Utilice este identificador para citar o vincular a este ítem:
https://rdu.iua.edu.ar/handle/123456789/1835
Título: | Seguridad en Redes IPv6 aplicada a Infraestructuras Críticas |
Autores: | Rivero Corvalán, Nicolás |
Palabras claves: | Neighbor Discovery Protocol - Secure Neighbor Discovery - Protocolo ICMPv6 - Protocolo SeND. |
Fecha de publicación: | dic-2017 |
Resumen: | Las redes IPv4 deberán ser migradas no solo por la escasez de direcciones IPv4, sino porque IPv6 es un protocolo creado para optimizar el procesamiento de tráfico en la nueva generación de redes de alta velocidad; centrándose en la escalabilidad del protocolo y estableciendo nuevas funcionalidades de comunicación. Al momento de implementar IPv6 en una infraestructura crítica se debe conocer el funcionamiento del mismo en detalle para poder aprovechar los beneficios que otorga, sin verse afectado por problemas de seguridad inherentes a las nuevas funcionalidades implementadas. Se debe tener presente que los ataques al segmento IPv6 pueden estar originados en hosts malintencionados o simplemente en equipos mal configurados, por lo que se deberá monitorear el comportamiento de la red en todo momento. Hemos demostrado que manipulando los paquetes del tipo ICMPv6, se pueden introducir ataques de suplantación de identidad, denegación de servicio o de reinyección de paquetes. Dicha manipulación se basa en el uso de las funciones propias del protocolo IPv6 y no por una falla de diseño del mismo. Los arquitectos de soluciones IPv6 deben diseñar en detalle el escenario en donde se va a implementar el protocolo, defiendo cuales son los equipos críticos y cuales son las técnicas de mitigación de ataques a utilizar para la defensa de la red. Se debe definir previamente la función de los hosts en el segmento, bloqueando los mensajes que no se correspondan con la funcionalidad del host. Si se decide utilizar el protocolo SeND, se podrá autenticar los mensajes ICMPv6 securizando el segmento IPv6. Se debe tener en cuenta que el protocolo SeND no está implementado en todos los productos que soporten IPv6, con lo que se deberá analizar cada equipamiento presente al momento de diseñar una red segura con dicho protocolo. Cada proveedor de soluciones IPv6 puede implementar SeND de una manera en particular y no necesariamente se basa 100% en el estándar de mensajería o funcionalidad, pudiendo provocar problemas de interoperabilidad entre los equipos del segmento. Se debe implementar SeND en un entorno controlado y con un plan de contingencia definido, analizando la comunicación entre los hosts previo a la puesta en producción. Es muy importante proveer seguridad a las infraestructuras críticas en todas las capas del modelo de referencia OSI. En este documento nos hemos centrado en establecer seguridad en el enlace de datos (NDP) que impedirá el acceso de hosts malintencionados a una infraestructura crítica, pero no se debe perder el foco en la seguridad de todas las otras capas. Es necesario establecer un plan efectivo de mitigación de ataques a todos los protocolos que con soporte a IPv6 (como por ejemplo DHCPv6, DNSv6, etc.). |
Descripción: | Se analiza el funcionamiento del protocolo IPv6 haciendo foco en su implementación segura sobre infraestructuras críticas, analizando las distintas técnicas para mitigar los nuevos vectores de ataque que genera dicho protocolo. Si no se establecen las medidas de seguridad necesarias, al momento de diseñar una arquitectura IPv6, se pueden ver comprometidos los recursos críticos de una nación o una entidad de carácter privado que maneje información sensible de una población.Se hará foco en el análisis de los siguientes protocolos: * Neighbor Discovery Protocol (NDP), cuyo objetivo es identificar que nodos son alcanzables en la red y descubrir nuevas rutas sobre los segmentos IPv6. Se implementará dicho protocolo bajo diferentes variantes de topología, probando las funcionalidades del protocolo para luego exponer sus vulnerabilidades. * Secure Neighbor Discovery (SeND) en conjunto con GCA (Cryptographically Generated Address), cuyo objetivo es otorgar seguridad criptográfica en las implementaciones del NDP. Se implementará una estructura de comunicación que otorga seguridad al protocolo IPv6 en la capa de enlace de datos, para luego analizar la seguridad en dicho escenario. |
URI: | https://rdu.iua.edu.ar/handle/123456789/1835 |
Appears in Colecciones: | Especialización en Seguridad Informática |
Archivos en este ítem:
Archivo | Descripción | Tamaño | Formato | |
---|---|---|---|---|
TFI-RiveroCorvalanNicolas.pdf | Seguridad en Redes IPv6 aplicada a Infraestructuras Críticas | 6,32 MB | Adobe PDF | Ver/Abrir |
Este ítem está bajo una licencia Licencia Creative Commons