• Aucun résultat trouvé

Impacts et menacesImpacts et menaces

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Impacts et menacesImpacts et menaces"

Copied!
18
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

HERVÉ SCHAUER CONSULTANTS HERVÉ SCHAUER CONSULTANTS

Cabinet de Consultants en Sécurité Informatique depuis 1989 Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Spécialisé sur Unix, Windows, TCP/IP et Internet

IPv6 IPv6

Impacts et menaces Impacts et menaces

Nicolas Collignon Nicolas Collignon

<Nicolas.Collignon@hsc.fr<Nicolas.Collignon@hsc.fr>>

(2)

Plan Plan

IPv6 sur le lien Canaux cachés

Routage et contournement d'ACL Découverte de réseaux

Sécurité native du protocole et Systèmes de sécurité Impacts applicatifs

Réseaux 3G et la mobilité IP

(3)

Neighbor

Neighbor Discovery Discovery

Remplacement de ARP, niveau ICMPv6 Basé sur le Multicast

Auto-configuration des hôtes sur le lien. Tous les systèmes d'exploitation testés s'approprient:

Une ou plusieurs adresses Link-Local

Une ou plusieurs adresses globales si un routeur est sur le lien.

Attaques envisageables:

Usurpation d'adresses de couche 2 indépendamment du type de transmission.

Déni de service sur les procédures DAD et NUD

SEND: 1 seul implémentation disponible (DoCoMo USA Labs)

(4)

L'en-tête IPv6 L'en-tête IPv6

L'en-tête de base de taille fixe : 40 octets

Extensions IPv6 : Fragmentation, Routing ...

Possibilité de canaux cachés:

Champs non utilisés du protocole → peu de stockage, faible débit

Utilisation d'extensions « maison » → pas discret, problèmes de routage

Entête IPv6 Next: TCP

Entête TCP Data+

Entête IPv6 Next: Routing

Entête IPv6 Next: Routing

Entête TCP Data+ Entête TCP

Data+ Entête routing

Next: TCP Entête routing

Next: Fragment Entête Fragment Next: TCP

(5)

Le format TLV Le format TLV

Type – Length – Value

Flag « silencieux »

Contrôle du comportement des récepteurs Extensions IPv6 : Hop-by-Hop, Destination Canal caché via options TLV

discret

limité en taille par le MTU

Type Taille Données (taille variable)

8 bits 8 bits 16 bits

(6)

Les entêtes de routage Les entêtes de routage

Principe étendu du « source routing »

En IPv4, l'adresse finale était toujours l'adresse de destination et les routeurs intermédiaires passés dans des options

En IPv6 l'adresse de destination change au fur et à mesure du transit du paquet

Analyse des entêtes nécessaire pour filtrer en sortie

La plupart des hôtes accessibles sur IPv6 acceptent ces entêtes

(7)

Traces de

Traces de Routing Routing Headers Headers Type 0 Type 0

(8)

Internet Intranet

Contournement de périmètre Contournement de périmètre

Évasion de périmètre: global, site-local, link-local, node-local

Client / IPv6

Serveur / IPv6 Routeur / IPv6

2001:a:b:c::1 2001:d:e:f::3

fe80:a:b:c::1 fe80:a:b:c::2

(9)

ACL: IPv6 vers IPv6 ACL: IPv6 vers IPv6

Contournement d'ACL basées sur l'adresse de destination Possibilité d'établir des tunnels bidirectionnels

IPv6 IPv6

Client / IPv6

Serveur / IPv6 Hôte / IPv6

(10)

ACL: IPv6 vers IPv4 ACL: IPv6 vers IPv4

Communications vers adresses IPv4 publiques via 6to4 Relais 6to4 ouverts et accessibles sur Internet

IPv6 IPv4

Relais 6to4

(11)

Découverte d'un réseau IPv6 Découverte d'un réseau IPv6

Avec les adresses Multicast du protocole ND sur le lien Utilisation des DNS

Adresses simples

Motifs courants: « beef », « cafe », « abcd » ...

Adresses séquentielles: DHCP, GGSN

Optimisations d'un scan ICMPv6

Adresses EUI-64

cible un fabriquant d'équipements réseaux particulier 64 bits → 48 bits / fabriquant

Entête de routage

Pour 1 paquet envoyé, 1 à 30 machines scannées

(12)

IPsec en natif IPsec en natif

Obligation précisée dans les RFCs

Reprend exactement les mêmes principes qu'en IPv4

Dans l'esprit initial, toute communication devait être chiffrée en mode transport, avec négociation automatique entre machines.

De fait IPsec ne sert qu'en mode tunnel ...

Même mécanismes de sécurité et contraintes qu'en IPv4

Installation de certificats Configuration IKE

Problèmes avec les flux Multicast

Problème à l'initialisation avec le Neighbor Discovery.

« La poule avant l'oeuf ? »

(13)

Dilemme pour les IDS Dilemme pour les IDS

Facile de posséder une énorme quantité d'adresses pour lancer des attaques.

/64 → plusieurs milliards de scans TCP avec des adresses uniques

Remplissage des tables d'états Vers une généralisation d'IPsec

Structure des paquets IPv6 modulaires

Possibilité de changer la structure des paquets pour lancer une attaque Plus de possibilité de canaux cachés

Suivi de sessions applicatives partagées entre les protocoles IPv4 et IPv6

FTP, SCTP ...

(14)

Impacts applicatifs et systèmes Impacts applicatifs et systèmes

Faible impact sur la majorité des protocoles applicatifs Impact sur certaines applications à cause de l'espace d'adressage:

Identification de session par adresse IP

Les adresses temporaires, « Privacy Extension »

Vulnérabilités de tous types concernant IPv6 découvertes à ce jour: GNU/Linux, FreeBSD, OpenBSD, NetBSD, Solaris,

Windows, Cisco IOS ...

mauvaises manipulations des entêtes ou des données utilisateurs mauvais calculs de la taille des entêtes ou des options TLV

Correction retardée en IPv6 de failles IPv4 anciennes (MS06-064)

(15)

Particularités de IPv6 sur réseaux 3G Particularités de IPv6 sur réseaux 3G

Difficulté de forger les trames au niveau du téléphone

Pile « cachée »

Réalisable si réseau mobile en IP (UMA)

Liaisons Point à Point limitées par leur nature Problèmes de facturation

Tunnels Mobile/Mobile dans les sessions à l'acte

Ordinateur portable Téléphone mobile GGSN PPP

L1

PPP RLC

L1 ATM MAC PDCP IPv4/v6

Relais Applicatif

Réseau Radio

IPv4/v6

(16)

Mobilité IPv6 Mobilité IPv6

Standardisé, prévu pour 3GPPv2 Très complexe à mettre en oeuvre

Changement de topologie du réseau traditionnel

Il devient difficile de faire de la sécurité périmétrique (nécessite de laisser passer les tunnels, adresses Anycast ...)

Filtrage des « Routing Headers » remis en cause

Utilisation de la mobilité détournée

déni de service (flood) sur l'adresse fixe d'un client GPRS.

(17)

en bref ...

en bref ...

Il est très long de « scanner » un réseau ?

ça dépend...

Thèse de la difficultés plus grande des « worms » à se propager sur un réseau IPv6 est à reconsidérer

Il est facile d'obtenir un accès IPv6 sur un réseau IPv4 connecté à Internet ?

Oui .. il existe de nombreux mécanismes de cohabitation

Le protocole IPv6 est complexe et ses impacts sont nombreux ?

Oui .. niveau administration, routage, sécurité et développement.

Plus de 100 RFCs !

(18)

Prochains rendez-vous Prochains rendez-vous

Formation ISO27001 Lead Auditor :

Certification ISO27001 Lead Auditor par LSTI

http://www.hsc.fr/services/formations/

Sécurité VoIP & Enquêtes post-incident

Tutoriels les 22 et 23 novembre 2006

http://www.infosecurity.com.fr/?Jpto=116&IdNode=11

Surveillance et détection sous Linux

Tutoriel en deux parties le 1er février 2007

http://www.solutionslinux.fr/

Lyon : 27 nov -1 déc Paris : 4 - 8 décembre Genève : 22-26 janvier Toulouse : 5-9 février

Questions ?

Nicolas.Collignon@hsc.fr http://www.hsc.fr/

Références

Télécharger maintenant ( PDF - 18 Page - 576.35 KB )

Documents relatifs

Sécurité et Réseaux

Une des conséquences de l’utilisation de ce protocole réside alors dans le fait que l’on ne peut pas réellement établir une notion de « contexte de session » dans le

D0Z - Ouvriers non qualifiés travaillant par enlèvement ou formage de métal

Le métier d’ouvrier non qualifié travaillant par enlèvement ou formage de métal est l’un des rares métiers pour lesquels le nombre de demandeurs d’emploi a baissé ces

Fluctuation analysis of the far-infrared background — information from the confusion

After finding the best-fitted parameters, we used the Fisher matrix analysis to calculate the minimal errors possible of these parameters in experiments with different pixel sizes

QUELLES MENACES, DEMAIN, SUR LA SÉCURITÉ DE LA FRANCE?

Et s'il fallait des confirmations à ces affirmations, on devait s'apercevoir rapidement que si, en apparence, le monde des années 90 paraissait plus pacifique et plus stable que

La Sécurité dans les Réseaux

•  Le type de rela&lt;on qui unit les clés Ke et Kd permet de définir deux grandes catégories de systèmes cryptographiques :. –  Les systèmes à clés secrètes ou

La sécurité des réseaux

Pour assurer une sécurité maximum, la seule règle présente par défaut doit être celle qui interdit l’accès à tous les paquets entrants et sortants ; d’autres règles

Les réseaux : la sécurité

Par défaut un réseau sans fil est non sécurisé, c'est-à-dire qu'il est ouvert à tous et que toute personne se trouvant dans le rayon de portée d'un point d'accès

La sécurité des réseaux

Il est possible de filtrer également la trame Ethernet elle-même au niveau d’un routeur par exemple par :.. - l’en-tête de la trame : adresses origine et