Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Útok Router Advertisement flood - ako možno šikanovať užívateľov na IPv6 LAN

Útok Router Advertisement (RA) flood - záplava cieľovej stanice prostredníctvom ICMPv6 paketov Router Advertisement zneužíva spôsob, akým niektoré operačné systémy akceptujú všetky ICMPv6 Router Advertisement (RA) – ICMPv6 pakety (typ 134). Útočník tak môže IPv6 sieť zaplaviť stovkami falošných RA paketov za sekundu. Na tento útok však nie sú náchylné všetky operačné systémy. S takouto záplavou RA paketov sa dokáže vyrovnať počítač používajúci operačný systém Linux. Naopak značný problém majú systémy Microsoft Windows. Článok voľne nadväzuje na predchádzajúce časti seriálu o IPv6, kde boli rozobraté útoky Fake neighbor advertisement a Fake Router Advertisement .

Upozornenie: Všetky publikované informácie a postupy slúžia výhradne na študijné účely, prevádzané len na sieťach, ktoré patria pod vaše vlastníctvo, ak týmto konaním priamo, či nepriamo nezasiahnete ich používateľov. Vykonávanie týchto postupov na sieťach s reálnou prevádzkou môže byť ilegálne a v každom prípade ide o amorálne počínanie. Autor článku nenesie žiadnu zodpovednosť za škody, ktoré môžu vzniknúť v dôsledku realizácie týchto postupov.

Jedná sa o zneužitie funkcie, ktorá bola nasadená pre moderné operačné systémy počínajúc Microsoft Windows Seven, z dôvodu pridelenia viacerých IPv6 adries. Tie následne môžu slúžiť ako tzv. dočasné IPv6 adresy apod. Jedna stanica môže mať tak pridelené aj desiatky rôznych IPv6 adries. Pridávanie tisícok IPv6 adries vo veľmi krátkom časovom úseku však zvyčajne spôsobuje maximálne vyťaženie procesora a operačnej pamäte. Počítač sa tak pravdepodobne prestane reagovať na užívateľa „zamrzne“ a nebude zostávať nič iné ako nutnosť reštartu. Keďže tisícky falošných RA paketov sú posielané na multicastovú adresu FF02::1, ktorá je pri prirovnaní s protokolom IPv4 vlastne kvázi broadcast, tieto ICMPv6 pakety zasiahnu všetky stanice na IPv6 lokálnej sieti. Dá sa tak konštatovať, že ide o akýsi pseudo DDoS útok, ktorý znemožní prácu používateľom siete.

model
Obrázok 1 - Záplava falošnými RA správami.

Pre vykonanie útoku bol použitý nástroj flood_router6 zo sady THC-IPv6. Ako obeť útoku bol najskôr zvolený systém Microsoft Windows Seven. Počítač bol štandardne pripojený na testovaciu IPv6 LAN, mal pridelenú IPv6 link-local i globálnu adresu za pomoci bez-stavovej konfigurácie. Následne bol zahájený útok pomocou nástroja flood_router6 zo systému útočníka.

model
Obrázok 2 - Generovanie stoviek podvrhnutých RA správ.

model
Obrázok 3 - Správy RA prichádzajú z náhodne generovaných adries.

Generované tak boli stovky falošných správ RA. Tieto ICMPv6 pakety smerovali na multicastovú adresu pre všetky stanice na LAN. V praxi tak pri absencii bezpečnostných opatrení na strane prepínača zasiahnu všetky systémy, ktoré sa musia s týmto problémom vyrovnať vo vlastnej réžií. Počítač obete s operačným systémom Microsoft Windows Seven sa stal ihneď po zahájení útoku nepoužiteľným. Tento počítač akceptoval všetky prideľované IPv6 adresy, čo ochromilo procesor a operačnú pamäť.

model
Obrázok 4 - Markantné vyťaženie systémových prostriedkov ihneď po zahájení útoku.

Zobrazenie pridelených IPv6 adries príkazom ipconfig sa stalo takmer nemožným. Pamäť konzoly dokázala zobraziť iba stovku záznamov, pridelených falošných IPv6 adries bol však oveľa viac. Počítač sa stal po chvíli úplne nepoužiteľným. Ani po ukončení útoku (zastavenie generovania falošných RA paketov zo strany útočníka) sa nedalo s počítačom obete korektne pracovať ďalej. Neostávalo tak nič iné okrem vykonania reštartu. Aj ten musel byť však vykonaný násilne – manuálnym vypnutím.

model
Obrázok 5 - Masové prideľovanie fiktívnych IPv6 adries počas útoku.

Tento útok možno tiež klasifikovať ako typ DoS útoku. Pre bežné IPv6 LAN siete sa javí ako veľmi nebezpečný. Vykonať ho môže v podstate ktorýkoľvek užívateľ siete a postihnutými sa stanú všetky stanice s operačným systémom Windows v rámci celej LAN. Proti útoku sa navyše veľmi ťažko bráni. Na úrovni operačného systému pre bežného užívateľa nie je obrana realizovateľná bez zásahu do konfigurácie operačného systému, či Windows Firewallu. Nepomôže ani vypnutie prideľovania dočasných IPv6 adries. Zamedziť tomuto útoku je možné iba aktiváciou bezpečnostných funkcií na prepínači, ktorý podporuje protokol IPv6. Riešiť ho budú v budúcnosti pravdepodobne i personálne firewally. Avšak ak na IPv6 lokálnej sieti absentuje v súčasnosti bezpečnostný prvok schopný eliminovať tento útok na prepínači, tak i bežný užívateľ môže veľmi ľahko a efektívne celú sieť ochromiť a šikanovať tak ostatných užívateľov.

Následne bol v pozícií obete počítač so systémom Linux Debian 7. Útok na výkon počítača s týmto systémom nemal zásadný vplyv:

model
Obrázok 6 - Vplyv útoku na výkon počítača so systémom Linux Debian 7.

Nedošlo k žiadnemu markantnému vplyvu na čerpanie systémových zdrojov, práca so systémom nebola citeľne ovplyvnená. Po zobrazení sieťových informácií je možno vidieť, že systém akceptoval len pridelenie niekoľkých IPv6 adries. Na rozdiel od systému Windows tak dochádza v prípade implementácie IPv6 protokolu k rozdielnemu a oveľa bezpečnejšiemu spôsobu ako sa vyrovnať s akceptáciou stoviek RA paketov.

model
Obrázok 7 - Systém Linux Debian 7 odolal náporu falošných RA paketov.

Záver

Útok sa teda viditeľne stáva veľmi ľahko aplikovateľným na akúkoľvek IPv6 LAN sieť, kde administrátor nezabezpečí inteligentnejší bezpečnostný prvok - najčastejšie ochrana na prepínači, ktorý sa dokáže s daným útokom vysporiadať automaticky. Takúto ochranu ponúkajú napr. prepínače spoločnosti Cisco disponujúce funkciou RA Guard. Podrobnosti o možnostiach zabezpečenia na rôznych úrovniach budú rozobraté v samostatnom článku.

Užívateľ sa však našťastie môže chrániť i na lokálnej stanici. Primárne existujú dva spôsoby. Jeden však nie je určený ako "bezpečnostný" a druhý týkajúci sa Windows Firewallu nie je pre laikov celkom triviálny. Prvý nie celkom správny spôsob predstavuje deaktiváciu funkcie Router Discovery pomocou príkazu, ktorý je aplikovaný prostredníctvom príkazového riadku:
netsh int ipv6 set int "Local Area Connection" routerdiscovery=disabled.
V toto prípade sa daná klientska stanica pripraví o pomerne pohodlnú možnosť tzv. bez-stavovej auto-konfigurácie - Stateless Autoconfiguration pre dané sieťové rozhranie. Avšak administrátor danej IPv6 LAN siete sa môže s týmto faktom vysporiadať a zvoliť iné spôsoby prideľovania potrebných sieťových údajov.

Druhá možnosť nevyžadujúca externý softvér, či inteligentný sieťový prvok spočíva v úprave konfigurácie Windows Firewall. V rozšírených nastaveniach Windows Firewallu - Pravidlá pre prichádzajúcu komunikáciu (Inbound rules) je potrebné vyhľadať pravidlo - Základná prevádzka siete - oznámenie smerovača (ICMPv6 prichádzajúce prenosy) (Core Networking - Router Advertisement (ICMPv6-In)) a vo vlastnostiach na záložke Scope zadefinovať IPv6 adresu (najčastejšie legitímneho smerovača), z ktorej budú RA pakety akceptované, rovnaké pakety z akýchkoľvek iných IPv6 adries budú ignorované.

Tieto nastavenie dokážu zmierniť riziko tohto inak pomerne zákerného útoku v rámci bežných IPv6 lokálnych sietí, kde napr. nemusí byť na kúpu sofistikovanejších ochranných prvkov dostatok finančných prostriedkov.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info