Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Spoofing na lokálnej sieti za použitia protokolu IPv6 2. časť

Kontrolovať sieťovú prevádzku smerujúcu z lokálnej siete do vonkajšieho prostredia je cieľom mnohých útočníkov. Rovnako ako protokol IPv4 aj protokol IPv6 trpí na lokálnych sieťach závažnými bezpečnostnými úskaliami, ktoré si mnohí prevádzkovatelia neuvedomujú, alebo im nevenujú dostatočnú pozornosť. Tento článok poukáže na princípy útoku podvrhnutia legitímneho smerovača (Fake Router Advertisement) a popíše riziká, ktoré prináša.

Upozornenie: Všetky publikované informácie a postupy slúžia výhradne na študijné účely, prevádzané len na sieťach, ktoré patria pod vaše vlastníctvo, ak týmto konaním priamo, či nepriamo nezasiahnete ich používateľov. Vykonávanie týchto postupov na sieťach s reálnou prevádzkou môže byť ilegálne a v každom prípade ide o amorálne počínanie. Autor článku nenesie žiadnu zodpovednosť za škody, ktoré môžu vzniknúť v dôsledku realizácie týchto postupov.

Článok nadväzuje na sériu textov venujúcu sa bezpečnostným rizikám protokolu IPv6 v rámci LAN. U čitateľa sa predpokladajú znalosti o automatickej bezstavovej konfigurácií, o stavovej konfigurácií realizovanej pomocou DHCPv6 servera, o protokole Neighbor Discovery Protocol (NDP), IPv6 multicaste, o procese získania linkovej adresy na základe IPv6 adresy, o komunikácií medzi susedmi na IPv6 LAN a taktiež o vzájomnej komunikácií medzi lokálnymi stanicami a ich komunikácií so smerovačom. Niektoré informácie možno získať z predošlého článku tejto série.

V predošlom článku venujúcom sa problematike bezpečnosti protokolu IPv6 v rámci lokálnej siete bol detailne popísaný útok Fake neighbor advertisement – teda podvrhnutie suseda. Problematika podvrhnutia smerovača (Fake Router Advertisement) na LAN bola naznačená len koncepčne. Tento článok rozoberie riziká vyplývajúce z tohto útoku do väčšej hĺbky.

Fake Router Advertisement predstavuje MITM útok. Tento útok využíva fakt, že oznámenie o smerovači Router Advertisement (RA) – ICMPv6 typ 134, je posielané periodicky na multicastovú adresu FF02::1, tak aby ju získali všetky aktívne stanice na danom segmente. Vďaka tomu sa pri troche šikovnosti môže za smerovač vydávať na IPv6 LAN ktokoľvek. Útočník odošle ICMPv6 správu RA s „hight“ najvyššou prioritou (resp. oznámením, že ide o „hlavný“ smerovač) a stanice na LAN si tak „poopravia“ svoje smerovacie tabuľky, predvolenou bránou sa zvyčajne stane adresa útočníka. Okrem toho obeť získa aj informácie o sieťovom prefixe, o trvácnosti (času platnosti), o príznaku znamenajúcom autokonfiguráciu, či o ďalších parametroch. V praxi vďaka vysokej priorite nemusí byť problém, ani ak na legitímnu žiadosť stanice – Router Solicitation (RS) – ICMPv6 typ 133, posielanú na multicastovú adresu FF02::02 určenú pre všetky smerovače, odpovie ako prvý skutočný smerovač. Ten totiž použije v drvivej väčšine prípadov prioritu „medium.“ Problém môžu v určitých prípadoch spôsobiť len samotné operačné systémy, ktoré implementujú protokol IPv6. K správam RA môžu pristupovať rôznymi spôsobmi a svoje smerovacie tabuľky upravovať rôznymi metódami. S podobnými prekážkami však musí útočník počítať a pri predpoklade vykonania efektívneho útoku musí jeho realizáciu najskôr otestovať. Tento krok mu umožní pripraviť a patrične naložiť s prípadnými ťažkosťami.

model
Obrázok 1 - Podvrhnutie legitímneho smerovača.

Pre vykonanie tohto útoku bol použitý nástroj fake_router6, ktorý je súčasťou sady nástrojov THC-IPv6. Smerovač s globálne platnou IPv6 adresou 2001:CDE:2:2:C801:14FF:FE84:1C reprezentuje kvázi internet. Útočníka zaujíma obsah komunikácie smerujúcej od obete práve na „internet.“ Bol tak vytvorený falošný smerovač (PC s Kali Linux). Najskôr tak prebehne simulácia útoku za použitia systému obete Windows 7 Pro x64 a následne za použitia systému obete Linux Debian 7.

model
Obrázok 2 - Topológia testovacej IPv6 LAN siete upravenej pre tento experiment.

Konfigurácia sieťových parametrov je po spustení systému Windows pred útokom:


Přípona DNS podle připojení . . . :
IPv6 adresa. . . . . . . . . . . :2001:abc:1:1:161:9dee:c1e3:751d
Místní IPv6 adresa v rámci propojení . . . :fe80::161:9dee:c1e3:751d%14
Adresa IP automatické konfigurace :169.254.117.29
Maska podsítě . . . . . . . . . . :255.255.0.0
Výchozí brána . . . . . . . . . . :fe80::c800:54ff:fe4c:8%14

Východzia brána je len jedna a je legitímna.

Tabuľka susedov:

Internetová adresa Fyzická adresa Typ
-------------------------------------------- ----------------- -----------
2001:abc:1:1:c800:54ff:fe4c:8 ca-00-54-4c-00-10 Dostupná (Směrovač)
fe80::c800:54ff:fe4c:8 ca-00-54-4c-00-10 Zastaralá (Směrovač)
ff02::2 33-33-00-00-00-02 Trvalá
ff02::16 33-33-00-00-00-16 Trvalá
ff02::1:3 33-33-00-01-00-03 Trvalá
ff02::1:ff4c:8 33-33-ff-4c-00-08 Trvalá
ff02::1:ffe3:751d 33-33-ff-e3-75-1d Trvalá

Ďalej je potrebné preveriť korektnosť trasy na „internet.“ Ako je možné vidieť smerovač slúžiaci ako imitácia internetu je dosiahnuteľný korektne už ako druhý sieťový prvok.


Výpis trasy k 2001:cde:2:2:c801:14ff:fe84:1c s nejvýše 30 směrováními


1 15 ms 11 ms 10 ms 2001:abc:1:1:c800:54ff:fe4c:8
2 32 ms 32 ms 32 ms 2001:cde:2:2:c801:14ff:fe84:1c
Trasování bylo dokončeno.

Útok

Pred samotným spustením nástroja fake_router6 z balíka THC-IPv6 je potrebné ešte povoliť forwarding IPv6 paketov, tak, aby ich útočník mohol poslať legitímnemu cieľu.
Manuálnym pridaním záznamu v systéme Kali-Linux je možné zabezpečiť, aby boli pakety z počítača obete vždy smerované správne - na legitímny smerovač: Pridané sú záznamy odkazujúce na link-local IPv6 adresu skutočného smerovača s najnižšou metrikou. Pre konkrétny spôsob pridania si naštudujte prácu so smerovacou tabuľkou v linuxových systémoch.

Smerovacia tabuľka útočníka vyzerá potom nasledovne:


2001:abc:1:1::/64 dev eth0 proto kernel metric 256 expires 2591771sec
fe80::/64 dev eth0 proto kernel metric 256
default via fe80::c800:54ff:fe4c:8 dev eth0 metric 1

Po týchto úpravách bol zahájený samotný útok:

Dôležité je uviesť IPv6 adresu a prefix totožný s IPv6 adresou legitímneho smerovača. Tieto údaje sú však útočníkovi na danej IPv6 LAN štandardne dostupné. Príkaz je možné ešte rozšíriť napr. pridaním IPv6 adresy pre DNS server. Komplexná syntax vyzerá nasledovne:
Syntax: fake_router6 [-HFD] interface network-address/prefix-length [dns-server [router-ip-link-local [mtu [mac-address]]]]
Tieto zmeny zaznamenali jednotlivé pred tým uvedené tabuľky.
Sieťové informácie:


Adaptér sítě Ethernet Připojení k místní síti 2:

Přípona DNS podle připojení . . . :
IPv6 adresa. . . . . . . . . . . : 2001:abc:1:1:161:9dee:c1e3:751d
Místní IPv6 adresa v rámci propojení . . . : fe80::161:9dee:c1e3:751d%14
Adresa IP automatické konfigurace : 169.254.117.29
Maska podsítě . . . . . . . . . . : 255.255.0.0
Výchozí brána . . . . . . . . . . : fe80::c800:54ff:fe4c:8%14
fe80::a00:27ff:fea4:967e%14

Medzi východzie brány pribudla IPv6 adresa útočníka. Útočník získa východziu cestu s najnižšou metrikou. Toto uprednostnenie sa deje vďaka „hight“ príznaku Default Router Preference v pakete RA od falošného smerovača.

model
Obrázok 3 - Falošný smerovač zasiela ICMPv6 RA pakety s príznakom "hight."

Zatiaľ čo legitímny smerovač zasiela pakety RA s príznakom Default Router Preferencenastavenom na „medium.“

model
Obrázok 4 - Legitímny smerovač zasiela ICMPv6 RA pakety s príznakom "medium."

Tabuľka susedov:

Internetová adresa Fyzická adresa Typ
-------------------------------------------- ----------------- -----------
2001:abc:1:1:a00:27ff:fea4:967e 08-00-27-a4-96-7e Zastaralá (Směrovač)
2001:abc:1:1:c800:54ff:fe4c:8 ca-00-54-4c-00-10 Zastaralá (Směrovač)
fe80::a00:27ff:fea4:967e 08-00-27-a4-96-7e Dostupná (Směrovač)
fe80::c800:54ff:fe4c:8 ca-00-54-4c-00-10 Dostupná (Směrovač)
ff02::2 33-33-00-00-00-02 Trvalá
ff02::9 33-33-00-00-00-09 Trvalá
ff02::16 33-33-00-00-00-16 Trvalá
ff02::1:3 33-33-00-01-00-03 Trvalá
ff02::1:ff4c:8 33-33-ff-4c-00-08 Trvalá
ff02::1:ffa4:967e 33-33-ff-a4-96-7e Trvalá
ff02::1:ffe3:751d 33-33-ff-e3-75-1d Trvalá

Na overenie, že komunikácia medzi klientom (obeťou) a internetom prechádza cez útočníka slúži nasledujúci výpis príkazu tracert. Ten je vykonávaný na adresu smerovača reprezentujúceho v simulovanej sieti internet - 2001:CDE:2:2:C801:14FF:FE84:1C.


Výpis trasy k 2001:cde:2:2:c801:14ff:fe84:1c s nejvýše 30 směrováními

1 1 ms 2 20 ms 11 ms 9 ms 2001:abc:1:1:c800:54ff:fe4c:8
3 43 ms 31 ms 31 ms 2001:cde:2:2:c801:14ff:fe84:1c

Trasování bylo dokončeno.

Ako možno vyčítať celá komunikácia prechádza cez prostredníka, ktorým je útočník a ten môže zachytenú prevádzku analyzovať, či modifikovať a následne zaslať skutočnému cieľu.

V podstate analogicky útok prebieha aj ak je obeťou počítač so systémom Linux Debian. Pri ďalších experimentoch však bolo identifikovaných niekoľko nevýhod tohto útoku. Scenár uvedený vyššie bol funkčný iba v prípade, že útočník zahájil zasielanie podvrhnutých paketov RA ešte pred zapnutím systému obete. Ak sa tak udialo až po tom, čo už obeť mala v smerovacej tabuľke záznam korektného smerovača, útok nebol úspešný.

Ako možno vidieť smerovacia tabuľka na počítači obete sa neupravila v prospech útočníka:


1::/64 dev eth0 proto kernel metric 256 expires 8590471sec
2001:abc:1:1::/64 dev eth0 proto kernel metric 256 expires 2592183sec
fe80::/64 dev eth0 proto kernel metric 256
default via fe80::c800:54ff:fe4c:8 dev eth0 proto static metric 1
default via fe80::c800:54ff:fe4c:8 dev eth0 proto kernel metric 1024 expires 1659sec
default via fe80::a00:27ff:fea4:967e dev eth0 proto kernel metric 1024

Preferované bolo smerovanie cez legitímny smerovač aj napriek prijímaniu paketov RA s príznakom „hight.“ Komunikácia tak smerovala na kvázi internet legitímnou cestou, nad ktorou nemal útočník kontrolu:


traceroute to 2001:CDE:2:2:C801:14FF:FE84:1C (2001:cde:2:2:c801:14ff:fe84:1c), 30 hops max, 80 byte packets
1 2001:abc:1:1:c800:54ff:fe4c:8 (2001:abc:1:1:c800:54ff:fe4c:8) 15.043 ms 24.775 ms 43.942 ms
2 2001:cde:2:2:c801:14ff:fe84:1c (2001:cde:2:2:c801:14ff:fe84:1c) 54.652 ms 65.201 ms 76.582 ms

Pravdepodobne sa jedná o implementačnú záležitosť protokolu IPv6 v rámci Linux Debian 7.

Záver

Na záver si iste každý čitateľ položí otázku o možnostiach efektívnej ochrany. V prvom rade je potrebné uvedomiť si, že problém vzniká v samotnom koncepte protokolu IPv6 resp. ICMPv6. Chrániť sa dá niekoľkými spôsobmi. Vždy záleží od možností (hlavne finančných) daného subjektu. Možnosť použitia technológie ako SEND sa javí nateraz ako utopická, oveľa bližšie ku korektnému nasadeniu sa nachádza technológia RA-Guard. Tá vychádza z RFC 6105 – IPv6 Router Advertisement Guard. Ide o všeobecný popis obranných prostriedkov a metód, ktoré najčastejšie používajú jednotlivý výrobcovia sieťových prvkov.

Podmienkou RA-Guard je existencia centrálneho aktívneho prvku v sieti – najčastejšie manažovateľného prepínača (ako už bolo spomenuté), kde je na základe rôznych bezpečnostných metód vyhodnocovaný potenciálny IPv6 link-local útok. RA-Guard môže pracovať: v bezstavovom a v stavovom móde. Výhodou prepínača s bezpečnostnými prvkami je najmä možnosť centrálne zabrániť útoku v rámci celej lokálnej siete. Ide však o ekonomicky pomerne nákladné riešenie určené predovšetkým stredným a veľkým spoločnostiam. Napríklad spoločnosť Cisco implementuje opatrenia RA-Guard pri určitých modeloch, konkrétne tu spomínanému útoku zabraňuje pomocou technológie IPv6 RA Guard. Týmto bezpečnostným opatreniam však venujem osobitý článok.

Okrem sofistikovaných riešení je možné chrániť sa aj menej rafinovane. Ak zanedbáme neefektívne použitie statickej konfigurácie, ako príklad môže poslúžiť program určený pre Linux - Router Advert MONitoring Daemon – Ramond. Jeho primárnou úlohou je sledovať výskyt ohlásení smerovačov – Router Advertisement (RA). Na tieto výskyty reaguje podľa svojej konfigurácie. S detekciou anomálií vzťahujúcich sa k IPv6 link-local útokom by si mal poradiť i každý personálny firewall pre Microsoft Windows, ktorý podporuje protokol IPv6. Správca siete môže tiež v neposlednej rade pasívne monitorovať celú LAN a hľadať anomálie, na čo môže poslúžiť honeypot, o tom tiež nabudúce.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info