуют стандартам. Самый простой способ проверить - использовать вашу собственную систему в качестве целевой и отслеживать входящие эхо-ответы, используя tcpdump.

Scapy:

Гораздо более удобный метод тестирования для ответа пакетов ICMPv6 на групповой адрес - это отправка одного пакета. Это можно сделать с помощью scapy.

Создается пакет в scapy и отправляется: rs = (IPv6 (src = "2001: db8: 12: 0: a00: 46ff: fe51: 9e47",

Dst = "ff02 :: 1")) / ICMPv6EchoRequest () send

(rs)

Результат:

Если система неправильно установила IPv6 (например, Lnux), чаще всего приходит ответ EchoReply на все узлы группового адреса. Для проверки можно использовать Tcpdump (sudotcpdump -i <интерфейс> ip6). Возвращение каких-либо пакетов говорит о том, что система имеет плохое внедрение IPv6. Текущие ОС Linux в любом случае будут отправлять данные обратно, поэтому их необходимо перенастраивать вручную.

7. Распространение DoS через петли маршрутизации с использованием туннелей

Описание

IP-туннели, применяющиеся для создания цикла маршрутизации, могутиспользоваться в атаках распространения DoS, поскольку один пакет обрабатывается маршрутизатором несколько раз. Эти атаки используют преимущества несоответствий между наложением туннеля на маршрутизацию IPv6 и собственным состоянием маршрутизации Ipv6. Может быть использована смесь различных типов туннелей, включая ISATAP, Teredo, 6to4, 4to6.

Решения

Необходима фильтрация туннелей, созданных конечными системами на пограничных шлюзах. Перед перенаправлением пакета должны соблюдаться следующие условия:

- Если адрес назначения - это адрес ISATAP, его последние четыре октета не должны быть равны IPv4-адресу одного из интерфейсов узла.

- Если адрес назначения - адрес 6to4, его 3-6 октетов не должны быть равны IPv4-адресу одного из интерфейсов узла.

- Если адресом назначения является Teredo, поле <obfuscatedexternal IP> не должно быть равным дополнению 1 адреса IPv4 одного из интерфейсов узла или адреса IPv4, который сопоставляется с этим узлом NAT.

Данные проверки должны применяться на каждом узле IPv6, который может пересылать пакеты и участвует, по крайней мере, в одном из этих туннелей. Это поможет избежать петель маршрутизации.

Способы обнаружения

Scapy:

Scapy используется для создания пакета, который проходит через туннель. Поскольку генерируется только 1 пакет, нагрузка должна быть минимальной.

Сначала необходимо определить, что используется туннель IPv6. Для этого служат следующие установки:

Маршрутизатор ISATAP A:

- Адрес IPv4: 11.11.11.11

- ^6-адрес: 2001: db8: 1f06 :: 200: 5efe: b0b: b0b

Маршрутизатор ISATAP B:

- Адрес IPv4: 11.11.11.12

- Адрес IPv6: 2001: db8: 1f07 :: 200: 5efe: b0b:

b0c

Команда, которая генерирует и отправляет пакет в Scapy:

Attack_Packet = IPv6 (dst = "2001: db8: 1f07 :: 200: 5efe: b0b: b0b", src = "2001: db8: 1f06 :: 200: 5efe: B0b: b0c ") / ICMPv6EchoRequest () At-tack_Packet.hlim = 10

Отправить (Attack_Packet)

Этот пакет может быть отправлен с любого компьютера. Предположим, что мы отправляем его с маршрутизатора А. Поскольку префикс адреса назначения IPv6 не принадлежат маршрутизатору A, пакет маршрутизируется в сеть IPv6 через интерфейс брокера туннеля IPv6 для брокера туннеля (tunnelbroker). Далее, туннельный брокер перенаправляет пакет на маршрутизатор B. Поскольку префикс IPv6-адреса назначения является префиксом туннеля ISATAP маршрутизатора B, он будет маршрутизировать его через интерфейс ISATAP, а именно через его интерфейс IPv4, в то время как пакет инкапсулирован с адресом назначения 11.11.11.11 (это младшие 32 бита адреса назначения IPv6). Маршрутизатор A получит пакет и декапсу-лирует заголовок IPv4.

Т.к. адрес назначения IPv6 не соответствует адресу маршрутизатора A, он будет снова маршрутизировать его через интерфейс IPv6, т.е. интерфейс туннельного брокера. Этот цикл продолжается до тех пор, пока поле HopLimit в заголовке IPv6 не будет обнулено. Если начальное значение HopLimit равно 255, пакет будет циклически переходить на 85 (= 256/3) раз прежде, чем он будет отброшен. Это

верно, так как в цикле есть 3 маршрутизатора IPv6 (маршрутизаторы ISATAP A и B и туннельный брокер), каждый из которых уменьшает предел перехода на 1.

Результат:

Проверяя сетевой трафик на маршрутизаторе, можно увидеть бесконечный цикл пакета.

8. Маршрутизация под влиянием ICMP-спуфинга (подмены) Описание

Использование поддельных сообщений ICMPv6 может привести к DoS для определенных хостов или префиксов. В общем, хосты будут обновлять свою таблицу маршрутизации сообщениями ICMP-перенаправления, в то время как маршрутизаторы будут игнорировать их. Это считается приемлемым компромиссом между безопасностью и надежностью сети. Решения

Существует два варианта действий: игнорировать это сообщение, либо препятствовать пакетам проходить через сеть. Чтобы игнорировать переадресацию ICMP в Linux, используют: Net.ipv6.conf.all.accept_redirects = 0 Отключениеотправки: Net.ipv6.conf.all.send_redirects = 0 Способы обнаружения Redir6:

ПРЕДУПРЕЖДЕНИЕ: МОЖЕТ ПРИВЕСТИ К DOS.

Этот инструмент перенаправляет трафик через ICMP6 redirect.

В первую очередь необходимо исследовать клиента и выбрать поток трафика для перенаправления через систему атаки. Далее проверяется MAC-адрес вашей системы атак. Если клиент не должен заметить каких-либо неблагоприятных последствий, настраивается маршрутизация. Также выясняется текущий маршрутизатор для клиента.

Redir6 <if><src-ip><dst-ip><ori-router><new-router><new-router-mac>

Например: sudo redir6 eth0 cafe :: babe cafe :: d00d dabb :: ad00 dead: : beef 00: 00: 11: 11: 22: 22

(Если MAC-адрес недействителен, это приводит к DoS-атаке) Результат:

Обязательно исследуется, не затронут ли трафик. Если выбрана собственная система, рекомендуется использовать tcpdump, чтобы проверить, действительно ли трафик проходит через вас. Если была сгенерирована DoS-атака, достаточно сложно определить, что она была успешной, поэтому предпочтительнее направлять трафик через себя.

Для перенаправления трафика обратно на исходный маршрут используется тот же инструмент.

Программные средства реализации атак на протокол IPv6

Для тестируемого программного обеспечения использовались инструменты THC и Gont IPv6, дополненные распространенными инструментами тестирования проникновения, такими как nmap,

traceroute, tcpdump и т. д. Рассмотрим их чуть подробнее.

Nmap [ll] - свободная утилита, который служит для сканирования сетевых ресурсов с целью обнаружения открытых портов и распознания версии служб, работающих на этих портах.

Scary [9] - редактор и генератор пакетов, служащий для составления пакетов с нестандартными значениями полей, которые невозможно задать штатными средствами. Используя данную функцию можно создать пакет, вручную задав настройки каждого поля заголовков канального, сетевого и транспортного уровней. Данная программа не имеет графической оболочкии предельно сложна для применения неопытными пользователями.

Tcpdump [l2] - довольно мощный и популярный инструмент для анализа и перехвата сетевых пакетов. Данная утилита позволяет просматривать на определенном интерфейсе все входящие и исходящие пакеты, работает в командной строке.

Traceroute [^-компьютерная программа, предназначенная для определения маршрутов следования данных в сетях TCP/IP.

Вывод

Основываясь на анализе различных атак, включая абсолютно новые способы компрометации, которые возникли непосредственно из-за принципов реализации и функционирования IPv6, напрашивается вывод, что без применения специальных защитных технологийданный протокол находиться в зоне риска. Следует также отметить, что с учетом появления большого количества различных утилит, которые становятся всё более легкими в использовании, появляется опасность осуществления атакнападающими даже с базовым уровнем знаний и навыков. Учитывая все вышесказанное, очевидным становится то, чтопротокол IPv6 нуждается в дополнительных механизмах обеспечения информационной безопасности, ряд из которых был предложен в данной работе. Представленные решения позволят пользователям быть более уверенными в надежности нового протокола, за которым, безусловно, стоит будущее сети Интернет.

Литература

1. W3Techs - World Wide Web Technology Surveys [Электрон. ресурс] : Usage of IPv6 for websites - Режим доступа: https: //w3techs.com/technologies/details/ce-ipv6/all/all;

2. Rajahalme J. IPv6 flow label specification / Rajahalme J., Amante S., Jiang S. [и др.] // RFC. - 2ОИ.

3. Gont F. Network Reconnaissance in IPv6 Networks draft-ietf-opsec-ipv6-host-scanning-03 / F. Gont, T. Chown. -January, 2О14.

4. Guidelines for the secure deployment of IPv6 / Frankel S., Gravmen R., Pearce J. [и др.] // NIST Special Publication. -2ОЮ. - Т. 8ОО. - С. ll9.

5. File targets-ipv6-multicast-slaac [Электрон. ресурс]: NSEdoc Scripts - Режим доступа: http://nmap. org/nsedoc/scripts/targets-ipv6-multicast-slaac.html.

6. Multiple Vendors IPv6 Neighbor Discovery Router Advertisement Remote Denial of Service Vulnerability [Электрон. ресурс]: Security Focus. - ll Jan 2ОИ -

Режим доступа: http:

//www.securityfocus.com/bid/45760/info;

7. Vulnerability Summary for CVE-2010-4669 [Электрон. ресурс]: National Vulnerability Database. - 1 Jul 2011 -Режимдоступа: http://web.nvd.nist.gov/view/vuln/ de-tail?vulnId=CVE-2010-4669.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

8. Качалкова С.В., Трусфус М.В., Мифтахова Л.Х. Анализ рисков и критических угроз в технологии беспроводной связи посредством методологии ETSI. Вестник технол. ун-та, 2017. - Т.20., №1 - С.128-131.

9. Scapy [Электрон. ресурс]: Official Scapy project site. -Режим доступа: http://www.secdev.org/projects/ scapy/

10. Ягьяева Л.Т., Молчанов Е.А., Мубаракшин Л.Ф. Сети передачи данных. Вестник Казан. технол. ун-та, 2014. -№6 - С.369-371.

11. Nmap [Электрон. ресурс]: Nmaptoolsite. - Режим доступа: http://nmap.org/

12. SI6 Networks' IPv6 Toolkit [Электрон. ресурс]: Official SI6 Networks' IPv6 Toolkitsite. - Режим доступа: http://www.si6networks.com/tools/ipv6toolkit/

13. Traceroute and BGP AS path incongruities / Y. Hyun, A. Broido, K.C. Claffy // technical report, UCSD CAIDA. 2003. http://www.caida.org/publications/ papers/2003/ASP

© С. В. Качалкова - студент-бакалавр по направлению 10.03.01 «Информационная безопасность» КНИТУ, [email protected]; Н. А. Рыбушкин - студент-бакалавр по направлению 13.03.02 «Электроэнергетика и электротехника» КНИТУ-КАИ им. А. Н. Туполева, [email protected]; Л. Х. Мифтахова- кандидат технический наук, старший преподаватель кафедры информационной безопасности КНИТУ, [email protected].

© S. V. Kachalkova - bachelor student in the direction of 10.03.01 "Information security" of Kazan National Research Technological University, [email protected]; N. A. Rybushkin - bachelor student in the direction of 13.03.02 "Power and electrical engineering" ofFSBEI HE "KNRTU-KAI", [email protected]; L. H. Miftakhova - Candidate of Technical Sciences, senior lecturer in information security of Kazan National Research Technological University, [email protected].

i Надоели баннеры? Вы всегда можете отключить рекламу.