Рубрика: Без рубрики

В сетях IPv4 присутствуют угрозы безопасности, даже если использование IPv6 в таких сетях не планировалось. Давайте рассмотрим атаку на рабочие станции, работающие с конфигурацией IPv6 по умолчанию в обычной сети IPv4. Что произойдёт, если любая современная ОС получит пакет RA? Так как любая система сейчас поддерживает IPv6 и ожидает такие пакеты, то она сразу превратится в так называемый дуал стек. 

Это ситуация, когда в пределах одной ОС используется и IPv4, и IPv6 одновременно. При этом сразу же открывается целый ряд ранее недоступных векторов атаки. Например, можно будет сканировать цель, ведь IPv4 обычно фильтруется, а про IPv6 зачастую не думают вообще.

Кроме того, в большинстве ОС IPv6 имеет приоритет над IPv4. Если, например, придёт запрос DNS, то большая вероятность, что IPv6 сработает раньше. Это открывает огромный простор для различных MiTM атак. Для проведения одной из самых эффективных потребуется внедрить дополнительный IPv6 маршрутизатор нарушителя. Каждый маршрутизатор IPv6 должен присоединяться к специальной мультикаст-группе. Это FF02::2. Как только маршрутизатор присоединится к такой мультикаст-группе, он сразу же начинает рассылать сообщения RA. По умолчанию маршрутизаторы Cisco рассылают их каждые 200 сек. Ещё один нюанс состоит в том, что клиентам не нужно ждать 200 сек, они отправляют RS-сообщение — Router Solicitation — на этот мультикаст-адрес и таким образом незамедлительно требуют всю информацию. Весь этот механизм называется SLAAC — Stateless Address Autoconfiguration. И соответственно была разработана атака на него с очевидным названием SLAAC attack.

Атака заключается в том, что нужно установить свой маршрутизатор (не стоит понимать буквально, в роли маршрутизатора может выступать любой линукс или даже виртуальная машина), который будет рассылать сообщения RA, но это только полдела. Также нарушителю потребуется запустить DHCPv6 сервер, DNSv6 и NAT64-транслятор. В качестве службы, способной рассылать сообщения RA, можно использовать Router Advertisment Deamon (radvd), это реализация IPv6 маршрутизатора с открытым кодом. В итоге после правильной конфигурации всех служб цель получит RA и превратится в дуал стек и весь трафик цели будет абсолютно незаметно идти через IPv6.

На маршрутизаторе нарушителя этот трафик будет транслироваться службой NAT в обычный IPv4 и затем уже уходить на настоящий маршрутизатор. DNSv6-запросы также будут иметь приоритет и также будут обрабатываться на стороне нарушителя.

Таким образом, нарушитель успешно становится посередине и может наблюдать весь трафик своей цели, а цель при этом ничего даже и не будет подозревать. Такая атака несёт максимальную угрозу, работает даже при использовании IPv4-файрволов и статических ARP-записей, когда, казалось бы, воздействовать на цель нет никакой возможности.      

Если рассмотреть внешний периметр, то можно обнаружить, что многие провайдеры или компании, а также банковские учреждения, которые уже начали внедрять IPv6, не спешат закрывать свои административные порты (SSH, RDP, Telnet, VNC и так далее). И если IPv4 уже почти все стараются хоть как-то фильтровать, то про IPv6 или забывают, или не знают, что их нужно защищать так же, как и в случае с IPv4. И если можно отчасти понять используемый IPv4 телнет — например, ограниченная память или процессор не позволяют в полной мере использовать SSH, — то каждое устройство, которое поддерживает сегодня IPv6, просто гарантированно будет поддерживать и протокол SSH. Бывают случаи, когда провайдер оставляет открытыми административные порты IPv6 на своих маршрутизаторах. Получается, что даже операторы связи более уязвимы к IPv6 атакам. Происходит это по различным причинам. Во-первых, хороших IPv6 файрволов ещё не так много, во-вторых, их ещё нужно где-то купить и настроить. Ну и самая главная причина — многие даже и не подозревают об угрозах IPv6. Также бытует мнение, что пока нет IPv6 хакеров, малвари и IPv6 атак, то и защищаться вроде как не от чего.

Если вспомнить IPv4, то там найдётся три атаки, которые эффективны и по сей день в локальных сетях, — это ARP spoofing, DHCP snooping, а также ICMP-перенаправления.

В случае же протокола IPv6, когда нарушитель находится в одном локальном сегменте с целью атаки, то есть кто-либо из сотрудников компании или банка, ситуация, как ни странно, остаётся примерно такой же. Вместо ARP появился NDP, на смену DHCP пришла автоконфигурация, а ICMP просто обновился до ICMPv6. Важно то, что концепция атак осталась прежней, но кроме того, добавились новые механизмы вроде DaD, и, соответственно, сразу же появились новые векторы проникновений и новые атаки.

Протокол обнаружения соседей (Neighbor Discovery Protocol, NDP) — это протокол, с помощью которого IPv6 машины могут обнаружить друг друга, определить адрес канального уровня соседнего хоста (вместо ARP, который использовался в IPv4), обнаружить маршрутизаторы или что-то ещё. Чтобы этот механизм работал с использованием мультикаста каждый раз, когда назначается линк-локал или глобал IPv6 адрес на интерфейс, хост присоединяется к мультикаст-группе. Собственно, используется всего два типа сообщений в процессе neighbor discovery: запрос информации, или NS (neighbor solicitation), и предоставление информации — NA (neighbor advertisment).

В результате нарушителю нужно всего лишь запустить утилиту parasite6, которая будет отвечать на все NS, пролетающие в отдельно взятом сегменте. Перед этим нужно включить маршрутизацию (echo 1 > /proc/sys/net/ipv6/conf/all/forwarding), в противном случае произойдет не MiTM перехват трафика, а Black Hole.

Минусами такого внедрения является то, что нарушитель будет пытаться отравить ND-кеш всех рабочих станций, что, во-первых, шумно, во-вторых, затруднительно в случае больших объёмов трафика. Поэтому можно взять scapy и провести это внедрение вручную и прицельно. Сначала необходимо заполнить все нужные нам переменные

Вначале идут адреса канального уровня, в качестве адреса отправителя выступает MAC адрес нарушителя, в качестве получателя — MAC адрес цели.

Далее задаются адреса сетевого уровня, адрес отправителя подменяется (на самом деле это адрес маршрутизатора), адрес получателя — это IPv6 адрес цели.

Третьей переменной нужно указать правильно собранный пакет NA, где ICMPv6ND_NA — это ICMPv6 Neighbor Discovery — Neighbor Advertisment, а tgt — это собственно адрес маршрутизатора, который анонсируется как адрес нарушителя. Важно правильно установить все флаги: R=1 означает, что отправитель является маршрутизатором, S=1 скажет о том, что анонс отправляется в ответ на NS-сообщение, ну а O=1 — это так называемый override-флаг.

Следующая переменная — это Link local адрес ICMPv6NDOptDstLLAddr (ICMP Neighbor Discovery Option — Destination Link-Layer). Это MAC адрес нарушителя.

>>> packet=ether/ipv6/na/lla

Осталось собрать пакет в единое целое, и можно отправлять такой пакет в сеть.

>>> sendp(packet,loop=1,inter=3)

Значение loop=1 говорит о том, что отправлять нужно бесконечно, через каждые 3 секунды.

В итоге через некоторое время цель обновит свой кеш соседей и будет отправлять весь свой трафик, который предназначается маршрутизатору, через машину нарушителя. Нужно отметить, что для того, чтобы создать полноценный MiTM, потребуется запустить ещё один экземпляр scapy, где адреса будут инвертированы для отравления маршрутизатора. Как видишь, всё очень просто.

Также стоит отметить, что в IPv6 не существует понятия gratuitous NA, как это было во времена ARP (gratuitous ARP — это ARP-ответ, присланный без запроса), но вместе с тем кеш ND живёт недолго и быстро устаревает. Это было разработано, чтобы избежать отправки пакетов на несуществующие MAC адреса. Поэтому в сети IPv6 обмен сообщениями NS — NA происходит очень часто, что сильно играет на руку любому нарушителю.