ESCUELA DE INGENIERA EN ELECTRNICA TELECOMUNICACIONES Y REDES

Danilo Hidalgo Rodrigo Garca Santiago Cceres

ASEGURANDO UNA RED CON IPV6

Riobamba Ecuador

I.

INTRODUCCIN

Entre otros varios identificadores nicos que se manejan en Internet tenemos el identificador del protocolo Internet (IP, Internet Protocol) conocido como direccin IP. Estas direcciones permiten identificar unvocamente cualquier interfaz dentro de una red que utiliza IP, como es el caso de Internet. Estos identificadores son nmeros binarios con un nmero limitado de bits, 32 en el caso de las direcciones IPv4, es decir, ms de 4200 millones de direcciones posibles, pero si descontamos algunos rangos reservados para usos especiales, la cantidad de direcciones realmente utilizable se reduce a alrededor de 3700 millones de direcciones IPv4. Esa cantidad de direcciones pareci ser suficiente en los albores del Internet donde la cantidad de redes y computadores interconectados era relativamente poca, pero el vertiginoso crecimiento de la penetracin mundial de Internet (hoy con una poblacin de ms de 7000 millones de personas) y el surgimiento del Internet de las cosas, han hecho que esa cantidad quede corta. Por su gran impacto el negocio de proveer acceso a Internet ha crecido solo, pero actualmente incluso se ve impulsado por los gobiernos. Estudios econmicos demuestran que un incremento del 10% en la penetracin del acceso a Internet genera un crecimiento del 1% en el PIB y por otra parte el acceso a Internet es considerado como un instrumento habilitante de derechos humanos fundamentales como la libertad de expresin, de ah que el plan de gobierno de muchos pases considera alguna medida para lograr la masificacin del Internet. Por otra parte, muchos dispositivos que antes funcionaban sin conexin de red requieren o requerirn de direcciones IP para aprovechar al mximo nuevas funcionalidades, conformando as lo que hoy se conoce como el Internet de las cosas, es decir, dispositivos que se comunican entre s o hacia Internet para cumplir ciertas tareas sin necesidad de intervencin humana, por ejemplo: celulares actualizando aplicaciones, televisores actualizando/bajando programacin, cmaras de video y sensores de movimiento informado/ grabando la presencia de intrusos, sensores/medidores enviando informacin recolectada peridicamente, refrigeradores informando del estado de los vveres, etc.. La administracin de los recursos IP actualmente tiene una estructura jerrquica, una entidad central llamada IANA (Internet Assigned Numbers Authority) administra todo el espacio de direccionamiento disponible y es la encargada de entregar bloques de direcciones a organizaciones regionales denominadas RIRs (Regional Internet Registry) conforme a demanda, quienes a su vez se encargan de la distribucin/ asignacin a los proveedores de Internet. LACNIC es el RIR para la regin de Amrica Latina y Caribe. El espacio IPv4 disponible en IANA se agot definitivamente en febrero de 2011 y en abril del mismo ao APNIC (el RIR para la regin de Asia Pacfico) empez a asignar direcciones IPv4 desde su ltimo bloque de direcciones, esto implica algunas restricciones en la asignacin de direcciones. Para dar solucin a la necesidad creciente de direcciones, la IETF (Internet Engineering Task Force) cre IPv6 en la dcada de los 90. Esta nueva versin del protocolo usa direcciones de 128 bits, lo cual significa algo ms de 340 sextillones de direcciones disponibles. Para tener una idea de la cantidad de direcciones disponibles se puede decir que el espacio de direccionamiento disponible es suficiente para cubrir la demanda de ms de 4200 millones de proveedores de Internet con 65536 clientes cada uno.

Muchas veces se pretende vender a IPv6 como un protocolo que resuelve algunos problemas encontrados en IPv4, por ejemplo seguridad, pero esto no es tan preciso y nada ms crea falsas expectativas, pues lo que se buscaba resolver con el nuevo protocolo es la escasez de direcciones IP, lo cual no quiere decir que IPv6 sea ms o menos inseguro que IPv4 o que no implique la oportunidad para mejorar algunas otras cosas. As mismo, en el otro extremo hay quienes creen que NAT a gran escala es una mejor opcin que IPv6, o que por ejemplo, es una mala opcin para PYMEs, pues sin NAT sera (dicen ellos) necesario renumerar toda la red en caso de cambio de proveedor, pero dependiendo del tamao una asignacin PI (Provider Independent) resolvera el problema. En todo caso, a nivel personal creo que IPv6 no es perfecto, pero es lo que tenemos y su uso es la alternativa tcnica y econmicamente ms adecuada a la realidad de nuestro pas que permitir afrontar el crecimiento futuro del Internet. Como se mencion, las especificaciones bsicas del protocolo fueron establecidas hace aproximadamente 15 aos; sin embargo, su utilizacin estuvo por mucho tiempo circunscrita a unas pocas redes, en su mayora de carcter universitario o de investigacin, pero esto ha comenzado a cambiar con el advenimiento de sistemas operativos que traen IPv6 habilitado por defecto (Windows Vista, 7) y especialmente con la realizacin del IPv6 Day, el 6 de junio de 2011, un evento organizado y coordinado por la Internet Society (ISOC) a travs del cual - durante 24 horas grandes redes y proveedores de contenido (Facebook, Yahoo, Google entre otras) habilitaron acceso por IPv6 a sus pginas principales. Para el 6 de junio de 2012, ISOC ha organizado el IPv6 Launch, los participantes de este evento dejarn habilitado IPv6 en sus redes/portales a partir de dicho da y de forma indefinida. IPv6 en Ecuador: Bloques IPv6 asignados y utilizados (al 8 de abril de 2012): II. 23 bloques IPv6 asignados/ distribuidos por ecuatorianas 12 bloques utilizados (vistos en el Internet Global) 11 organizaciones diferentes utilizan prefijos IPv6 OBJETIVOS i. Objetivo General Realizar el anlisis de las vulnerabilidades de una Intranet con el protocolo IPV6 utilizando GNU/Linux como sistema operativo para levantar servicios bsicos de Internet con el fin de manipularlos para desarrollar pruebas desde clientes con diferentes plataformas. ii. Objetivo especifico Plantear los posibles problemas de vulnerabilidades en Ipv6. Realizar un ataque a dispositivos de red que tienen configurado IPv6 por defecto. Existen campos en las tramas y protocolos que nos permiten generar paquetes que necesariamente sern atendidos causando un uso alto del procesador. Se explicar el funcionamiento y ciertos conceptos bsicos de IPv6 para luego explicar unos ataques de red a dispositivos que fueron probados. LACNIC a organizaciones

 III.

Proveer un anlisis objetivo de las implicancias de seguridad generales de IPv6 Identificar reas en las que se requiere ms trabajo Obtener algunas conclusiones respecto a la seguridad en IPv6

Alcance / Meta

Los siguientes puntos describen el alcance/meta de este proyecto: IV. Investigar y documentar todo sobre la arquitectura y componentes de IPv6. Configurar el Kernel y utilidades en una distribucin GNU/Linux para dar soporte de IPv6. Documentar todo el proceso de anlisis de las vulnerabilidades en IPV6 Realizar pruebas a los servicios levantados y realizar la documentacin respectiva. Solucionar los problemas que se encuentren en IPV6 SUPUESTOS

El alegato de comenzar a utilizar IPv6 viene dado por que permite dar solucin a las necesidades actuales como son la seguridad, movilidad, calidad de servicio (QoS), comunicacin de grupo en tiempo real, etc. IPv6 es adems extensible y permitir incorporar nuevos protocolos en el futuro a medida que sean demandados. Al probar las vulnerabilidades en la red IPV6 podemos mostrar que la seguridad es un campo aun por experimentar ya que al migrar de ipv4 a ipv6 surgirn inseguridades en una red. V. DESARROLLO

Con la implantacin de redes basadas en el protocolo IP versin 6, el tema de seguridad no debe dejar de ser observado cuando todas las redes del mundo migren desde IP versin 4, pues ah se pueden presentar ciertas vulnerabilidades que no se consideran ahora por los administradores de redes. La seguridad en IPv6 es uno de los temas ms importantes que ser tratado en este documento en donde se identificarn agujeros de seguridad que sin duda generara riesgos en ataques que podran comprometer la informacin confidencial, la privacidad y en general el negocio de la empresa. Por ello, se har una revisin a los problemas que IPv6 tiene en la actualidad para ser implementados en la infraestructura tecnolgica de cualquier empresa. Uno de los primeros problemas en surgir en las redes IPv6 es que existen muchos mal entendidos relacionados con su funcionamiento, tales como: La seguridad fue un tpico principal en el desarrollo de Ipv6. El uso de IPSec ser ms difundido. Muchos de los ataques de IPv4 ya no podrn hacerse en IPv6. La seguridad ya no ser orientada a la red, sino al host.

Adems de estos inconvenientes, tambin existen problemas relacionados con el poco tiempo que tiene IPv6 como tecnologa; estos problemas son: El protocolo IPv6 no ha sido tan probado en un ambiente real como IPv4. Existe un limitado grupo de productos de networking (switches, firewalls y routers) en el mercado que ya brinden servicios de interconectividad y seguridad IPv6.

 Las aplicaciones IPv6 no han sido probadas lo suficiente. Otro de los problemas es la poca experiencia y conocimiento que tienen los profesionales de las Tecnologas de la Informacin y Comunicacin (TICs) sobre el funcionamiento de los mecanismos que utiliza IPv6; y el desconocimiento de las herramientas que existen para su configuracin y mantener segura una red de este tipo. Otro inconveniente que surge es que el funcionamiento de la red en general se vuelve ms complejo, debido a que para mantener la compatibilidad con aquellos servicios que utilicen IPv4 o IPv6, es necesario que las empresas utilicen los protocolos IPv4 e IPv6 al mismo tiempo (Afifi, H.,1999)1 ; entre los mecanismos que hacen que la red se vuelva ms compleja estn: Mayor uso de NAT. Uso de diferentes tecnologas de transicin entre tecnologas. Mayor uso de tecnologas de tuneling. Revisin del Funcionamiento del protocolo IPv6 Las principales caractersticas que este protocolo presenta se van a detallar a continuacin: Espacio de Direcciones: El tamao total de la direccin IPv6 es de 128[bits], lo que permitir que se puedan tener en teora alrededor de 3.4 x 1038 direcciones disponibles, lo que garantizar que todos los dispositivos puedan acceder a una direccin IP. Nuevo formato de Cabecera: Aunque la cabecera IPv6 sea mayor a la de IPv4, se han quitado muchos campos de la cabecera que eran poco utilizados, para obtener un manejo ms eficiente de los paquetes. El Direccionamiento es Jerrquico: Las direcciones IP Globales (direcciones pblicas) se rigen por una jerarqua basada en la existencia de diferentes tipos de ISP, esto permitir tener tablas de enrutamiento resumidas y por lo tanto ms manejables. Autoconfiguracin de las direcciones IP: El protocolo IPv6 tiene de forma mandatoria el uso de este tipo de configuracin (Stateless Address Configuration) para que los clientes obtengan una direccin IPv6 automtica. Existe un nuevo protocolo para interactuar con los vecinos (Neighbor Discovery Protocol): Los protocolos ARP y Router Discovery son reemplazados por este nuevo protocolo que ya no utiliza broadcast para propagarse por la red, en vez de ello utiliza multicast. Formato de Direcciones IPv6. La cabecera de un paquete IPv6 es de 40 bytes fijo, lo cual es considerablemente ms grande que la cabecera de IPv4, esto se debe principalmente por los 32 bytes que ocupan ahora las direcciones IP origen y destino. Otra caracterstica de la cabecera del paquete IPv6 es que ahora el nmero de campos ha disminuido de 14 a solo 8 campos, entre los que estn: 1. Versin (Version): Indica la versin del protocolo IP, en este caso su valor es igual a 6.

2. Clase de trfico (Traffic Class): Incluye informacin para clasificar el tipo de trfico que lleva el paquete, para que los routers aplique la poltica de enrutamiento ms adecuada. Tiene la misma funcionalidad que el campo Type of Service de IPv4. 3. Etiqueta de flujo (Flow Label): Ubica a un flujo de paquetes, que les sirve a los routers para identificar rpidamente paquetes que deben ser tratados de la misma manera (para QoS). 4. Tamao de la carga til (Payload Length): Indica el tamao de la carga til del paquete. Las cabeceras adicionales son consideradas parte de la carga para este clculo. 5. Prximo encabezado (Next Header): Indica que existe una siguiente cabecera en la que se especificarn opciones especficas para el paquete; si no se utiliza con ese propsito entonces indica la cabecera de capa 4que ser la siguiente. 6. Lmite de saltos (Hop Limit): Indica el mximo nmero de saltos que puede realizar el paquete. Este valor disminuye en uno por cada router que reenva el paquete. Si el valor llega a cero, el paquete es descartado. 7. Direccin de origen (Source Destination Address): Indica la direccin IPv6 del nodo que gener el paquete. 8. Direccin de origen (Source Destination Address): Indica la direccin de

destino final del paquete. Fig1 Encabezados IPV6 y IPV4 Direccionamiento IPv6. Existen tres tipos de Direcciones: Unicast.- Identifica a un solo nodo.

 Multicast.- Identifica a un grupo de nodos. Anycast.- Identifica a un grupo de nodos, pero el paquete llega siempre al nodo ms cercano perteneciente a ese grupo.

1. Direcciones Unicast: Estas direcciones identifican de manera nica a cada nodo de la red, permitiendo la comunicacin punto a punto entre ellos. La nueva caracterstica que trae IPv6 es la ubicacin de las direcciones Unicast dentro de contextos, cada uno de los cuales define un dominio lgico o fsico de la red. Los tipos de contextos que se tienen son: Local al enlace (link-local): Permiten la comunicacin entre los distintos nodos conectados a un mismo enlace capa 2 del modelo ISO/OSI. Estas direcciones no pueden ser enrutadas y slo son vlidas al interior del enlace. Cada vez que un nodo IPv6 se conecta a una red, adquiere automticamente una direccin local al enlace, sin ser necesaria la intervencin del usuario o de otros dispositivos. La estructura de una direccin local al enlace es fe80:0:0:0:<identificador de interfaz>. El identificador de interfaz se genera automticamente a partir de su direccin MAC, siguiendo el formato EUI-64. Ejemplo: MAC: 39:A7:D3:F9:61:A1 Dir. IPv6: fe80:0:0:0:039A7:D3FF:FEF9:61A1 Siendo FF:FE partes de la direccin que siempre se repiten en todas las direcciones que siguen el formato EUI-64. Local nico (unique-local): Las direcciones locales nicas son direcciones que permiten la comunicacin de nodos al interior de un la red de toda una organizacin, de prefijo /48, compuesta por 1 o ms subredes. Son el equivalente a las direcciones privadas en IPv4. Al igual que las direcciones locales al enlace, no pueden ser enrutadas hacia Internet. La estructura de una direccin local nica es la siguiente:

a) Identificador nico: Campo de 40[bits] que identifica a un sitio en particular. Dado que este tipo de direcciones no son publicadas en Internet, pueden existir distintos sitios con el mismo identificador.

b) Identificador subred: Permite crear un plan de direccionamiento jerrquico, identificando a cada una de las 216 posibles subredes en un sitio. c) Identificador de interfaz: Individualiza a una interfaz presente en una determinada subred del sitio. A diferencia de las direcciones locales al enlace, este identificador no se genera automticamente. Global: Las direcciones Unicast Globales son usadas para comunicar 2 nodos a travs de Internet; son equivalentes a las direcciones pblicas en IPv4. Son el nico tipo de direcciones que pueden ser enrutadas a travs de Internet. El espacio reservado actualmente para este tipo de direcciones es de 2001:: a 3fff:ffff:ffff:ffff:ffff:ffff:ffff (2001::/3). Todas las subredes en el espacio de direccionamiento unicast global tienen un prefijo de red fijo e igual a /64. Esto implica que los primeros 64 [bit] corresponden al identificador de red, y los siguientes corresponden a la identificacin de la interfaz de un determinado nodo.

El prefijo de enrutamiento global es aquel que identifica a un sitio conectado a Internet. Dicho prefijo sigue una estructura jerrquica, con el fin de reducir el tamao de la tabla de enrutamiento global en Internet. Cada una de los Registros Regionales maneja direcciones con prefijo /23, y otorgan a cada ISP direcciones con prefijo /32, y estos a su vez dan direcciones con prefijo /48, permitiendo a cada sitio u organizacin el tener 2^16 subredes, cada una con 2^64 usuarios. Cada interfaz de red puede tener ms de una direccin IPv6, por ejemplo una interfaz puede tener una direccin Local Enlace, y dos direcciones Globales.

2. Direcciones Multicast: La estructura de una direccin multicast IPv6 es el siguiente:

Primeros Campos: Son dos campos de 8 [bits] cada uno y que siempre llevan los valores de FF [en hexadecimal]. a) Campo L: Indica el tiempo de vida de un grupo multicast. Si se coloca el valor de 0 cuando es un grupo permanente y 1 cuando es un grupo multicast temporal. b) Campo S: c) Indica el contexto o alcance del grupo. Ya existen valores predeterminados para este campo; los mismos que a continuacin se detallan:

Con estos dos campos se pueden crear varias grupos de direcciones para cada tipo de contexto y con diferente duracin, pero tambin ya existen grupos Multicast predeterminados como

Las Direcciones Multicast no deben aparecer como direcciones origen en ningn paquete, as como tampoco deben estar presentes en las tablas de enrutamiento. Existe adems una clase especial de direccin Multicast llamada Direccin de NodoSolicitado, sta cumple con la funcin de asociar las direccines Unicast y Anycast configuradas en las interfaces de un Nodo. Esta direccin tiene como prefijo predeterminado: FF02:0:0:0:0:1:FF00::/104 por lo que el rango de direcciones Multicast de NodoSolicitado son: FF02:0:0:0:0:1:FF00:0000 hasta FF02:0:0:0:0:1:FFFF:FFFF La forma en que se arman estas direcciones es la siguiente:

Los primeros 104 [bits] de la direccin siempre sern fijos, mientras que los ltimos 24 [bits] son tomados de las direcciones IPv6 Unicast y Anycast que tenga configurado el Nodo. Por ejemplo: Se tiene la direccin IPv6: 4037::01:800:200E:8C6C Su direccin Multicast de Nodo-Solicitado es: FF02::1:FF0E:8C6C Las direcciones Multicast de Nodo-Solicitado son usadas para obtener las direcciones MAC de los Nodos presentes en un mismo Enlace, para ello se enva un paquete con la direccin Multicast del Nodo- Solicitado, para que ste responda con su respectiva direccin MAC. 3. Direcciones Anycast: Es aquella que identifica a un grupo de interfaces, los paquetes enviados a una direccin anycast son reenviados por la infraestructura de enrutamiento hacia la interfaz ms cercana al origen del paquete que posea una direccin anycast perteneciente al grupo. Con el fin de facilitar la entrega, la infraestructura de enrutamiento debe conocer las interfaces que estn asociadas a una direccin anycast y su distancia en mtricas de enrutamiento, para que se enven siempre al nodo ms cercano o de menor mtrica. Una direccin Anycast se crea al asignar una misma direccin Unicast a varias interfaces de distintos Nodos. Una direccin Anycast no puede ser nunca una direccin de origen. Un uso de direcciones Anycast es el identificar a los routers que pertenecen a una organizacin y que proveen de servicio de internet.

SEGURIDAD EN REDES IPV6 El tema de la seguridad en redes IPv6 ha sido ampliamente estudiado y discutido en diversos congresos, encuentros y listas de discusin. Un grupo internacional de investigadores en seguridad y redes, llamado The Hacker`s Choice, ha desarrollado un conjunto de programas que explotan las vulnerabilidades conocidas de IPv6. En este apartado se utilizaran algunos de estos programas con el fin de demostrar el impacto de los problemas de seguridad existentes en IPv6. RECONOCIMIENTO EN REDES IPV6 La primera etapa de cualquier tipo de ataque hacia una red normalmente involucra algn tipo de procedimiento para examinar que dispositivos se encuentran activos en una red determinada. Para ello, se realiza un barrido de pings por todas las direcciones IP posibles en la red, con el fin de detectar cuales estn en uso. Dicha tcnica es muy utilizada en IPv4, ya que el nmero de posibles direcciones en una red de tamao normal (/24) es de 256. Dicha operacin puede tardar entre 5 a 30 y existen una serie de herramientas que realizan este barrido de forma automtica.

Sin embargo, existen otras tcnicas mediante las cuales un atacante puede realizar un reconocimiento de la red. Si el atacante se encuentra conectado fsicamente a la red, puede realizar un ping a la direccin multicast que representa a todos los nodos o a todos los routers conectados a dicha red (FF02::1 y FF02::2 respectivamente). De acuerdo a las especificaciones de IPv6, un nodo no debera responder a pings enviados a dichas direcciones, sin embargo varias implementaciones no han tomado en cuenta dicha recomendacin. Existen varias recomendaciones para evitar los problemas asociados al reconocimiento local o remoto de una red. La principal es que los identificadores de interfaz de los nodos no sean nmeros correlativos y que no partan desde el lmite inferior del rango (evitar las secuencias ::1, ::2, ::3, etc.). Esto se puede lograr mediante el uso de la autoconfiguracin de direcciones IPv6, ya que es posible obligar a los nodos generar un identificador de interfaz pseudo-aleatorio o basado en la direccin fsica de la interfaz. VULNERABILIDADES EN ICMPV6 CONFIGURACIN AUTOMTICA DE DIRECCIONES (SLACC) El mecanismo de configuracin automtica de direcciones (SLACC) permite a los nodos obtener una direccin IPv6 automticamente a partir de la informacin que un router transmite en un enlace capa 2. Los routers envan anuncios de enrutamiento (RA) transportados sobre mensajes ICMPv6, los cuales contienen la siguiente informacin: Prefijo(s) local(es): Los primeros 64 [bit] de una direccin IPv6 Direccin de enlace local del router. Prioridad del router: Un valor entero que indica la prioridad de este router. Cuando existen varios routers en el mismo enlace, los nodos utilizan el de ms alta prioridad. Tiempo de vida del mensaje Mxima unidad de transporte (MTU): Indica a los nodos la MTU a utilizar en el enlace. A partir de los anuncios de enrutamiento (RA), los nodos pueden construir sus direcciones IPv6 mediante la combinacin del prefijo local y su direccin fsica (MAC). Obtienen adems la direccin de la ruta por omisin que deben agregar en sus tablas de enrutamiento. Para ejecutar este ataque, se puede utilizar la herramienta fake_router6 incluida en el paquete THC IPv6. Dicha herramienta permite enviar anuncios de enrutamiento en donde se puede definir el prefijo a anunciar y la direccin de enlace local del router a anunciar. Todos los anuncios creados con esta herramienta son enviados con alta prioridad, por lo que tienen preferencia por sobre los enviados por otros dispositivos.

RESOLUCIN DE DIRECCIONES Cuando un nodo desea obtener la direccin fsica de una determinada direccin IPv6, se utiliza el siguiente procedimiento: a) Se enva un mensaje de solicitud de vecino (Neighbor Solicitation, NS) que contiene la direccin IPv6 a consultar. b) El nodo con la direccin IPv6 solicitada responde con un mensaje de anuncio de vecino (Neighbor Advertisement, NA), que contiene su direccin fsica (MAC). Los riesgos de este ataque es que un usuario mal intencionado puede falsear direccin fsica del router presente en el enlace, redirigiendo todo el trfico a propio equipo o a una direccin fsica inexistente. El problema aumenta cuando considera que por especificaciones del protocolo IPv6, las entradas en la tabla direcciones de un nodo se actualizan constantemente, generando una gran cantidad mensajes de solicitud de vecinos. la su se de de

Para ejecutar este ataque, se puede utilizar la herramienta fake_advertise6 incluida en el paquete THC IPv6. Dicha herramienta permite enviar mensajes de anuncio de vecino en donde se puede definir la direccin IPv6 a anunciar, la direccin MAC asociada y el destinatario de los mensajes (normalmente se utiliza la direccin ff02::1 que identifica a todos los nodos IPv6 en un enlace) . DETECCIN DE DIRECCIONES DUPLICADAS (DAD) El mecanismo de deteccin de direcciones duplicadas previene que dos nodos utilicen la misma direccin IPv6 en un enlace. Cada vez que un nodo desea utilizar cualquier tipo de direccin IPv6, enva un mensaje de solicitud de vecino preguntando por la direccin fsica de dicha direccin. Si no obtiene respuesta, significa que dicha direccin no est siendo utilizada actualmente, por lo que puede usarla sin problemas. Al no existir autenticacin, un atacante podra fcilmente realizar un ataque de denegacin de servicio (DoS) pretendiendo poseer todas las direcciones IPv6 posibles. Cada vez que un nodo desea utilizar una direccin IPv6, el atacante responde su solicitud de solicitud de vecino, impidiendo su uso. Para ejecutar este ataque, se puede utilizar la herramienta dos-new-ip6 incluida en el paquete THC IPv6. Dicha herramienta responde a todos los mensajes de solicitud de vecinos que se reciben en una determinada interfaz, independiente de la direccin IPv6 consultada. De esta forma, el resto de los nodos presentes en el enlace no pueden utilizar ninguna nueva direccin IPv6. REDIRECCIN La redireccin es un mecanismo basado en ICMPv6 que permite a un router informar a otros nodos de un enlace la existencia de un mejor primer salto para llegar a una direccin o red determinada. Cuando un router recibe un paquete, revisa su tabla de rutas y si encuentra que existe un mejor primer salto enva un mensaje de redireccin

al nodo que envi el paquete. El nodo al recibir un mensaje de redireccin, actualiza su tabla de rutas y enva el paquete al nuevo primer salto. Al igual que en los casos anteriores, no existe autenticacin para el envo de mensajes de redireccin. El nico mecanismo de proteccin existente consiste en que para que un mensaje de redireccin enviado por un router sea vlido, debe contener una copia del paquete original que causo el envo del mensaje de redireccin. Sin embargo, un atacante puede inducir a un nodo generar paquetes con contenido conocido (como un mensaje ICMPv6 echo request) los cuales pueden ser utilizados en mensajes de redireccin falsos. Para ejecutar este ataque, se puede utilizar la herramienta redir6 incluida en el paquete THC IPv6. Dicha herramienta genera mensajes de redireccin falsos, que sobrescriben la tabla de rutas de un determinado nodo. ATAQUE POR MEDIO DEL ENVO DE PAQUETES DE ROUTER ADVERTISING, Y DHCPV6 ICMP: Internet Control Message Protocol - Protocolo de Control de Mensajes de Internet). su utilidad no est en el transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Este tipo de ataque est orientado para aquellas redes que no estn preparadas para las aplicaciones que utilizan el nuevo protocolo de red IPv6, por lo que no tienen implementado ninguna poltica de seguridad, ni ningn mecanismos que alerte al administrador de red que se est realizando acciones indebidas por medio del protocolo. El ataque consiste en tener una PC dentro de la red que se encuentre simulando ser un router que est divulgando su prefijo IPv6 por medio de paquetes de Router Advertisement, lo que causa que la vctima configure como su Default Gateway a la direccin IP versin 6 de nuestra mquina atacante. Con ello se puede causar que la vctima intente salir hacia internet a travs de las interfaces de la pc atacante, lo que se puede usar para hacer una revisin y cambio de los datos que fluyen por esta ruta. Adems de ello tambin se puede usar la mquina atacante para que acte como un servidor DNSv6, con el objetivo de configurar en las vctimas la direccin de un servidor DNS corrupto con el que podramos hacer ataques de DNS spoofing, pues dirigiramos las peticiones de DNS a portales como Facebook, o Gmail hacia direcciones IP de servidores HTTP corruptos en los que se ha clonado estas pginas web, y por medio de ellas poder obtener los usuarios y claves de las vctimas. SOLUCIN: Para Win vista,7,8 netsh interface ipv6 set interface Local Area Connection routerdiscovery=disabled Para winxp delete interface name="Local Area Connection"

VULNERABILIDADES QUE USAN EL CAMPO FLOW LABEL Flow Label El Flow Label es un nmero pseudo-aleatorio entre el 1 y FFFFFF (hexadecimal) que es nico cuando se combina con la direccin de la fuente. Entonces el router puede llevar a cabo procesamientos particulares: escoger una ruta, procesar informacin en "tiempo real", etc. La fuente mantendr este valor para todos los paquetes que enve para esta aplicacin y este destino. Por ejemplo, cuando un par de nodos necesiten cierto ancho de banda pueden levantar esta bandera y los enrutadores pueden darle tratamiento especial. Este comportamiento de la red puede ser usado por competidores y personas mal intencionadas para obtener un mejor servicio, o en un extremo la denegacin de servicio del trfico que nos pertenece al inyectar paquetes con direcciones IPv6 falsas o etiquetas Flow Label adulteradas. Adems, una de las desventajas que se presenta en una red IPv6 es que las cabeceras de los paquetes que pasan por los nodos intermedios no se verifican y no existe garanta que estos datos sean confiables, por lo que la red confa en que estos datos son tan confiables como los nodos que originan este trfico. Solucion: El uso de IPSEC dentro de IPv6, no garantiza seguridad contra ataques de este tipo, pues no contempla en sus clculos criptogrficos la etiqueta Flow Label, por lo que el cambio fraudulento del contenido de esta etiqueta sigue siendo un riesgo, aun cuando se utilice el modo de Tunneling IPSEC, pues IPSEC solo garantiza la seguridad de extremo a extremo, pues se puede comprometer al nodo final del tnel para realizar el ataque. ATAQUE A TRAVS DE EXTENSIONS HEADERSEN PAQUETES DISCOVERY Y ADVERTISEMENT El uso de Extension Headers provee al atacante maneras de eludir los mecanismos de defensa que posee la red (RA-Guard RFC-6105). Por eso hay que ignorar aquellos paquetes Discovery y Advertisement que contengan Extensions Headers, para as evitar ataques que puedan utilizar esta clase de paquetes. A continuacin se va a explicar cmo se realiza la evasin del mecanismo de defensa que se implementa en la red en contra paquetes Router Advertisement fraudulentos que pueden causar ataques de DoS, DNS Spoofing y Man-in-the-middle. SOLUCION El mecanismo de RA-Guard (Router Advertisement Guard) Es utilizado como primera lnea de defensa en contra de ataques de falsificacin de paquetes Router Advertisement (lo vamos a llamar RA), Consiste en un mecanismo de filtrado de capa 2 que sigue algunos criterios para elegir cules son los paquetes legtimos y cules no. El principio bsico de filtrado es que se descartarn cualquier paquete RA que llegue a los puertos del dispositivo capa 2, excepto aquellos paquetes que lleguen por medio de un puerto que especficamente los permite, por lo que se puede notar que la efectividad de este filtrado depende de la habilidad del dispositivo capa 2 para identificar a los paquetes RA; adems, se puede aprovechar las Extensions Headers para engaar al filtrado de paquetes RA, pues algunos dispositivos capa 2 solo examina el Header IPv6 fijo que vienen por defecto en IPv6 para determinar si este paquete es o no un paquete RA, por lo que si se tiene

un Extension Header en el paquete. Por all se puede enviar la informacin que pertenece a un paquete RA y as engaar el filtrado de RA-Guard. ATAQUE A TRAVS DEL USO DE FRAGMENTACIN DE PAQUETES. El tamao de un datagrama es de 65536 bytes .Sin embargo este valor nunca es alcanzado porque las redes no tienen suficiente capacidad para enviar paquetes tan grandes. Adems las redes en internet utilizan diferentes tecnologas por lo tanto el tamao mximo de un datagrama varia segn el tipo de red. El tamao mximo de una trama se denomina MTU(Unidad de transmisin mxima). El datagrama se fragmenta si es mas grande que la MTU de la red. La fragmentacin del datagrama se lleva a cabo a nivel de router, es decir durante la transicin de una red con una MTU grande a una red con una MTU ms pequea.

En el RFC 2460 se especifica el mecanismo de fragmentacin que permitira a los paquetes IPv6 para que se adapten al MTU mximo que se puede utilizar para atravesar una red con una tecnologa determinada. Estos fragmentos pueden ser superpuestos entre s, por lo que en el momento de ensamblaje se puede tener ambigedades; stas pueden ser usadas por los atacantes para vulnerar firewalls y mecanismos de deteccin de intrusiones. Es por ello que se cre un documento RFC 5722 para prohibir el uso de fragmento sobrelapados, pero en la seccin 5 del RFC 2460 se especifica que se puede usar los llamados fragmentos atmicos, que son paquetes IPv6 que son demasiado grandes para que sean llevados por medio de una red que posea un tamao mximo de MTU menor que el tamao que tiene el paquete IPv6 que quiere pasar, y por ello en vez de fragmentarlo, lo que hace es aadirle una cabecera de Header Fragmentation en la que se tiene como Fragmentation Value y el bit M con valores 0; este tipo de paquetes pueden ser creados por medio del envo de paquetes ICMPv6 Packet Too Big Error, con ello ya puedo utilizar estos headers para causar ataques como DoS de un flujo de datos de una vctima especfica (como se indicaen draft-gont-6man-predictable-fragment-id) pues con los Fragment Header se puede hacer creer que los paquetes que enve la victima son todos resultad de una colisin y por lo tanto deben ser descartados; como este ataque tambin existen otros ataques que aprovechan las vulnerabilidades que tienen los paquetes que utilizan Fragments Headers. Adems de ello otros factores que favorecen este tipo de vulnerabilidad son: Muchas implementaciones no validan los paquetes ICMPv6 Error Messages, aun cuando es una prctica recomendada en los RFCs 4443 y 592; otro factor es que despus de que un mensaje ICMPv6 Error lleg al destino, la cache destino es actualizada para que espere que todos los paquetes que lleguen posean un Fragment Header dentro ellos, lo que significa que este mensaje adulterado puede afectar a mltiples comunicaciones TCP con ese destino; y por ltimo se tiene el caso de que es casi imposible la validacin de mensajes ICMPv6 de error que hayan sido provocados por un protocolo de transporte sin conexin que est siendo encapsulado en IPv6. Otro tipo de ataque que utiliza la fragmentacin de paquetes es la evasin de mecanismos de seguridad como RA-Guard, en el que se utiliza la fragmentacin para

ocultar la naturaleza de un paquete RA fraudulento que se est siendo enviado dentro de los fragmentos de un paquete IPv6 normal de datos, tal y como se muestra en la siguiente figura. SOLUCION: La forma ms fcil de mitigar este ataque es deshabilitando IPv6, pero esto puede bloquear tambin servicios como HomeGroup o DirectAccess. HomeGroup: Compartir archivos,impresoras y otros recursos de red. DirectAccess: Soluciona las limitaciones que presentan las redes privadas virtuales (VPN) al establecer automticamente una conexin bidireccional entre los equipos cliente y la red corporativa. DirectAccess surge de la combinacin de dos tecnologas basadas en estndares de eficacia probada: el protocolo de seguridad de Internet (IPsec) y el protocolo de Internet versin 6 (IPv6). DirectAccess usa IPsec para autenticar el equipo y el usuario, lo cual permite que el personal de TI administre el equipo antes de que el usuario inicie sesin. De manera opcional, puede hacer que sea necesaria una tarjeta inteligente para la autenticacin del usuario.

Otra alternativa es deshabilitar la recepcin de paquetes Router Advertisement; esta es una buena medida para implementar en servidores, pero no es buena idea para los clientes, pues sera necesaria la configuracin manual de las direcciones IPv6 en cada uno de ellos.

VI.

CONCLUSIONES La integracin de mecanismos de seguridad, autenticacin y confidencialidad dentro del ncleo de protocolo IPv6 es una de las grandes ventajas que este nuevo protocolo presenta. Todas los host con Sistemas operativos WINDOWS (XP,Vista,Seven 7, hasta el actual Win 8) son vulnerables a los ataques de Router Advertising. Incluso los equipos CISCO que gozan de gran reputacin no han corregido esta gran vulnerabilidad de seguridad en los anexos se detallan con ms detalles la series de estos equipos y las versiones de los sistemas operativos Windows. Pero los que gozan de gran reputacin son los sistemas operativos bajo LINUX como Ubuntu y OpenBSD bajo UNIX,ya que estos sistemas tienen la capacidad de permitir solo diez paquetes de Router Advertising y el resto se dropea. Los sistemas operativos MAC tambin tienen buena notoriedad al dropear el dcimo paquete de Router Advertising. RECOMENDACIONES Explorar el impacto que tendr el uso del protocolo IPv6 en las seguridades informticas. Hacer una revisin exhaustiva de las alternativas al momento de actualizar o implementar una red IPv6. Se descubri que muchos fabricantes anuncian

VII.

soporte IPv6 en sus productos, pero en la realidad dicho soporte es parcial o se incluir en futuras actualizaciones. En dichos casos son tiles las iniciativas como el programa IPv6 Ready que certifican el soporte IPv6 de equipos y software, realizando una serie de pruebas sobre ellos.

VIII.

BIBLIOGRAFA Revista supertel N14 IPV6 en Ecuador Comer,D. (2000). Internetworking with TCP/IP Vol 1, Cuarta Edicin, Prentice Hall. Deering,S. & Hiden, R.(2000). IPv6. Primera Edicin. Thomson,S & T. Narten. (2000). IPV6 Stateless Address Autoconfiguration, Primera Edicin. D. Johnson,C. Perkins, J Arkko.(2004). Mobility Support in IPv6, Primera Edicin

Paginas Web Web oficial Supertel: www.supertel.com Web oficial backtrac: http://www.backtrack-linux.org/ Web Oficial de IPv6 http://www.ipv6.org Linux advance routing & Trafic Control http://www.lartc.net Internet Engineering Task Force IETF www.ietf.org IX. ANEXOS ANEXOS A SOPORTE IPV6 EN SISTEMAS OPERATIVOS

ANEXOS B CONFIGURACIN DHCPV6 (UBUNTU) El servicio que inicia el DHCPv6 instalacin. es el programa dibbler, entonces iniciamos la

apt-get install dibbler-server la carpeta se instala bajo /etc/dibbler bajo este path modificamos el archivo server.conf vi server.cof

Nuestro pool va desde fc00:2012:2011:1::10 hasta fc00:2012:2011:1::15

Iniciamos el servidor dibbler /etc/init.d/dibbler-server start

Luego nos aseguramos que tenga soporte de ruteo IPv6 habilitado root@rodd-laptop:~# sysctl -w net.ipv6.conf.all.forwarding=1 net.ipv6.conf.all.forwarding = 1 Si todo ha salido bien. Instalacin de las herramientas de la organizacin The Hackers Choice. @ rodd-laptop #apt-get install libnet-pcap-perl @ rodd-laptop #apt-get install libpcap0.8-dev @ rodd-laptop #apt-get install libssl-dev Ahora se puede instalar las herramientas de HTC: @ rodd-laptop #tar xzf thc-ipv6-1.8.tar.gz @ rodd-laptop #cd thc-ipv6-1.8 @ rodd-laptop #make. ANEXOS C luego se mostrara

Microsoft Server 2003, Windows 7, Server 2008, Windows 8, FreeBSD, NetBSD, Cisco y Juniper; por medio del envo de paquetes Router Advertisement con orgenes aleatorios. En este ataque se vale de herramientas creadas por la organizacin The Hackers Choice. La herramienta puede descargarse de la siguiente direccin Web: http://www.thc.org/thc-ipv6/ Los requerimientos bsicos de la PC donde se instalarn son: Linux con kernel 2.6 o superior Arquitectura x86 Ethernet Para instalar las herramientas hay que primero instalar las libreras necesarias para que funcionen las herramientas de HTC: @root#apt-get install libnet-pcap-perl @root#apt-get install libpcap0.8-dev

@root#apt-get install libssl-dev Ahora se puede instalar las herramientas de HTC: @root#tar xzf thc-ipv6-1.8.tar.gz @root#cd thc-ipv6-1.8 @root#make Inicio del ataque: Una vez instaladas las herramientas se puede comenzar con el ataque, el cual consiste en el envo de cientos o miles de paquetes Router Advertisement(RA) con direcciones IPv6 y MAC origen aleatorias. La vulnerabilidad a explotar es el excesivo tiempo en CPU que toma la configuracin Stateless Autoconfiguration de cada una de las direcciones IPv6 que llegan por medio de los paquetes RA. Esta vulnerabilidad existe en los sistemas operativos Windows Server 2003, 2008, 7 ,8; FreeBSD, NetBSD y en los equipos ASA Cisco. A continuacin se muestra la lista de sistemas afectados por esta vulnerabilidad, publicada por la comunidad de seguridad Security Connect de la compaa Symantec (http://www. securityfocus.com/bid/45760/info):
CVE: CVE-2010-4669 CVE-2010-4670 CVE-2010-4671 Published: Jan 11 2011 12:00AM Updated: Apr 06 2011 03:05PM Credit: vanHauser Vulnerable: Microsoft Windows XP Tablet PC Edition SP3 Microsoft Windows XP Tablet PC Edition SP2 Microsoft Windows XP Tablet PC Edition SP1 Microsoft Windows XP Tablet PC Edition Microsoft Windows XP Service Pack 3 0 Microsoft Windows XP Professional x64 Edition SP3 Microsoft Windows XP Professional x64 Edition SP2 Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Professional SP3 Microsoft Windows XP Professional SP2 Microsoft Windows XP Professional SP1 Microsoft Windows XP Professional Microsoft Windows XP Media Center Edition SP3 Microsoft Windows XP Media Center Edition SP2 Microsoft Windows XP Media Center Edition SP1 Microsoft Windows XP Media Center Edition Microsoft Windows XP Home SP3 Microsoft Windows XP Home SP2 Microsoft Windows XP Home SP1 Microsoft Windows XP Home Microsoft Windows XP Gold 0 Microsoft Windows XP Embedded Update Rollup

1.0 Microsoft Pack 2007 Microsoft Microsoft Microsoft Microsoft Microsoft 2003 SP1 Microsoft 2003 Microsoft Microsoft Microsoft

Windows 0 Windows Windows Windows Windows Windows

XP Embedded SP2 Feature XP XP XP XP XP Embedded SP3 Embedded SP2 Embedded SP1 Embedded 64-bit Edition Version

Windows XP 64-bit Edition Version Windows XP 64-bit Edition SP1 Windows XP 64-bit Edition Windows XP Gold Tablet Pc XP Gold Professional XP Gold Media Center XP Gold Embedded XP 0 XP 0 XP - Gold X64 XP - Gold Home XP - Gold 64-Bit-2002 Vista x64 Edition SP2 Vista x64 Edition SP1 Vista x64 Edition 0 Vista Ultimate 64-bit Vista Ultimate 64-bit Vista Ultimate 64-bit Vista Home Premium 64-bit Vista Home Premium 64-bit Vista Home Premium 64-bit Vista Home Basic 64-bit Vista Home Basic 64-bit Vista Home Basic 64-bit Vista Home Basic 64-bit Vista Home Basic 64-bit Vista Enterprise 64-bit Vista Enterprise 64-bit Vista Enterprise 64-bit Vista Vista Vista Vista Vista Vista December December December December December Business CTP X64 CTP SP2 CTP SP1 CTP Gold CTP 64-bit

Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows edition SP2 Microsoft Windows edition SP1 Microsoft Windows edition 0 Microsoft Windows edition SP2 Microsoft Windows edition SP1 Microsoft Windows edition 0 Microsoft Windows edition Sp2 X64 Microsoft Windows edition SP2 Microsoft Windows edition Sp1 X64 Microsoft Windows edition SP1 Microsoft Windows edition 0 Microsoft Windows edition SP2 Microsoft Windows edition SP1 Microsoft Windows edition 0 Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows edition SP2 Microsoft Windows edition SP1 Microsoft Windows edition 0 Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows

Vista Business 64-bit Vista Business 64-bit Vista Vista Vista Vista Vista Vista Ultimate SP2 Ultimate SP1 Ultimate SP2 Beta SP2 SP1

Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft

Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows

Vista Home Premium SP2 Vista Home Premium SP1 Vista Home Premium Vista Home Basic SP2 Vista Home Basic SP1 Vista Home Basic Vista Enterprise SP2 Vista Enterprise SP1 Vista Enterprise Vista Business SP2 Vista Business SP1 Vista Business Vista beta 2 Vista Beta 1 Vista Beta Vista 3.0 Vista 2.0 Vista 1.0 Vista 0 Server 2008 Standard

Edition X64 Microsoft Windows Server 2008 Edition SP2 Microsoft Windows Server 2008 Edition Release Candidate Microsoft Windows Server 2008 Edition Itanium Microsoft Windows Server 2008 Edition 0 Microsoft Windows Server 2008 Edition - Sp2 Web Microsoft Windows Server 2008 Edition - Sp2 Storage Microsoft Windows Server 2008 Edition - Sp2 Hpc Microsoft Windows Server 2008 Edition - Gold Web Microsoft Windows Server 2008 Edition - Gold Storage Microsoft Windows Server 2008 Edition - Gold Standard Microsoft Windows Server 2008 Edition - Gold Itanium Microsoft Windows Server 2008 Edition - Gold Hpc Microsoft Windows Server 2008 Edition - Gold Enterprise Microsoft Windows Server 2008 Edition - Gold Datacenter Microsoft Windows Server 2008 Edition - Gold Microsoft Windows Server 2008 Microsoft Windows Server 2008 Microsoft Windows Server 2008 0 Microsoft Windows Server 2008 Systems SP2 Microsoft Windows Server 2008 Systems R2 Microsoft Windows Server 2008 Systems 0 Microsoft Windows Server 2008 Systems SP2 Microsoft Windows Server 2008 Systems R2 Microsoft Windows Server 2008 Systems 0 Microsoft Windows Server 2008 Systems SP2 Microsoft Windows Server 2008

Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard Standard R2 x64 0 R2 Itanium 0 R2 Datacenter for x64-based for x64-based for x64-based for Itaniumbased for Itaniumbased for Itaniumbased for 32-bit for 32-bit

Systems 0 Microsoft Windows Server 2008 Edition SP2 Microsoft Windows Server 2008 Edition Release Candidate Microsoft Windows Server 2008 Edition 0 Microsoft Windows Server 2008 Edition SP2 Microsoft Windows Server 2008 Edition Release Candidate Microsoft Windows Server 2008 Edition 0 Microsoft Windows Server 2008 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 SP1 Beta 1 Microsoft Windows Server 2003 SP1 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Edition Microsoft Windows Server 2003 Edition SP2 Microsoft Windows Server 2003 Edition SP1 Beta 1 Microsoft Windows Server 2003 Edition SP1 Microsoft Windows Server 2003 Edition Microsoft Windows Server 2003 0 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Edition SP2 0 Microsoft Windows Server 2003 Edition SP1 0 Microsoft Windows Server 2003 Edition 0 Microsoft Windows Server 2003 Edition SP2 0 Microsoft Windows Server 2003 Edition SP1 0 Microsoft Windows Server 2003 Edition 0 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Edition SP2 Microsoft Windows Server 2003 Edition Microsoft Windows Server 2003 Edition Itanium Sp2 Itanium Microsoft Windows Server 2003 Edition Itanium SP2 Microsoft Windows Server 2003 Edition Itanium SP1 Beta 1 Microsoft Windows Server 2003 Edition Itanium SP1 Microsoft Windows Server 2003 Edition Itanium 0 Microsoft Windows Server 2003 Edition SP1 Beta 1 Microsoft Windows Server 2003 Edition SP1 Microsoft Windows Server 2003 Edition

Enterprise Enterprise Enterprise Datacenter Datacenter Datacenter SP2 x64 x64 Web Beta SP2 SP1 Edition

Web Edition Web Edition Web Edition Standard x64 Standard Standard Standard Standard R2 web Edition R2 Standard Edition 0 R2 Enterprise R2 Enterprise R2 Enterprise R2 Datacenter R2 Datacenter R2 Datacenter Itanium SP2 Itanium SP1 Itanium 0 Enterprise x64 Enterprise x64 Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise

Microsoft Windows Server Edition SP2 Microsoft Windows Server Edition Microsoft Windows Server Edition Itanium SP1 Beta Microsoft Windows Server Edition Itanium SP1 Microsoft Windows Server Edition Itanium 0 Microsoft Windows Server Edition SP1 Beta 1 Microsoft Windows Server Edition SP1 Microsoft Windows Server Edition Microsoft Windows Server Microsoft Windows Server Microsoft Windows Server Microsoft Windows Server Cluster Microsoft Windows Server Microsoft Windows Server Microsoft Windows Server SDK Microsoft Windows Server Cluster Microsoft Windows Server Microsoft Windows Server Standard Microsoft Windows Server Enterprise Microsoft Windows Server Datacenter Microsoft Windows Server Microsoft Windows Server Microsoft Windows Server Microsoft Windows Server Microsoft Windows Server Microsoft Windows Server Microsoft Windows Server Cluster Microsoft Windows Server Microsoft Windows Server Standard Microsoft Windows Server Enterprise Microsoft Windows Datacenter Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Cluster Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Microsoft Windows Systems 0 Microsoft Windows Microsoft Windows Microsoft Windows

2003 Datacenter x64 2003 Datacenter x64 2003 Datacenter 1 2003 Datacenter 2003 Datacenter 2003 Datacenter 2003 Datacenter 2003 Datacenter 2003 2003 2003 2003 Sp2 Sp2 Sp2 Sp2 Storage Enterprise Datacenter Compute

2003 SP2 2003 Sp1 Storage 2003 SP1 Platform 2003 Sp1 Compute 2003 SP1 2003 R2 X642003 R2 X642003 R2 X642003 2003 2003 2003 2003 2003 2003 R2 R2 R2 R2 R2 R2 R2 X64 Storage Standard Platfom SDK Enterprise Datacenter Compute

2003 R2 2003 Gold X642003 Gold X64-

Server 2003 Gold X64Server Server Server Server Server Server Server 2003 2003 2003 2003 2003 2003 2003 Gold Gold Gold Gold Gold Gold Gold X64 Storage Standard Itanium Enterprise Datacenter Compute

Server 2003 Gold Server 2008 R2 7 XP Mode 0 7 Ultimate 0 7 Starter 0 7 Professional 0 7 Home Premium 0 7 for x64-based Systems 0 7 for Itanium-based 7 for 32-bit Systems 0 7 RC 7 beta

Microsoft Windows 7 Cisco PIX/ASA 8.1(2.3) Cisco PIX/ASA 8.1(2.19) Cisco PIX/ASA 8.1(2)19 Cisco PIX/ASA 8.1(2)16 Cisco PIX/ASA 8.1(2)15 Cisco PIX/ASA 8.1(2)14 Cisco PIX/ASA 8.1(2)12 Cisco PIX/ASA 8.1(2) Cisco PIX/ASA 8.1(1)5 Cisco PIX/ASA 8.1(1)4 Cisco PIX/ASA 8.1(1)2 Cisco PIX/ASA 8.1(1)13 Cisco PIX/ASA 8.1(1)1 Cisco PIX/ASA 8.1 Cisco PIX/ASA 8.0(4.9) Cisco PIX/ASA 8.0(4.28) Cisco PIX/ASA 8.0(4)7 Cisco PIX/ASA 8.0(4)6 Cisco PIX/ASA 8.0(4)5 Cisco PIX/ASA 8.0(4)28 Cisco PIX/ASA 8.0(4)25 Cisco PIX/ASA 8.0(4)24 Cisco PIX/ASA 8.0(4)23 Cisco PIX/ASA 8.0(4)22 Cisco PIX/ASA 8.0(4) Cisco PIX/ASA 8.0(3)9 Cisco PIX/ASA 8.0(3)15 Cisco PIX/ASA 8.0(3)14 Cisco PIX/ASA 8.0(3)10 Cisco PIX/ASA 8.0(3) Cisco PIX/ASA 8.0(2)17 Cisco PIX/ASA 8.0(2) Cisco PIX/ASA 8.0 Cisco IOS 15.0M Cisco IOS 15.0M Cisco Ios 15.0(1)XA1 Cisco Ios 15.0(1)XA Cisco IOS 15.0(1)M2 Cisco IOS 15.0(1)M1 Cisco IOS 15.0(1)M1 Cisco IOS 15.0 M Cisco Ios 15.0 Cisco ASA 5500 Series Adaptive Security Appliance 8.2.2 Cisco ASA 5500 Series Adaptive Security Appliance 8.2(3) Cisco ASA 5500 Series Adaptive Security Appliance 8.2(2.17) Cisco ASA Appliance Cisco ASA Appliance Cisco ASA Appliance Cisco ASA Appliance Cisco ASA Appliance Cisco ASA Appliance Cisco ASA Appliance Cisco ASA Appliance Cisco ASA Appliance Cisco ASA Appliance Cisco ASA 5500 Series 8.2(2.13) 5500 Series 8.2(2.10) 5500 Series 8.2(2.1) 5500 Series 8.2(2) 5500 Series 8.2(1.5) 5500 Series 8.2(1.2) 5500 Series 8.2(1.16) 5500 Series 8.2(1.15) 5500 Series 8.2(1.10) 5500 Series 8.2 5500 Series Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security

Appliance 8.1(2.46) Cisco ASA 5500 Series Appliance 8.1(2.45) Cisco ASA 5500 Series Appliance 8.1(2.44) Cisco ASA 5500 Series Appliance 8.1(2.40) Cisco ASA 5500 Series Appliance 8.1(2.39) Cisco ASA 5500 Series Appliance 8.1(2.37) Cisco ASA 5500 Series Appliance 8.1(2.35) Cisco ASA 5500 Series Appliance 8.1(2.29) Cisco ASA 5500 Series Appliance 8.1 Cisco ASA 5500 Series Appliance 8.0(5.7) Cisco ASA 5500 Series Appliance 8.0(5.6) Cisco ASA 5500 Series Appliance 8.0(5.2) Cisco ASA 5500 Series Appliance 8.0(5.19) Cisco ASA 5500 Series Appliance 8.0(5.17) Cisco ASA 5500 Series Appliance 8.0(5.15) Cisco ASA 5500 Series Appliance 8.0(5.1) Cisco ASA 5500 Series Appliance 8.0(4.44) Cisco ASA 5500 Series Appliance 8.0(4.38) Cisco ASA 5500 Series Appliance 8.0 Not Vulnerable: Cisco

Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Adaptive Security Ios 15.0(1)XA5

Como se puede ver esta herramienta nos permite apreciar que existe muchos objetivos vulnerables para este tipo de ataque; segn las pruebas realizadas en la pgina web samsclass se pudo determinar que 600 paquetes RAs son suficientes para que una PC que corre Windows 7 ya sobrepase su capacidad de procesamiento y todos sus procesos comiencen a congelarse. Los sistemas operativos: OpenBSD, Ubuntu y MAC, no son vulnerables a este tipo de ataque pues ignoran los paquetes RA a partir del dcimo paquete que llega. Para iniciar con el ataque solo necesitamos colocar en la consola el siguiente comando: @root#flood_router6 eth0 Con esto indicamos que vamos a envar un continuo flujo de paquetes RA con direcciones origen MAC e IPv6 aleatorias hacia la red local. En la figura 7 se puede ver como sube el nivel de utilizacin del CPU de una PC Windows 7 al que se est atacando por medio del envo masivo de paquetes Router Advertisement.

Figura 7. Utilizacin de CPU de PC atacada por medio de envo masivo de paquetes RA