Clever Geek Handbook

銃口でのIPv6





どうしお今ではIPv6を芚えおいるのでしょうか 実際、IPv4アドレスの最埌のブロックが地域のレゞストラに配られたずいう事実にもかかわらず、むンタヌネットは倉曎なしで機胜したす。 実際、IPv6は1995幎に初めお登堎し、そのタむトルは1998幎にRFCで完党に説明されたした。 なぜこれが重芁なのですか はい。IPv4ず同じ信頌スキヌムで、脅嚁を考慮せずに開発されたためです。 たた、開発プロセスには、より高速なプロトコルを䜜成し、倚数のアドレスを䜿甚するタスクがありたした。





成長率に぀いお簡単に



IPアドレスおよび自埋システムの地域レゞストラが提䟛するグラフを芋るず、2014幎9月1日の時点で、登録枈みIPv6自埋システムの数はすでに20を超えおいるこずがわかりたす。 䞀芋、これは深刻な数字です。 しかし、䞖界のIPv6トラフィックの実際の量のみを考慮するず、文字通り3幎前はわずか0.5でしたが、珟圚では党䞖界のむンタヌネットトラフィックの玄6です。





図 1. IPv6トラフィックの実際の量



最も保守的な芋積もりによるず、2015幎末たでに、IPv6トラフィックのシェアは少なくずも10に達するでしょう。 そしお成長は続くでしょう。 さらに、地域のレゞストラ向けの特別なプロトコルが最近発効したした。 IPv4アドレスの新しいブロックは、䌚瀟がIPv6を既に実装しおいるこずを蚌明した堎合にのみ発行されたす。 したがっお、誰かが癜いIPv4アドレスのサブネットを必芁ずする堎合、IPv6を実装する必芁がありたす。 この事実は、IPv6システムのさらなる成長ずトラフィックの増加にも圹立ちたす。 䞀般ナヌザヌに぀いおは、公正なIPv6アドレスを゚ンドナヌザヌに提䟛するプロバむダヌがすでに䞖界䞭に珟れ始めおいたす。 したがっお、IPv6はたすたす䞀般的になり、これを無芖するこずはできたせん。



IPv6の新機胜



最初に目を匕くのはアドレスです。 それらは長くなり、16進数で蚘述され、芚えにくい。 ただし、IPv6をしばらく䜿甚した埌、特に短瞮圢匏の衚蚘を䜿甚しおいる堎合、アドレスは䞀般に蚘憶に残るこずがわかりたす。 IPv4は32ビットアドレスを䜿甚し、4,294,967,2962 ^ 32のアドレス空間を可胜な䞀意のアドレスに制限するこずを思い出させおください。 IPv6の堎合、128ビットがすでにアドレスに割り圓おられおいたす。 したがっお、2 ^ 128個のアドレスを䜿甚できたす。 これらは、地球の衚面䞊の各原子に察しお玄100個のアドレスです。 ぀たり、アドレスは十分に長い間十分である必芁がありたす。



アドレスは、16進倀の8぀のグルヌプずしお曞き蟌たれたす。 たずえば、IPv6アドレスは2001DB811 :: 1のようになりたす。 1぀のむンタヌフェむスに耇数のIPv6アドレスが存圚する可胜性があるこずに泚意するこずが重芁です。これは暙準的な状況です。 たずえば、むンタヌフェむスにプラむベヌトアドレス、ホワむトアドレスがあり、別のアドレスがDHCPv6経由で到着する堎合がありたす。 そしお、すべおが適切に機胜し、各タスクに察しお独自のアドレスが䜿甚されたす。 䞖界に出かける必芁がある堎合は、癜い䜏所が䜿甚されたす。 次のサヌバヌに必芁ですか プラむベヌトアドレスを通過したす。 これはすべお、宛先フィヌルドの通垞の分析によっお解決されたす。



すべおのIPv6アドレスは、リンクロヌカルずグロヌバルナニキャストの2぀のグルヌプに分けられたす。 名前から、Link localは1぀のリンク内でのみ䜿甚されるアドレスであるこずは明らかです。 その埌、このようなアドレスは、自動アドレス蚭定、近隣探玢、ルヌタヌがない堎合など、倚くのメカニズムの動䜜に䜿甚されたす。 䞖界に入るには、そのようなアドレスは蚱可されおいたせん。



リンクロヌカルアドレスは、ホストがオンラむンになるずすぐに自動的に割り圓おられたす。このようなアドレスは、WindowsのAPIPAメカニズムに䌌おいたす。 このようなアドレスは垞にFE80で始たりたすが、最埌の64ビットは、䞭倮にFFFEが挿入されたポピヌアドレスに1ビットが反転したものです。 このようなアドレスを生成するメカニズムは、EUI-64ずも呌ばれたす。 その結果、ケシのアドレスは通垞すべおのホストで異なるため、アドレスは䞀意になりたす。 ただし、䞀郚のオペレヌティングシステムは、EUI-64メカニズムの代わりにランダムな識別子を䜿甚したす。



他に䜕が新しいですか



もちろん、倉曎のアドレスだけがそこで終わるわけではありたせん。 芋出しも倧幅に簡玠化されたした図2を参照。





図 2. IPv6ヘッダヌずIPv4ヘッダヌの比范



これで、ポむントAからポむントBにパケットをルヌティングするために必芁ではないすべおのものがオプションになりたした。 オプションの堎合は、IPv6ヘッダヌずTCP / UDPデヌタの間にある拡匵ヘッダヌに移動したす。 この同じ拡匵ヘッダヌ、フラグメンテヌション、IPsec、゜ヌスルヌティング、および他の倚くの機胜がすでに存圚しおいたす。



チェックサムを再蚈算する必芁がなくなったため、ルヌタヌは倧幅に簡玠化され、その結果、IPv6はIPv4よりも高速に凊理されたした。 チェックサムは完党に削陀されたした。 第䞀に、L2レベルのフレヌムにはCRCがあり、第二に、䞊にあるプロトコルTCPも配信の敎合性を保蚌したす。 その結果、ヘッダヌから䜙分なフィヌルドがスロヌされ、より簡単に、より速く、より信頌性の高いものになりたした。



自動構成およびサヌビスプロトコル



IPv6アドレスの割り圓おには、䞻に2぀のオプションがありたす。ステヌトレス自動構成-これは、ルヌタヌがネットワヌクアドレス、デフォルトゲヌトりェむ、およびその他の必芁な情報をクラむアントに送信するずきです。 したがっお、以前のDHCPが情報を配垃するための唯䞀のオプションであった堎合、IPv6では远加のオプションになりたした。



ICMP 6thバヌゞョンも芋過ごされず、倚くの機胜が远加されたした。 たずえば、ルヌタヌ怜出メカニズム—クラむアントは、ルヌタヌが䌝える内容ステヌトレス自動構成プロセスの䞀郚ずしお来るICMPv6メッセヌゞタむプ134ルヌタヌアドバタむズメントをリッスンできたす。ルヌタヌ芁請。



近隣探玢メカニズムも远加したした-これは䞀皮のARP眮換であり、ネむバヌ、ルヌタヌのポピヌアドレスを芋぀けたり、セグメント内の重耇アドレスを怜出するのにも圹立ちたす重耇アドレス怜出DaD、マルチキャストでのみ動䜜したす。 IPv6には玔粋なブロヌドキャストはありたせんが、愚かなペニヌスむッチがマルチキャスト党䜓をブロヌドキャストするこずを忘れおはなりたせん。その結果、新しいメカニズムの䞀郚がれロになりたす。



IPv6 Pentesterツヌルキット



脆匱性ず攻撃に移る前に、どのツヌルが囜防総省の兵噚庫にあるかを考えるずいいでしょう。 最近たで、IPv6およびICMPv6プロトコルを攻撃するためのナヌティリティは1セットしかありたせんでした。 これは、悪名高いMark van HauserのTHC-IPV6であり、THC-hydra bruteforceのたさに著者であり、他の䞍可欠なツヌルのホストです。 2005幎にこのトピックに真剣に興味を持ち、IPv6のプロトコルを理解したのは圌でした。 そしお最近たで、先駆者であり続けたした。



しかし、昚幎、状況は倉わり始めたした。 より倚くの研究者がIPv6に泚目するようになり、それに応じお、新しいナヌティリティず新しいスキャナヌが登堎し始めおいたす。 しかし今のずころ、THC-IPV6は䟝然ずしおPentesterナヌティリティの最高のセットです。 キットにはすでに、スキャンやミットからフラッディングやファゞングたで、さたざたなカテゎリに分類された60以䞊のツヌルが含たれおいたす。 ただし、scapyツヌルは、RFCでそのようなバリ゚ヌションが提䟛されおいなくおも、ヘッダヌ付きのパッケヌゞを手動で䜜成できるナヌティリティです。



IPv6ネットワヌクのむンテリゞェンス



タヌゲットを攻撃する前に、䜕らかの方法でそれを怜出する必芁がありたす。そのため、通垞、暙準のペンテストはラむブホストの怜玢から始たりたす。 ただし、問題がありたす。範囲党䜓をスキャンするこずはできたせん。 1秒間に100䞇パケットを送信する堎合でも、1぀のサブネットのみをスキャンするには数幎かかりたす。 その理由は、/ 64サブネットたたはプレフィックスずも呌ばれたすのみが、今日のむンタヌネット党䜓よりも倧きく、それ以䞊であるためです。 したがっお、IPv6で最も深刻な問題はタヌゲットの発芋です。



幞いなこずに、解決策がありたす。 最初に、タヌゲットペンテストオブゞェクトに属するAS自埋システムを芋぀ける必芁がありたす。 ASで所有者を怜玢できるサヌビスで十分です。これは、地域のレゞストラのサむトで盎接行うこずができたすペヌロッパのレゞストラはRIPE NCCです。 次に、特定の䌚瀟に属するAS番号がわかれば、それに割り圓おられたIPv6サブネットを既に怜玢できたす。



最も䟿利なこのような怜玢サヌビスは、Hurricane Electricbgp.he.netによっお提䟛されおいたす。 その結果、いく぀かの巚倧なサブネットを芋぀けるこずができたすが、すでに芋たように、ラむブホストをスキャンするのは非珟実的です。 そのため、頻繁に䜿甚するアドレスのリストを䜜成し、それらのアドレスで既にポむントごずにスキャンする必芁がありたす。



このような蟞曞をコンパむルするにはどうすればよいですか IPv6を既に実装しおいる䌁業のクラむアントぞのアドレスの割り圓お方法を分析するず、自動構成、手動アドレス割り圓お、DHCPv6の3぀の䞻芁なグルヌプを区別できたす。



自動構成は3぀の方法で行うこずができたすプラむバシヌオプションを䜿甚するMACアドレスに基づいお぀たり、ランダムに、たずえば週に1回倉曎、固定ランダム完党にランダム。 この状況では、ポピヌに基づいたアドレスのみをスキャンできたす。 その結果、IPv4クラスAに匹敵するサむズのサブネットが出おくる可胜性がありたす。そのようなネットワヌクで䜜業するプロセスはそれほど高速ではありたせんが、それでもかなり珟実的です。 たずえば、タヌゲット䌁業が特定のベンダヌのラップトップを倧量に䜿甚しおいるこずがわかっおいる堎合、䜏所の圢成方法に関する知識に基づいおスキャンを構築できたす。



アドレスを手動で蚭定する堎合は、ランダムに、たたは䜕らかのパタヌンに埓っおアドレスを割り圓おるこずができたす。 2番目は、もちろん、人生ではるかに䞀般的です。 パタヌンは、:: 1 、: 2 、: :: 3たたは:: 1001 、: 1002、:: 1003です。 たた、サヌバヌによっおは、サヌビスポヌトがアドレスずしお䜿甚される堎合がありたす。たずえば、Webサヌバヌはアドレス:: 280を持぀こずができたす。



DHCPv6を䜿甚する堎合、この堎合、アドレスは通垞、プヌルから順番に配垃されたす通垞のDHCPv4サヌバヌでもたったく同じ動䜜を確認できたす。 DHCPv6では、倚くの堎合、:: 1000-2000たたは:: 100-200のようなプヌルを芋぀けるこずができたす。 そのため、最終的にalive6ナヌティリティTHC-IPV6バンドルに含たれおおり、珟圚怜蚎されおいるすべおのツヌルず同様に、Kali Linuxにデフォルトで含たれおいたすを実行したす。 



# alive6 -p eth0 2001:67c:238::0-ffff::0-2 Alive: 2001:db8:238:1::2 [ICMP echo-reply] Alive: 2001:db8:238:3::1 [ICMP echo-reply] Alive: 2001:db8:238:3::2 [ICMP echo-reply] Alive: 2001:db8:238:300::1 [ICMP echo-reply] Scanned 65536 systems in 29 seconds and found 4 systems alive




このリビングマシンの怜出により、ホストアドレスを担圓する郚分のみが倉曎されたす。 このアプロヌチを䜿甚するず、以前に怜出されたサブネットでラむブホストを非垞に効果的か぀劥圓な時間内に芋぀けるこずができたす。



しかし、それだけではありたせん-もちろん、DNSを䜿甚できたす。 IPv6の出珟により、蟞曞によるずDNSゟヌン転送ずDNSブルヌトフォヌスはなくなりたせんでした。 これらすべおの手法を䞀緒に適甚するず、特定のIPv6サブネットに含たれるすべおのホストの最倧80を怜出できたす。これは非垞に優れおいたす。 1台のホストのみが䟵害された堎合、マルチキャストを䜿甚しおすべおの隣接ホストを芋぀けるこずは難しくありたせん。 同じナヌティリティalive6を実行するには、-lスむッチを䜿甚するだけで十分です。



THC-IPV6の最新機胜、特にalive6ナヌティリティから、列挙のパタヌンずしおIPv4サブネット党䜓を枡すこずにより、ラむブホストを怜玢する機胜に泚目できたす。 



 # alive6 -4 192.168.0/24




埓来のスキャンを䜿甚した堎合、実際には䜕も倉曎されおいたせん。 同じNmap、同じポヌトスキャンオプション、唯䞀の違いは、䞀床に1぀のホストしかスキャンできないこずですが、これは明らかな解決策です。



おそらく、ポヌトスキャンの唯䞀の远加手法は、最初にIPv4をスキャンしおから、これらのホストでIPv6情報を取埗するこずです。 ぀たり、攻撃察象領域のある皮の拡倧です。 このために、ipv6_neighbor metasplit補助モゞュヌルず個別のipv6_surface_analyzerスクリプトの䞡方を䜿甚できたす。 それらは同様の原則に埓っお動䜜したす-入力でIPv4サブネットを取埗し、それをスキャンし、ラむブホストを芋぀け、ポヌトの開攟性をチェックし、次にMACアドレスを決定し、そこからIPv6アドレスを蚈算し、それで䜜業を詊みたす。 時にはこれが本圓に圹立぀こずもありたすが、堎合によっおはプラむバシヌオプションIPv6アドレスが芋぀かっおも芋぀からないこずがありたす。



情報



IPv4ずARPを䜿甚する堎合、ARPキャッシュを時々芋るのは非垞に䟿利でした。 Linux、Windowsプラットフォヌムでは、これはarp -aコマンドを䜿甚しお実行できたす。

珟圚、IPv6の堎合、Linuxではip -6 neighbor showコマンドを䜿甚しお近隣を衚瀺したす。Windows環境では、netsh interface ipv6 show neighborsコマンドでこれを実行できたす。





境界脅嚁IPv6





倖郚境界を芋るず、すでにIPv6の実装を開始しおいる倚くの䌁業が急いで管理ポヌトSSH、RDP、Telnet、VNCなどを閉じおいるこずがわかりたす。 そしお、ほずんどすべおの人が䜕らかの方法でIPv4をフィルタリングしようずしおいる堎合、IPv6を忘れるか、IPv4の堎合ず同じ方法で保護する必芁があるこずを知らない。 たた、䜿甚されおいるIPv4 telnetを郚分的に理解できる堎合たずえば、メモリの制限やCPUがSSHを完党に䜿甚できない堎合、珟圚IPv6をサポヌトするすべおのデバむスは、SSHもサポヌトするこずが保蚌されたす。 ISPがルヌタヌ䞊でIPv6管理ポヌトを䞖界に公開する堎合もありたす。 プロバむダヌでさえIPv6攻撃に察しおより脆匱であるこずが刀明しおいたす。 これはさたざたな理由で発生したす。 第䞀に、倚くの優れたIPv6ファむアりォヌルがありたせん。第二に、それらを賌入しお構成する必芁がありたす。 さお、䞻な理由は、倚くの人がIPv6の脅嚁を疑うこずすらないこずです。 たた、IPv6ハッカヌ、マルりェア、IPv6攻撃はありたせんが、保護すべきものはないようです。



LAN内で埅機する脅嚁



IPv4を思い出すず、ロヌカルネットワヌクでただ有効な3぀の攻撃がありたす-ARPスプヌフィング、DHCPスプヌフィング、およびICMPリダむレクトこのクラスの攻撃に぀いおは、PHDaysでの講挔で詳しく説明したした。りェブ䞊の察応する動画。



IPv6の堎合、攻撃者が被害者ず同じロヌカルセグメントにいるずき、奇劙なこずに、状況はほが同じたたです。 ARPの代わりにNDPが登堎し、DHCPが自動構成に眮き換えられ、ICMPがICMPv6にアップグレヌドされたした。 重芁なこずは、攻撃の抂念がほずんど倉わっおいないこずです。 しかし、それに加えお、DADのような新しいメカニズムが远加され、それに応じお、新しいベクタヌず新しい攻撃がすぐに登堎したした。



近隣探玢プロトコルNDPは、IPv6ホストが盞互に発芋したり、IPv4で䜿甚されるARPの代わりに別のホストのリンク局アドレスを決定したり、ルヌタヌを発芋したりできるプロトコルです。 このメカニズムが機胜し、マルチキャストを䜿甚しお機胜するには、リンクロヌカルたたはグロヌバルIPv6アドレスがむンタヌフェむスに割り圓おられるたびに、ホストがマルチキャストグルヌプに参加したす。 実際には、2皮類のメッセヌゞのみが近隣探玢プロセスで䜿甚されたす。情報の芁求、たたはNS近隣芁請、および情報の提䟛-NA近隣広告です。

このモヌドでの盞互䜜甚は図に芋るこずができたす。 3。





図 3.スタッフィングND



その結果、攻撃者はparasite6ナヌティリティを実行するだけで枈み、単䞀のセグメントで飛行するすべおのNSに応答したす図4を参照。 その前に、転送を有効にするこずを忘れないでくださいecho 1> / proc / sys / net / ipv6 / conf / all / forwarding、そうしないず、MITM攻撃ではなくDoS攻撃が発生したす。





図 4. parasite6ナヌティリティの操䜜



このような攻撃の欠点は、攻撃者がすべおのホストのNDキャッシュをポむズニングしようずするこずです。これは、第䞀にノむズが倚く、第二に倧量のトラフィックの堎合に困難です。 したがっお、あなたは逃げるこずができ、この攻撃を手動で実行するこずができたす。 たず、必芁な倉数をすべお入力する必芁がありたす。 



 >>> ether=Ether(src="00:00:77:77:77:77", dst="00:0c:29:0e:af:c7")     ,      - ,     — - . >>> ipv6=IPv6(src="fe80::20d:edff:fe00:1", dst="fe80::fdc7:6725:5b28:e293")     ,    (     ),   —  IPv6- . >>> na=ICMPv6ND_NA(tgt="fe80::20d:edff: fe00:1", R=0, S=0, O=1)




3番目の倉数は、適切にアセンブルされたNAパケットを指定する必芁がありたす。ICMPv6ND_NAはICMPv6 Neighbor Discovery-Neighbor Advertisement、tgtはルヌタヌの実際のアドレスで、攻撃者のアドレスずしおアナりンスされたす。 すべおのフラグを正しく蚭定するこずが重芁です。R= 1は送信者がルヌタヌであるこずを意味し、S = 1はNSメッセヌゞぞの応答ずしおアナりンスが送信されるこずを瀺し、O = 1はいわゆるオヌバヌラむドフラグです。 



 >>> lla=ICMPv6NDOptDstLLAddr (lladdr="00:00:77:77:77:77")   —  Link local  ICMPv6NDOptDstLLAddr (ICMPv6 Neighbor Discovery Option — Destination Link-Layer).  - . >>> packet=ether/ipv6/na/lla      ,       . >>> sendp(packet,loop=1,inter=3)




倀loop = 1は、3秒ごずに無限に送信する必芁があるこずを意味したす。

その結果、しばらくするず、被害者は近隣のキャッシュを曎新し、ルヌタヌ宛おのすべおのトラフィックを攻撃者の手に盎接送信したす。 本栌的なMITMを䜜成するためには、scapyの別のむンスタンスを実行する必芁がありたす。scapyでは、アドレスを逆にしおルヌタヌをポむズニングしたす。 ご芧のずおり、耇雑なこずは䜕もありたせん。



IPv6には、ARPの時代のように、無償NAの抂念がないこずにも泚目する䟡倀がありたす無償ARPは芁求なしで送信されるARP応答です。 ただし、同時にNDキャッシュは長く存続せず、すぐに期限切れになりたす。 これは、存圚しないMACアドレスぞのパケット送信を回避するために蚭蚈されたした。 したがっお、IPv6ネットワヌクでは、NS-NAメッセヌゞングが非垞に頻繁に発生し、攻撃者の手に枡りたす。



゚ンドポむントの脅嚁



たた、RAに぀いお話しおいるため、゚ンドホストの脅嚁、特にIPv6での䜜業が蚈画されおいないホストの脅嚁にスムヌズに移行したす。 ぀たり、通垞のIPv4ネットワヌク䞊のデフォルトのIPv6構成で実行されおいるホストぞの攻撃を怜蚎しおください。 最新のOSがRAパッケヌゞを取埗するずどうなりたすか 珟圚、どのシステムもIPv6をサポヌトし、そのようなパケットを想定しおいるため、すぐにいわゆるデュアルスタックに倉わりたす。 これは、同じOS内でIPv4ずIPv6が同時に䜿甚される状況です。 これにより、以前はアクセスできなかった倚数のベクタヌがすぐに開きたす。 たずえば、タヌゲットをスキャンできたす。これは、通垞IPv4がフィルタヌ凊理されおおり、既にわかっおいるように、倚くの堎合、IPv6を考慮しないためです。



さらに、ほずんどのOSでは、IPv6はIPv4よりも優先されたす。 たずえば、DNSク゚リが到着した堎合、IPv6がより早く機胜する可胜性が高くなりたす。 これにより、さたざたなMITM攻撃の範囲が広がりたす。 最も効果的な方法の1぀を実行するには、悪意のあるIPv6ルヌタヌをホストする必芁がありたす。 各IPv6ルヌタヌは、専甚のマルチキャストグルヌプに参加する必芁がありたす。 これはFF02 :: 2です。 ルヌタヌは、このようなマルチキャストグルヌプに参加するずすぐに、メッセヌゞの送信を開始したす-RA。 Ciscoルヌタヌは、デフォルトで200秒ごずに送信したす。 もう1぀のニュアンスは、クラむアントが200秒埅぀必芁がないこずです。クラむアントはこのマルチキャストアドレスにRSメッセヌゞルヌタヌ芁請を送信するため、すべおの情報がすぐに必芁です。 このメカニズム党䜓は、SLAAC-ステヌトレスアドレス自動蚭定ず呌ばれたす。 それに応じお、SLAAC攻撃ずいう名前で攻撃が開発されたした。



攻撃は、RAメッセヌゞを送信するルヌタヌをむンストヌルする必芁があるこずです文字通り、Linuxたたは仮想マシンでさえルヌタヌずしお機胜するこずはできたせん。しかし、これは戊いの半分にすぎたせん。 たた、攻撃者はDHCPv6サヌバヌ、DNSv6およびNAT64トランスレヌタヌを起動する必芁がありたす。 RAメッセヌゞを送信できるサヌビスずしお、ルヌタヌアドバタむズデヌモンradvdを䜿甚できたす。これはIPv6ルヌタヌのオヌプン゜ヌス実装です。 その結果、すべおのデヌモンが正しく構成された埌、被害者はRAを受け取り、デュアルスタックになり、被害者のすべおのトラフィックは完党に目に芋えないようにIPv6を通過したす。



攻撃者のルヌタヌでは、このトラフィックはボリュヌムによっお通垞のIPv4に割り蟌たれ、実際のルヌタヌに送られたす。 DNSv6ク゚リも優先され、攻撃者偎でも凊理されたす。



したがっお、攻撃者は正垞に䞭間になり、すべおの被害者のトラフィックを監芖できたす。 そしお、被害者は䜕も疑いたせん。 このような攻撃は最倧の脅嚁をもたらしたす。IPv4ファむアりォヌルず静的ARPレコヌドを䜿甚しおいる堎合でも、被害者に圱響を䞎える方法がないず思われる堎合に機胜したす。



IPv6を保護する方法



䞊蚘の攻撃からの保護に぀いお説明する堎合、境界では、すべおのトラフィックを慎重にフィルタリングし、未䜿甚のサヌビスを無効にする必芁があるこずが最初に明らかになりたす。管理サヌビスには特に泚意を払う必芁がありたす。 ICMPv6サヌビスプロトコルに向けられたロヌカル攻撃の圱響を枛らすために、倧芏暡なネットワヌクをサブネットに分割するマむクロセグメンテヌションずも呌ばれるこずにより、そのような攻撃の衚面を制限できたす。 同じネットワヌクむンフラストラクチャを耇数のvlaneに分割し、vlanごずに個別のIPv6プレフィックスを付けるこずができたす。 この堎合、攻撃者は同じVLAN内にのみ存圚するホストを攻撃できるため、攻撃による損害を倧幅に制限できたす。





図 5. SLAAC攻撃スキヌム





図 6. SLAAC攻撃の結果



それずは別に、停のRAメッセヌゞに察する保護がありたす。これは、ご存じのずおり、ルヌタヌからのみ送信されるべきものです。 シスコは、ルヌタアドバタむズガヌドず呌ばれる機胜を実装したした。これは、朜圚的に安党でないポヌトを個別にマヌクするこずにより、信頌できないRAメッセヌゞの挿入を防ぎたす。 ぀たり、RAパケットはナヌザヌポヌトから単に受け入れられたせん。 この機胜は、DHCPスヌヌピングず同様に機胜したす。 唯䞀の欠点は、このような機胜が特定のクラスのハヌドりェア2960S、3560、3750シリヌズのCatalystでのみ利甚できるこずです。さらに、DHCPv6ガヌドずNDPスヌヌピングは2012幎に登堎したした。 。 これらの保護メカニズムは、Catalyst 4500/4948および7600シリヌズルヌタで䜿甚できたす。



゚ンドホストの保護を怜蚎する堎合、Windowsのすべおの最新バヌゞョンはRAメッセヌゞの凊理を完党に無効にするこずができたす。 すべおのIPv6パラメヌタヌを手動で構成する堎合、これは適切なオプションになる可胜性がありたすが、IPv6の暙準的なメカニズムを倚少壊したす。 コマンドを䜿甚したむンタヌフェヌス䞊で、非垞に簡単にオフになりたす 



 netsh int ipv6 set int X routerdiscovery=disabled




Xはむンタヌフェむスのむンデックスですnetsh int ipv6 show intコマンドでIPv6むンタヌフェむスのむンデックスを衚瀺できたす。 結果は、netsh int ipv6 show int Xコマンドで確認されたす。



IPv6攻撃の怜出に関する状況を考慮するず、䞀般に、すべおが問題ありたせん。 IPv6攻撃の怜出は簡単ですが、今のずころ防ぐのは困難です。



話を締めくくる



也燥残留物には䜕が含たれおいたすか 刀明したように、IPv6自䜓は安党ではありたせんが、IPv4よりも挏れやすくはありたせん。 問題は、このプロトコルに関する知識ず経隓の䞍足にありたす。 境界でIPv6をフィルタリングし、゚ンドデバむスで䜿甚されおいない堎合はオフにする必芁がありたす。 IPv6ではIPsecが必芁であるため、倚くの人がIPv6はIPv4よりも安党だず考えおいたす。 しかし、これは神話です。 はい、IPsecはIPv6環境ですぐに機胜したすが、必須ではありたせん。 IPv6は、あるこずをより良くし、他のこずをより悪くしたすが、ほずんどのこずは誰もが慣れおいるものずは異なりたす。 蚀い換えれば、IPv6はIPv4ほど安党ではなく、IPv6は単に䞀意であり、独自のセキュリティ䞊の懞念を抱えおいたす。



投皿者Alexander Dmitrienko、 PentestIT







2014幎11月から最初にHacker誌に掲茉されたした。



ハッカヌを賌読する











More articles:


All Articles