SlideShare uma empresa Scribd logo

03 seguranca redesi-pv6

Patricio Cardoso Bomfim
Patricio Cardoso Bomfim

segurança

Software
1 de 35
Baixar para ler offline
Segurança  em     Redes  IPv6   Adilson  Aparecido  Floren9no   Portal  do  IPv6  
Mitos  com  relação  a  Segurança  de   Redes  IPv6   •  IPv6  é  mais  Seguro  que   IPv4  ?   •  IPSEC  resolve  todos  os   problemas  ?   •  Se  não  tenho  IPv6  na   rede,  posso  ignorá-­‐lo  ?   •  Comunicação  fim-­‐a-­‐fim   IPv6  é  segura  ?  
IPv6  é  mais  seguro  que  IPv4  ???   •  Protocolos  criados  em  épocas  diferentes   •  Protocolo  IPv4  tem  quase  30  anos  de  uso  em  larga   escala  e  IPv6  não   •  Todas  as  Best  Prac9ces  de  Segurança  são  baseadas  em   IPv4  
Incidentes  de  Segurança  com  IPv6  
Novas  SuperOcies  de  Ataque  
Impacto  das  Vulnerabilidades  
Vulnerabilidades  IPv6  
Quais  são  os  problemas  ???  
IPsec  resolve  todos  os  problemas  ?   •  Garante  auten9cação  e  criptografia  em  camada  3   •  Não  resolve  problemas  relacionados  a  descoberta   segura  de  vizinhança  e  ataques  a  camada  de   aplicação  
Se  não  tenho  IPv6  na  rede,  posso   ignorá-­‐lo  ???   •  Muitos  disposi9vos  vem  com  IPv6  habilitado   •  Firewalls  e  outras  proteções  v4  only  são   inúteis  !  
Sistemas  com  IPv6  habilitado  
Comunicação  fim-­‐a-­‐fim  é  segura  ???   •  Firewalls,  NIPS  e  outros  elementos  podem  atuar  com   intermediários   •  Técnicas  de  transição  podem  se  valer  de  algum  9po   de  tradução  que  causa  obscuridade  
Um  novo  mundo  com  novas   ameaças...  
Ataques  a  Redes  IPv6  
Alvos  nas  7  camadas  
Ataques  na  camada  2   •  Falsificação  da  tabela  de   vizinhança   •  Manipulação  do   mecanismo  de   descoberta  de   endereços  duplicados   •  Anúncios  RA  falsos   •  DHCPv6  Starva9on  
Vulnerabilidades  da  Autoconfiguração  
Falsificação  de  Anúncios  RA  
Explorando  os  cabeçalhos  de  Extensão  
Ataques  de  camada  3   •  Captura  de  pacotes  em  texto  claro  –   Eavesdropping   •  IPv6  Spoofing  –  Man-­‐in-­‐the-­‐Middle  
Pacotes  IPv6  a  Mostra  
Descoberta  Segura  de  Vizinhança   •  Secure  Neighbor  Discovery  –  SEND  –  consiste  em  um   protocolo  que  permite  a  auten9cação  dos  vizinhos   IPv6  através  do  uso  de  chaves  públicas  que  são   usadas  para  compor  a  iden9ficação  do  host  usando   endereços  gerados  criptograficamente.  
Descoberta  Segura  de  Vizinhança   •  Na  verdade,  um  par  de  chaves  RSA  é  gerado   (uma  pública  e  outra  privada).  A  chave  pública   é  usada  para  compor  o  ID  de  host,  que  é   alterado  a  cada  mensagem  enviada.  A  chave   privada  é  usada  para  assinar  a  mensagem  e   garan9r  a  auten9cidade  da  mesma  
RA  Guard  e  ND  Inspec9on   •  O  RA  Guard  e  o  ND  Inspec9on  são  a  versão  IPv6  do   serviço  conhecido  como  DHCP  Snooping,  o  qual  tem   por  obje9vo  barrar  ataques  baseados  no  troca  de   mensagens  ARP  e  DHCP.     Router>  enable   Router#  configure  terminal   Router(config)#  ipv6  neighbor  tracking   Router(config)#  ipv6  nd  inspec9on  policy   policy1   Router(config-­‐nd-­‐inspec9on)#  drop-­‐unsecure   Router(config-­‐nd-­‐inspec9on)#  device-­‐role   router   Router(config-­‐nd-­‐inspec9on)#  trusted-­‐port   Router(config)#  interface  fastethernet  0/0     Router(config-­‐if)#  ipv6  nd  inspec9on  ajach-­‐ policy  policy  policy1  
RA  Guard  e  ND  Inspec9on   •  Com  estes  serviços  a9vos,  a  tabela  de   vizinhança  criada  no  Switch  é  usada  como   base  para  validar  mensagens  RS/RA  e  NS/NA   suspeitas.  
Firewall  e  Túneis  Automá9cos   •  O  que  mais  assusta  em  termos  de  implementação  é  a   volta  do  modelo  fim-­‐a-­‐fim  e  a  perda  da  obscuridade   proporcionada  pelo  NAT,  que  dá  uma  falsa  sensação   de  segurança,  já  que  o  IP  das  máquinas  não  é   divulgado  na  Internet.     •  Túneis  Automá9cos  tendem  a  tornar  as  conexões   mais  lentas  pois  usam  proxies  distantes  –  desabilitá-­‐ los  é  a  melhor  prá9ca  !   R1(config)#  ipv6  access-­‐list  ENTRADA   R1(config-­‐ipv6-­‐acl)#  permit  tcp   2001:DB8:1::/48  any  established   R1(config-­‐ipv6-­‐acl)#  deny  tcp  any  any   R1(config-­‐ipv6-­‐acl)#  exit   R1(config)#interface  s1/0   R1(config-­‐if)#  ipv6  traffic-­‐filter  ENTRADA  in  
Criando  pacotes  IPv6  para  teste  
IPv6  Tool  Kit  
NDPMon  –  Monitorando  a   vizinhança  IPv6  
THC  IPv6  –  The  Hackers  Choice  !  
IPv6  Hackit  !  
Recomendações  Finais...   •  Usar  extensões  de  privacidade  apenas  em   comunicações  externas   •  Cuidado  com  endereços  mul9cast   •  Filtre  serviços  desnecessários  no  Firewall   •  Cuidado  com  as  mensagens  ICMPv6   •  Cuidado  com  cabeçalhos  de  extensão  e   fragmentação  de  pacotes   •  Use  IPSEC  sempre  que  necessário  
Maiores  detalhes  em...   IPv6  na  Prá9ca  !   5.  Segurança  em  Redes  IPv6       IPv6  é  mais  seguro  ?   Novas  Superficies  de  Ataque   Tipos  de  ataque  em  Redes  IPv6   Protegendo  a  Rede  IPv6   Descoberta  Segura  de  Vizinhança   Recomendações  para  aumentar  a   Segurança  em  Redes  IPv6   A9vidade  Prá9ca  –  Configuração  de   IPSEC   Resumo  da  a9vidade    
Dúvidas  ???  
Obrigado  !!!   www.portaldoipv6.com.br   contato@portaldoipv6.com.br  

Recomendados

Ipv6
Ipv6Ipv6
Ipv6Gionni Lúcio
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2Designer Info
 
Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidorTiago
 
Segurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiSegurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiVíctor Leonel Orozco López
 
Visão Geral - pfSense
Visão Geral - pfSenseVisão Geral - pfSense
Visão Geral - pfSenseAlexandre Silva
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Segurança com Software Livre
Segurança com Software LivreSegurança com Software Livre
Segurança com Software LivreLinux User Goup Alagoas
 
Segurança de redes wi fi - WPA
Segurança de redes wi fi - WPASegurança de redes wi fi - WPA
Segurança de redes wi fi - WPADeroci Nonato Júnior
 

Recomendados

Ipv6
Ipv6Ipv6
Ipv6Gionni Lúcio
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2Designer Info
 
Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidorTiago
 
Segurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiSegurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiVíctor Leonel Orozco López
 
Visão Geral - pfSense
Visão Geral - pfSenseVisão Geral - pfSense
Visão Geral - pfSenseAlexandre Silva
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Segurança com Software Livre
Segurança com Software LivreSegurança com Software Livre
Segurança com Software LivreLinux User Goup Alagoas
 
Segurança de redes wi fi - WPA
Segurança de redes wi fi - WPASegurança de redes wi fi - WPA
Segurança de redes wi fi - WPADeroci Nonato Júnior
 
Segurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiSegurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiMax Maia
 
Aula 05
Aula 05Aula 05
Aula 05Jorge Ávila Miranda
 
Single Packet Authorization
Single Packet AuthorizationSingle Packet Authorization
Single Packet AuthorizationLeandro Almeida
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
06 - Redes sem Fios - seguranca
06 - Redes sem Fios - seguranca06 - Redes sem Fios - seguranca
06 - Redes sem Fios - segurancaAndre Peres
 
Arp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesArp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesAndre Peres
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioClavis Segurança da Informação
 
Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioguest6d639fc
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Aécio Pires
 
10 - segurança -snmp
10 - segurança -snmp10 - segurança -snmp
10 - segurança -snmpAndre Peres
 
Unidade5 roteiro footprint
Unidade5 roteiro footprintUnidade5 roteiro footprint
Unidade5 roteiro footprintLeandro Almeida
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com NmapDaniel Marques
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataquesCarlos Veiga
 
Captura de Informação em Rede
Captura de Informação em RedeCaptura de Informação em Rede
Captura de Informação em RedeUlisses Costa
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fioWellisson Araújo
 
Unidade 2.2.1 nmap
Unidade 2.2.1 nmapUnidade 2.2.1 nmap
Unidade 2.2.1 nmapJuan Carlos Lamarão
 
Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6Abivio Pimenta
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAndre Peres
 
Hackear wi fi
Hackear wi fiHackear wi fi
Hackear wi fiSostenes Gomes
 
Ipsec
IpsecIpsec
IpsecGabriel Alfredo Martinez Ochoa
 
Monografia i pv6
Monografia i pv6Monografia i pv6
Monografia i pv6Vinícius Pletsch
 

Mais conteúdo relacionado

Mais procurados

Segurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiSegurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiMax Maia
 
Single Packet Authorization
Single Packet AuthorizationSingle Packet Authorization
Single Packet AuthorizationLeandro Almeida
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
06 - Redes sem Fios - seguranca
06 - Redes sem Fios - seguranca06 - Redes sem Fios - seguranca
06 - Redes sem Fios - segurancaAndre Peres
 
Arp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesArp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesAndre Peres
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioguest6d639fc
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Aécio Pires
 
10 - segurança -snmp
10 - segurança -snmp10 - segurança -snmp
10 - segurança -snmpAndre Peres
 
Unidade5 roteiro footprint
Unidade5 roteiro footprintUnidade5 roteiro footprint
Unidade5 roteiro footprintLeandro Almeida
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com NmapDaniel Marques
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataquesCarlos Veiga
 
Captura de Informação em Rede
Captura de Informação em RedeCaptura de Informação em Rede
Captura de Informação em RedeUlisses Costa
 
Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6Abivio Pimenta
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAndre Peres
 

Mais procurados (20)

Segurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av iiSegurança nas redes wirelles rd ii av ii
Segurança nas redes wirelles rd ii av ii
 
Aula 05
Aula 05Aula 05
Aula 05
 
Single Packet Authorization
Single Packet AuthorizationSingle Packet Authorization
Single Packet Authorization
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
06 - Redes sem Fios - seguranca
06 - Redes sem Fios - seguranca06 - Redes sem Fios - seguranca
06 - Redes sem Fios - seguranca
 
Arp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de AtaquesArp e DNS Spoof - Prática de Ataques
Arp e DNS Spoof - Prática de Ataques
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fio
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
 
10 - segurança -snmp
10 - segurança -snmp10 - segurança -snmp
10 - segurança -snmp
 
Unidade5 roteiro footprint
Unidade5 roteiro footprintUnidade5 roteiro footprint
Unidade5 roteiro footprint
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com Nmap
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataques
 
Captura de Informação em Rede
Captura de Informação em RedeCaptura de Informação em Rede
Captura de Informação em Rede
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fio
 
Unidade 2.2.1 nmap
Unidade 2.2.1 nmapUnidade 2.2.1 nmap
Unidade 2.2.1 nmap
 
Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6
 
Ataque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de AtaquesAtaque Redes Wireless - Prática de Ataques
Ataque Redes Wireless - Prática de Ataques
 
Hackear wi fi
Hackear wi fiHackear wi fi
Hackear wi fi
 

Destaque

Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6Rafael Pimenta
 
Seguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOSSeguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOSWardner Maia
 
Endereçamento ip
Endereçamento ipEndereçamento ip
Endereçamento ipGonçalo
 
I Pv4 Vs I Pv6 Final 2
I Pv4 Vs I Pv6 Final 2I Pv4 Vs I Pv6 Final 2
I Pv4 Vs I Pv6 Final 2ptic433
 
Aula 14 painel de controle
Aula 14 painel de controleAula 14 painel de controle
Aula 14 painel de controleBoris Junior
 

Destaque (10)

Ipsec
IpsecIpsec
Ipsec
 
Monografia i pv6
Monografia i pv6Monografia i pv6
Monografia i pv6
 
Ipv6
Ipv6Ipv6
Ipv6
 
Protocolo IPsec
Protocolo IPsecProtocolo IPsec
Protocolo IPsec
 
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
 
Seguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOSSeguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOS
 
Endereçamento ip
Endereçamento ipEndereçamento ip
Endereçamento ip
 
I Pv4 Vs I Pv6 Final 2
I Pv4 Vs I Pv6 Final 2I Pv4 Vs I Pv6 Final 2
I Pv4 Vs I Pv6 Final 2
 
Grupo Binário - IPV6
Grupo Binário - IPV6Grupo Binário - IPV6
Grupo Binário - IPV6
 
Aula 14 painel de controle
Aula 14 painel de controleAula 14 painel de controle
Aula 14 painel de controle
 

Semelhante a 03 seguranca redesi-pv6

Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Kleber Silva
 
Vulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiVulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiDavid de Assis
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?! Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?! blusolsl
 
FreeBsd com Alta Disponibilidade
FreeBsd com Alta DisponibilidadeFreeBsd com Alta Disponibilidade
FreeBsd com Alta DisponibilidadeBoteco 4Linux
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Paletra ipv6 Estácio de Sá 11/05/10
Paletra ipv6 Estácio de Sá 11/05/10Paletra ipv6 Estácio de Sá 11/05/10
Paletra ipv6 Estácio de Sá 11/05/10lborguetti
 
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Aline Cruz
 
Como recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackComo recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackNatanael Simões
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandomarcusburghardt
 

Semelhante a 03 seguranca redesi-pv6 (20)

Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Entenda e Aplique o IPv6
Entenda e Aplique o IPv6
 
Vulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiVulnerabilidades em Redes Wifi
Vulnerabilidades em Redes Wifi
 
Sniffers Parte 3
Sniffers Parte 3Sniffers Parte 3
Sniffers Parte 3
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvem
 
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?! Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
Palestra 2º Café com Software Livre - Alan C. Besen - Ipv6: A nova internet?!
 
FreeBsd com Alta Disponibilidade
FreeBsd com Alta DisponibilidadeFreeBsd com Alta Disponibilidade
FreeBsd com Alta Disponibilidade
 
Syslog e SNMP
Syslog e SNMPSyslog e SNMP
Syslog e SNMP
 
VPN - O que é a VPN?
VPN - O que é a VPN?VPN - O que é a VPN?
VPN - O que é a VPN?
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Paletra ipv6 Estácio de Sá 11/05/10
Paletra ipv6 Estácio de Sá 11/05/10Paletra ipv6 Estácio de Sá 11/05/10
Paletra ipv6 Estácio de Sá 11/05/10
 
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
Análise de Segurança dos Sistemas Criptográficos Utilizados em Redes IEEE 802.11
 
IPv6
IPv6IPv6
IPv6
 
Como recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com BacktrackComo recuperar senhas WEP de redes wireless com Backtrack
Como recuperar senhas WEP de redes wireless com Backtrack
 
Backtrack 4 nessus
Backtrack 4 nessusBacktrack 4 nessus
Backtrack 4 nessus
 
Webcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livreWebcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livre
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueando
 
Redes de computador
Redes de computadorRedes de computador
Redes de computador
 

03 seguranca redesi-pv6

  • 1. Segurança  em     Redes  IPv6   Adilson  Aparecido  Floren9no   Portal  do  IPv6  
  • 2. Mitos  com  relação  a  Segurança  de   Redes  IPv6   •  IPv6  é  mais  Seguro  que   IPv4  ?   •  IPSEC  resolve  todos  os   problemas  ?   •  Se  não  tenho  IPv6  na   rede,  posso  ignorá-­‐lo  ?   •  Comunicação  fim-­‐a-­‐fim   IPv6  é  segura  ?  
  • 3. IPv6  é  mais  seguro  que  IPv4  ???   •  Protocolos  criados  em  épocas  diferentes   •  Protocolo  IPv4  tem  quase  30  anos  de  uso  em  larga   escala  e  IPv6  não   •  Todas  as  Best  Prac9ces  de  Segurança  são  baseadas  em   IPv4  
  • 8. Quais  são  os  problemas  ???  
  • 9. IPsec  resolve  todos  os  problemas  ?   •  Garante  auten9cação  e  criptografia  em  camada  3   •  Não  resolve  problemas  relacionados  a  descoberta   segura  de  vizinhança  e  ataques  a  camada  de   aplicação  
  • 10. Se  não  tenho  IPv6  na  rede,  posso   ignorá-­‐lo  ???   •  Muitos  disposi9vos  vem  com  IPv6  habilitado   •  Firewalls  e  outras  proteções  v4  only  são   inúteis  !  
  • 11. Sistemas  com  IPv6  habilitado  
  • 12. Comunicação  fim-­‐a-­‐fim  é  segura  ???   •  Firewalls,  NIPS  e  outros  elementos  podem  atuar  com   intermediários   •  Técnicas  de  transição  podem  se  valer  de  algum  9po   de  tradução  que  causa  obscuridade  
  • 13. Um  novo  mundo  com  novas   ameaças...  
  • 14. Ataques  a  Redes  IPv6  
  • 15. Alvos  nas  7  camadas  
  • 16. Ataques  na  camada  2   •  Falsificação  da  tabela  de   vizinhança   •  Manipulação  do   mecanismo  de   descoberta  de   endereços  duplicados   •  Anúncios  RA  falsos   •  DHCPv6  Starva9on  
  • 19. Explorando  os  cabeçalhos  de  Extensão  
  • 20. Ataques  de  camada  3   •  Captura  de  pacotes  em  texto  claro  –   Eavesdropping   •  IPv6  Spoofing  –  Man-­‐in-­‐the-­‐Middle  
  • 21. Pacotes  IPv6  a  Mostra  
  • 22. Descoberta  Segura  de  Vizinhança   •  Secure  Neighbor  Discovery  –  SEND  –  consiste  em  um   protocolo  que  permite  a  auten9cação  dos  vizinhos   IPv6  através  do  uso  de  chaves  públicas  que  são   usadas  para  compor  a  iden9ficação  do  host  usando   endereços  gerados  criptograficamente.  
  • 23. Descoberta  Segura  de  Vizinhança   •  Na  verdade,  um  par  de  chaves  RSA  é  gerado   (uma  pública  e  outra  privada).  A  chave  pública   é  usada  para  compor  o  ID  de  host,  que  é   alterado  a  cada  mensagem  enviada.  A  chave   privada  é  usada  para  assinar  a  mensagem  e   garan9r  a  auten9cidade  da  mesma  
  • 24. RA  Guard  e  ND  Inspec9on   •  O  RA  Guard  e  o  ND  Inspec9on  são  a  versão  IPv6  do   serviço  conhecido  como  DHCP  Snooping,  o  qual  tem   por  obje9vo  barrar  ataques  baseados  no  troca  de   mensagens  ARP  e  DHCP.     Router>  enable   Router#  configure  terminal   Router(config)#  ipv6  neighbor  tracking   Router(config)#  ipv6  nd  inspec9on  policy   policy1   Router(config-­‐nd-­‐inspec9on)#  drop-­‐unsecure   Router(config-­‐nd-­‐inspec9on)#  device-­‐role   router   Router(config-­‐nd-­‐inspec9on)#  trusted-­‐port   Router(config)#  interface  fastethernet  0/0     Router(config-­‐if)#  ipv6  nd  inspec9on  ajach-­‐ policy  policy  policy1  
  • 25. RA  Guard  e  ND  Inspec9on   •  Com  estes  serviços  a9vos,  a  tabela  de   vizinhança  criada  no  Switch  é  usada  como   base  para  validar  mensagens  RS/RA  e  NS/NA   suspeitas.  
  • 26. Firewall  e  Túneis  Automá9cos   •  O  que  mais  assusta  em  termos  de  implementação  é  a   volta  do  modelo  fim-­‐a-­‐fim  e  a  perda  da  obscuridade   proporcionada  pelo  NAT,  que  dá  uma  falsa  sensação   de  segurança,  já  que  o  IP  das  máquinas  não  é   divulgado  na  Internet.     •  Túneis  Automá9cos  tendem  a  tornar  as  conexões   mais  lentas  pois  usam  proxies  distantes  –  desabilitá-­‐ los  é  a  melhor  prá9ca  !   R1(config)#  ipv6  access-­‐list  ENTRADA   R1(config-­‐ipv6-­‐acl)#  permit  tcp   2001:DB8:1::/48  any  established   R1(config-­‐ipv6-­‐acl)#  deny  tcp  any  any   R1(config-­‐ipv6-­‐acl)#  exit   R1(config)#interface  s1/0   R1(config-­‐if)#  ipv6  traffic-­‐filter  ENTRADA  in  
  • 27. Criando  pacotes  IPv6  para  teste  
  • 29. NDPMon  –  Monitorando  a   vizinhança  IPv6  
  • 30. THC  IPv6  –  The  Hackers  Choice  !  
  • 32. Recomendações  Finais...   •  Usar  extensões  de  privacidade  apenas  em   comunicações  externas   •  Cuidado  com  endereços  mul9cast   •  Filtre  serviços  desnecessários  no  Firewall   •  Cuidado  com  as  mensagens  ICMPv6   •  Cuidado  com  cabeçalhos  de  extensão  e   fragmentação  de  pacotes   •  Use  IPSEC  sempre  que  necessário  
  • 33. Maiores  detalhes  em...   IPv6  na  Prá9ca  !   5.  Segurança  em  Redes  IPv6       IPv6  é  mais  seguro  ?   Novas  Superficies  de  Ataque   Tipos  de  ataque  em  Redes  IPv6   Protegendo  a  Rede  IPv6   Descoberta  Segura  de  Vizinhança   Recomendações  para  aumentar  a   Segurança  em  Redes  IPv6   A9vidade  Prá9ca  –  Configuração  de   IPSEC   Resumo  da  a9vidade    
  • 35. Obrigado  !!!   www.portaldoipv6.com.br   contato@portaldoipv6.com.br