Con IPv4 el protocolo ICMP no es esencial para la comunicación, pero en IPv6 los mecanismos de configuración más importantes se realizan a través de ICMPv6. Por este motivo el protocolo ICMPv6 es un objetivo clave para los atacantes, especialmente en entornos de red local. Los ataques basados en este protocolo se pueden clasificar por el mecanismo que utilizan: SLAAC, Neighbor
Discovery, detección de direcciones duplicadas y redirección.
Satateless Address Autoconfiguration (SLAAC)
Como vimos en el Capítulo 2, mediante este mecanismo un host puede configurarse de forma autónoma para comunicarse en una red. Aunque esto ofrece grandes beneficios y es uno de las principales mejoras introducidas en IPv6, también conlleva importantes riesgos de seguridad que han derivado en la aparición de varios tipos de ataques.
Con este modo de funcionamiento, los routers anuncian su dirección mediante mensajes Router Advertisement (RA). Así, el router manda periódicamente mensajes RA para que los host puedan configurarse su propia dirección y tabla de routing a partir de la información que transporta. Dado que no se emplea ningún mecanismo de autenticación, un atacante podría capturar estos
indicando una dirección de capa de enlace falsa. Esto causaría una denegación de servicio ya que el resto de hosts enviarían la información a una dirección falsa. En la Figura 3.2 se puede ver el esquema de este ataque, dónde el atacante anuncia la dirección MAC falsa (XX:XX:XX:XX:XX:Xe):
Figura 3.2. Ataque mediante RA falso
Otro ataque se trata de hacer flooding (inundación) de mensajes RA con direcciones aleatorias para que los equipos realicen una gran cantidad de operaciones necesarias para la configuración de direcciones. Esto hace aumentar el consumo de CPU al 100%, inutilizando por completo el equipo [34].
Neighbor Discovery
El protocolo ARP para descubrimiento de vecinos utilizado en IPv4 recae ahora en ICMPv6 a través de los mensajes Neighbor Advertisement (NA) y Neighbor
Solicitation (NS), englobados en el protocolo Neighbor Discovery (NDP). Como
ocurría con SLAAC, NDP tampoco utiliza autenticación por lo que es fácil suplantar la identidad de otro usuario. Un primer ataque sería similar al comentado sobre
SLAAC, pero en este caso enviando mensajes NA con la dirección IPv6 de la víctima y una dirección de capa de enlace falsa. De esta forma se crea una denegación de servicio sobre la víctima dado que los mensajes se enviarán a una dirección de capa de enlace que no corresponde con la real.
En un segundo ataque sobre NDP, un usuario malicioso podría hacer
spoofing de mensajes NA y NS. Si el atacante obtuviera la dirección MAC del router,
podría suplantar su identidad haciendo un ataque MITM (Man in the Middle, Figura 3.3) a cualquier usuario de la red local. Mediante este procedimiento el atacante podría realizar cualquier acción sobre el tráfico de la víctima.
MAC: XX:XX:XX:XX:XX:Xa IPv6: FE80:ED33::2 MAC: XX:XX:XX:XX:XX:Xc IPv6: FE80:ED33::3 ATACANTE: -MAC:XX:XX:XX:XX:XX:Xb ICMPv6 NA: -MAC origen: XX:XX:XX:XX:XX:Xb -IPv6 origen: FE80:ED33::2 -Target: FE80:ED33::2
-Link-Layer addres:XX:XX:XX:XX:XX:Xb ICMPv6 NA:
-MAC origen: XX:XX:XX:XX:XX:Xb -IPv6 origen: FE80:ED33::3 -Target: FE80:ED33::3
-Link-Layer addres:XX:XX:XX:XX:XX:Xb
Figura 3.3. Ataque man in the middle
Otro ataque que podría llevarse a cabo mediante NDP, trata de explotar el alto espacio de direccionamiento que soporta IPv6. Una configuración de red típica permite tiene un prefijo de 64 bits, lo que nos da opción de configurar 264
direcciones IPv6. Los routers deben contener una tabla actualizada con cada dirección configurada en la red, necesaria para reenviar el tráfico. Sin embargo, el tamaño de estas tablas no es suficiente para almacenar todo el rango de direcciones, lo que permite a un atacante enviar un flooding de mensajes NA con direcciones aleatorias de forma que se llene la tabla NDP. Así, ningún usuario un solo host ocuparía todos los recursos, denegando el acceso a la red a nuevos
usuarios (DoS). El comportamiento de los equipos ante esta situación anómala puede ser inesperado, pudiendo afectar a otras interfaces de red [35].
Detección de direcciones duplicadas
El mecanismo DAD (Duplicate Address Detection) forma parte del protocolo SLAAC y permite que los hosts comprueben si una dirección IPv6 autoconfigurada está siendo utilizada por otro host, mediante mensajes NS. De nuevo no se utiliza autenticación y un atacante podría modificar estos mensajes para crear una denegación de servicio sobre un usuario. Simplemente tendría que responder a los mensajes NS utilizados en el mecanismos DAD, indicando que la dirección está ocupada. Si esto se hace para todos los mensajes, el host no podría configurarse nunca una dirección IPv6.
Redirect
La redirección en IPv6 permite a un router indicar a un host de que existe una mejor ruta hacia otro host. El proceso es como sigue: un host HA tiene configurada una ruta por defecto hacia el router R2 y en la red existe el otro router R1. En algún momento R2 detecta que existe una mejor ruta de salida para HA que pasa por R1. Cuando HA necesita enviar un paquete, lo hace por R2 y este le informa de que la ahora la mejor ruta es a través de R1 mediante un mensaje ICMPv6 redirect. HA cambia su tabla de rutas.
En este caso si existe un mecanismo de protección: una copia del mensaje que causa la redirección se debe incluir en el mensaje ICMPv6 redirect. De esta forma se evita que un atacante envíe mensajes falsos. Sin embargo, esta restricción se puede bordear fácilmente. Si el atacante envía un Ping a la víctima, éste sabe que la respuesta va a ser un mensaje ICMPv6 Echo Reply Por lo tanto, al atacante le basta con incluir este mensaje en el mensaje ICMPv6 Redirect para falsearlo.
Secure Neighbor Discovery (SEND)
Como acabamos de ver el protocolo NDP aparte de tener un destacado papel en IPv6, supone una gran superficie de ataque, siendo vulnerable a varios ataques. Es por esto que se han definido una serie de especificaciones que proporcionan mecanismos de seguridad al protocolo NDP [36].