Università degli Studi di Pavia Facoltà di Ingegneria

Transcript

1 Università degli Studi di Pavia Facoltà di Ingegneria Corso di Laurea in Ingegneria Elettronica e Telecomunicazioni Indirizzo Telecomunicazioni Il protocollo IPv6: considerazioni sulla sicurezza Relatore: Prof. Lorenzo Favalli Correlatore: Dott. Emanuele Goldoni Tesi di Laurea di: Daniele De Vecchi Matricola: /92 Anno accademico

2

3 La permeabilità e la diffusione delle reti sono oramai sotto gli occhi di tutti; la maggior parte delle operazioni che prima richiedeva uno spostamento fisico, ora può essere svolta comodamente a casa mediante un qualsiasi dispositivo che consenta la connessione a internet. A causa della moltitudine di utenti connessi, la sicurezza assume un ruolo fondamentale sia per proteggere i dati dell utente sia per garantire un servizio continuo ed efficiente. Non è possibile conoscere gli scopi di tutti gli utilizzatori, tra i quali si possono nascondere dei malintenzionati. Con il passare degli anni la comunità scientifica ha compreso che il protocollo IPv4, nato anni prima, non sarebbe stato in grado di esaurire tutte le richieste previste. E stato quindi concepito un nuovo protocollo nel 1998, IPv6, atto a sostituirlo e soprattutto migliorarlo nelle situazioni critiche emerse. Attualmente IPv6 è implementato in molti sistemi operativi ma fatica ancora a diffondersi a macchia d olio; una spinta dovrebbe venire dall ormai esaurito spazio di indirizzamento di IPv4 che impedisce la crescita. Lo scopo di questa tesi è un intersezione tra IPv6 e i problemi riguardanti la sicurezza; con il nuovo protocollo dietro l angolo, diventa necessario conoscere e porre rimedio ai problemi, evitando conseguenze più gravi in futuro. Gli studi di molti ricercatori e aziende produttrici vertono proprio sull individuazione dei bachi, utilizzabili da malintenzionati per mettere a rischio sia i servizi riservati agli utenti, sia i dati trasmessi. Tutto quanto descritto di seguito non è fatto per provocare danni al singolo utente, ma bensì per aumentarne la sicurezza. Il primo capitolo è dedicato alla descrizione teorica dei protocolli coinvolti nello scambio di informazioni tra stazioni. In particolare, la prima parte spiega i livelli concettuali in cui è suddivisa la comunicazione, cioè le pile ISO/OSI e Internet; l analisi si sposta poi ad un livello più approfondito con le parti riservate ai protocolli di livello trasporto, come TCP e UDP, e rete. L ultima sezione è dedicata interamente a IPv6, con una descrizione di tutti gli aspetti caratterizzanti. Sono elencati i vantaggi del nuovo protocollo rispetto al precedente, sia in termini d indirizzamento sia di efficienza; vengono in seguito analizzati i campi che ne costituiscono l intestazione. Un ampio spazio è dedicato alle novità e alle modifiche che IPv6 ha introdotto come, ad esempio, gli extension header. E presente anche una parte riguardante i tipi d indirizzi ed il loro formato; l ultima è dedicata ad ICMPv6 con i suoi sotto- protocolli come Neighbor Discovery.

4 Il secondo capitolo riguarda la sicurezza nelle reti di calcolatori. La prima parte è dedicata ai malware, ovvero software progettati appositamente per causare danni all utilizzatore. Il paragrafo successivo esplica la teoria del denial of service, cioè la creazione di un disservizio mediante il degrado o addirittura il blocco delle prestazioni di una stazione. Le tipologie di DoS spiegano in quanti modi differenti è possibile eseguire l attacco in situazioni diverse. Le tecniche, come i messaggi di Router Advertisement o la Duplicate Address Detection, sfruttano elementi caratteristici del protocollo; è dedicato anche spazio ai possibili rimedi utilizzabili per contrastare un attacco denial of service. Il secondo paragrafo tratta l evoluzione in ambito virtuale della truffa, il phishing; in questo caso viene sfruttato l anello più debole, cioè l utente. L unico rimedio veramente utile in questi casi è la prudenza nel fornire dati personali. L ultima parte del capitolo 2 riguarda l attacco denominato man- in- the- middle, letteralmente uomo nel mezzo ; sostanzialmente l attaccante è in grado di analizzare e soprattutto modificare il traffico scambiato tra due o più utenti. Anche in questo caso esistono diversi metodi per metterlo in atto, sempre sfruttando punti deboli del protocollo utilizzato. Soluzioni come la crittografia non sono sempre funzionali per la possibile intercettazione della chiave. Il terzo capitolo è dedicato agli esperimenti effettuati; sono state fatte prove su moderni sistemi operativi sia di attacchi denial of service sia man- in- the- middle. Nel primo caso, utilizzando strumenti reperibili gratuitamente su internet, sono state testate alcune delle tecniche descritte nel capitolo precedente, come il Router Advertisement flood. I risultati ottenuti sono stati suddivisi per sistema operativo, al fine di differenziare i comportamenti registrati. Per l attacco man- in- the- middle, mediante l utilizzo di semplici programmi per servizi come DHCPv6 e NAT- PT, è stato possibile sia intercettare il traffico diretto verso l esterno sia fornire alla vittima informazioni di setup della connessione false. In questo caso sono state eseguite diverse prove per valutare il comportamento con destinazioni diverse. La scelta di utilizzare sistemi operativi recenti mette in risalto l attualità dei problemi individuati. La parte terminale contiene le conclusioni ricavate dall approfondimento di questi argomenti e uno schema riassuntivo dei risultati ottenuti.

5 Indice 1. I protocolli La pila ISO/OSI La pila internet TCP IP IPv IPv Perché è vantaggioso IPv Header IPv Extension Headers Indirizzamento Indirizzi Unicast Indirizzi Multicast Indirizzi Anycast ICMPv Neighbor Discovery Protocol Autoconfigurazione Multicast Listener Discovery IPsec La sicurezza Malware Denial of service Tipologie di DoS IP spoofing Backscatter DoS distribuito DoS distributio inverso Tecniche per implementare il DoS SYN flood Router advertisement flood Type 0 routing Flow label Address in use Ping flood Soluzioni Phishing Man- in- the- middle Tipologie di MITM ARP spoofing Neighbor Discovery spoofing Autoconfigurazione Implementazione dual- stack Soluzioni... 25

6 3. Prove pratiche degli attacchi Denial of service Strumenti utilizzati Flood router Denial Flood advertise Smurf Scapy DoS su una rete domestica Configurazione della rete domestica Configurazione delle macchine PC fisso con Ubuntu MacBook con MacOS X Notebook con Windows XP Notebook con Windows Prova 1: flood router Prova 2: flood advertise Prova 3: denial Prova 4: smurf Prova 5: scapy Router Advertisement Smurf Man- in- the- middle Strumenti utlizzati Radvd Wide DHCPv6 Server NAT- PT MITM su una rete virtuale Configurazione della rete virtuale Configurazione delle macchine Preparazione dell attaccante Conseguenze Conclusioni Bibliografia... 59

7

8

9 Capitolo 1: I protocolli La comunicazione attraverso internet è diventata una parte fondamentale della nostra vita ed è resa possibile grazie all internetworking. Questa tecnologia permette lo scambio di informazioni tra reti eterogenee, sfruttando diversi hardware e utilizzando una serie di regole comuni, chiamate protocolli. A questo scopo viene solitamente definita una pila protocollare in cui, a ciascun livello, è assegnato un determinato ruolo; la comunicazione può avvenire solo tra livelli adiacenti, in modo da rendere trasparente all utente il modo in cui avviene lo scambio di informazioni. 1.1 La pila ISO/OSI L ente di standardizzazione ISO ha stabilito la pila ISO/OSI di protocolli (vedi tabella 1.1), al fine di definire il compito che ciascun livello deve svolgere e il modo con cui due sistemi possono comunicare tra di loro. [1] Applicazione Presentazione Sessione Trasporto Rete Collegamento Fisico Tabella 1.1. Pila ISO/OSI Livello fisico: si occupa del mezzo di trasporto del segnale (fibra ottica, doppino, coassiale, etere, ecc.) e dei segnali stessi (codifiche e modulazioni). Livello collegamento: permette di trasmettere dati in maniera affidabile attraverso il livello fisico, prevedendo sia controlli di errore sia la possibilità di ritrasmissione. Livello rete: si occupa dell instradamento dei pacchetti verso il destinatario. Livello trasporto: permette il trasferimento dei dati in maniera affidabile e trasparente. Livello sessione: consente di gestire la sincronizzazione e i servizi più avanzati del livello di trasporto. Livello presentazione: trasforma i dati delle applicazioni al fine di standardizzarli. Livello applicazione: rappresenta l interfaccia tra l utente e la macchina, come ad esempio la posta elettronica. 1

10 1.2 Pila Internet La pila internet è l insieme di livelli adottati nella pratica per il funzionamento della rete internet [2]; i sette del modello ISO/OSI sono stati, in questo caso, ridotti a cinque, riunendo gli ultimi tre strati in un unico livello applicazione (vedi tabella 1.2). Per lo strato rete l unico protocollo è IP (Internet Protocol) che si occupa del trasferimento dei messaggi: non garantisce la consegna, quindi i pacchetti possono essere duplicati, persi o Applicazione Trasporto Rete Collegamento Fisico Tabella 1.2. Pila Internet Tabella 2. Pila Internet ritardati senza alcun controllo [3]. E un servizio di tipo connectionless, ovvero non stabilisce preventivamente una connessione e tutti i pacchetti vengono trattati in modo indipendente. Il livello trasporto gestisce la tipologia di servizio richiesto mediante due protocolli, TCP (Transmission Control Protocol) e UDP (User Datagram Protocol). TCP garantisce un servizio affidabile perché viene stabilita una connessione e la ricezione è notificata; è quindi utilizzato per trasmissioni con alta affidabilità [4]. UDP invece non fa alcun controllo di flusso e congestione, la ricezione non è assicurata; è utilizzato soprattutto per servizi che richiedono velocità di trasferimento sostenuta e hanno una certa tolleranza alle perdite [5]. Lo strato collegamento è costituito da due sottolivelli: MAC (Medium Access Control) e LLC (Logical Link Control); il suo compito principale riguarda la gestione delle trame che verranno trasmesse attraverso il livello fisico, stabilendo anche il metodo di accesso al canale (CSMA/CD, CSMA/CA, ecc.). 1.3 TCP Il protocollo TCP, come già accennato, prevede un servizio orientato alla connessione e affidabile. Si definisce orientato alla connessione poiché due applicazioni devono stabilire una connessione TCP tra di loro prima di poter scambiare dati (simile alla comunicazione telefonica). E affidabile poiché prevede: un sistema di scambio di ACK (cioè di conferma di ricezione) per ogni segmento trasmesso o ricevuto; la posibilità di scartare i doppioni, e di riordinare i pacchetti secondo la sequenza originale; la ritrasmissione dei dati per i quali non è pervenuta alcuna conferma; 2

11 la verifica della validità del segmento tramite il campo checksum; il controllo del flusso di dati, regolando la quantità in base alla dimensione dei buffer. Source port (16 bit) Destination port (16 bit) Sequence Number (32) Acknowledgment number (32) HLEN (4) Reserved (6) Code bits (8) Window size (16) Checksum (16) Urgent pointer (16) Options Tabella 1.3. Header TCP Dovendo gestire tipicamente più connessioni su un solo host, alla connessione TCP viene associato un numero di porta, indicato come source port per il mittente e destination port per il destinatario (vedi tabella 1.3). Il campo sequence number rappresenta lo scostamento rispetto all inizio del flusso totale ed è utilizzato per posizionare correttamente i dati trasportati nel flusso stesso. L acknowledgment number indica il sequence number atteso dal ricevitore, ed implicitamente conferma i segmenti precedenti; la ricezione di un SN maggiore di quello previsto indica la perdita di dati e rende necessaria la ritrasmissione. HLEN contiene la lunghezza in byte dell header TCP. Nel campo code bits ogni bit abilita determinate funzioni, come la congestione o l acknowledge. Window size indica, invece, la dimensione della finestra di ricezione del mittente, cioè il numero di byte che è in grado di accettare; questo metodo permette il controllo di flusso. Il campo checksum è importante per la verifica dell integrità del segmento ricevuto. La connessione tra due stazioni A e B viene stabilita tramite la procedura del three- way handshake (vedi figura 1.1): 1. viene inviata una richiesta SYN da A verso B con un numero di sequenza; 2. la stazione B, in ascolto, risponde con un altro messaggio di SYN e, incrementando di uno il numero di sequenza, conferma con un ACK la ricezione del messaggio precedente; 3. la stazione A risponde con un ACK incrementando, a sua volta, il numero di sequenza del SYN ricevuto; 4. la connessione TCP tra le due stazioni è stabilita. 3

12 SYN seq=x SYN seq=y ACK seq=x+1 ACK seq= y+1 Tempo Figura 1.1. Three- way handshake 1.4 IP Il protocollo IP, a differenza del TCP, non fornisce alcuna garanzia sul trasferimento dei pacchetti. E un servizio di tipo best effort, cioè non è possibile sapere se e quando il pacchetto sarà consegnato, ma si sa soltanto che cercherà di trasmetterlo con il massimo impegno possibile. In caso di errori nel percorso viene inviata una notifica, attraverso il protocollo ICMP (Internet Control Message Protocol), al mittente del pacchetto; non vengono presi altri provvedimenti in quanto tutto è poi demandato al livello trasporto. IP è un servizio non orientato alla connessione (connectionless) perché ogni datagramma è gestito indipendentemente dagli altri, con la possibiltà di avere in ricezione un ordine diverso rispetto a quello di invio IPv4 Il protocollo IPv4 è stato sviluppato tra la fine degli anni 70 e l inizio degli 80; non include alcuna forma di sicurezza intrinseca, poiché non erano previste una diffusione ed una crescita così rapida di internet. L header è costituito da 20 byte (vedi tabella 1.4): Version indica la versione del protocollo, ad esempio 4. HLEN è la lunghezza espressa in byte dell header. TOS (Type Of Service) contiene delle condizioni sull inoltro del pacchetto. Total length indica la dimensione del datagramma completo (compreso anche il payload). 4

13 Identification contiene un numero identificativo univoco per ciascun frammento, in modo da ricostruire l intero pacchetto in ricezione. Il campo flags con un bit (More Fragments) indica se a seguire arriveranno altri frammenti, con l altro bit (Don t fragment) abilita o no la frammentazione. Fragment offset indica lo spostamento rispetto al datagramma originale. TTL (Time To Live) impone un limite massimo di salti, oltre il quale il pacchetto verrà scartato; questo campo viene decrementato ad ogni passaggio attraverso un nodo della rete. Protocol contiene il numero associato al protocollo utilizzato nel campo dati del datagramma. Header checksum è il campo utilizzato per svolgere il controllo degli errori sui bit dell header. Source address e destination address contengono rispettivamente l indirizzo del mittente e del destinatario. Version (4) HLEN (4) TOS (4) Total length (16) Identification (16) Flags (3) Fragment offset (13) TTL (8) Protocol (8) Source Address (32) Header checksum (16) Destination Address (32) Options Tabella 1.4. Header IPv4 Con 32 bit a disposizione lo spazio d indirizzamento è 2 32, cioè circa 4 miliardi di indirizzi possibili. Questa cifra, inizialmente considerata sufficiente, non prevedeva il rapido sviluppo della rete internet; negli anni è stato quindi necessario ricercare diversi espedienti per sopperire alla moltitudine di utenti con necessità di connessione. Una soluzione, diffusa nelle reti locali, è l uso degli indirizzi privati e del NAT (Network Address Translation): ad ogni host della rete locale è assegnato un indirizzo particolare valido soltanto in ambito interno. Per la comunicazione con l esterno si utilizza un indirizzo pubblico, convertito dal NAT nell indirizzo 5

14 privato del richiedente e viceversa [6]. L indirizzamento con il protocollo IPv4 può essere statico o dinamico: statico quando l indirizzo viene assegnato una sola volta e rimane costante (utilizzato ad esempio per i server web, che devono essere sempre raggiungibili tramite il medesimo indirizzo); dinamico quando l indirizzo è assegnato automaticamente ad ogni richiesta di connessione con l esterno e quindi può cambiare (assegnato tipicamente da utenti privati) IPv6 Nonostante tutti gli espedienti studiati, l unica soluzione per garantire la crescita di internet è stata lo sviluppo di un nuovo protocollo, IPv6. Gli indirizzi assegnabili per il protocollo IPv4 sono attualmente esauriti; questa notizia può finalmente spianare la strada ad IPv6, pronto dal 98 e che ha faticato negli anni a diffondersi. Molte applicazioni sono state progettate per il vecchio protocollo, ma i sistemi operativi di ultima generazione (Mac OS X, Ubuntu e Windows 7) lo includono; IPv4 e IPv6 possono coesistere attraverso tecniche come il tunnelling e non è previsto alcun passaggio netto da uno all altro Perché è vantaggioso IPv6 IPv6 è stato sviluppato più recentemente, quindi prevede uno spazio d indirizzamento molto più ampio: riserva 128 bit e quindi x indirizzi (circa 1000 indirizzi per persona) [7]; si può assegnare quindi un indirizzo univoco a ciascun host, trasformando il sistema in un vero end- to- end e rendendo inutile l uso del NAT e degli indirizzi privati. Un altro vantaggio rispetto a IPv4 è la maggiore efficienza nell instradamento, frutto di un indirizzamento gerarchico assegnato ex novo. Ulteriori vantaggi del protocollo di nuova generazione sono il supporto nativo degli utenti in mobilità (indirizzi utilizzati per la connessione 3G/4G), il miglioramento della intestazione del pacchetto che facilita la leggibilità per i router e la riduzione dei costi con l abolizione di molte strutture. 6

15 Header IPv6 L header della nuova versione è stato modificato, portando la dimensione minima da 20 a 40 byte ma riducendo i campi da 13 a 8 (vedi tabella 1.5). Novità principale è l introduzione degli extension header, ad esempio per la frammentazione e per il source routing, che vengono accodati all header standard e utilizzati solo in caso di necessità; non è infatti previsto il campo fragment offset e nemmeno i flags. Version (4) Traffic Class (8) Payload Length (16) Flow Label (20) Next Header (8) Hop Limit (8) Source Address (128) Destination Address (128) Tabella 1.5. Header IPv6 Version indica la versione del protocollo, in questo caso 6. Traffic class permette di definire una priorità per il pacchetto, è l equivalente del campo TOS in IPv4. Flow label viene utilizzato per etichettare una serie di pacchetti di uno stesso flusso, rendendo l instradamento più efficiente. [8] Payload Length contiene la lunghezza del payload. Next header indica il tipo di intestazione che segue quella di base, può essere l header TCP o qualche estensione. Hop limit è l equivalente del time to live del protocollo v4 Source address e destination address contengono rispettivamente l indirizzo del mittente e quello del destinatario Extension Headers Nella versione 4 le opzioni comportano un sovraccarico notevole nell intestazione; la differenza, rispetto ai pacchetti standard, comporta lavoro aggiuntivo per i router. Nella nuova versione, per migliorare la situazione, sono state previste le estensioni, cioè delle aggiunte predefinite all intestazione di base (vedi figura 1.2). 7

16 IPv6 Header TCP Header Dati Next = TCP IPv6 Header Next = Routing Routing Header Next = Security Security Header Next = TCP TCP Header Dati Figura 1.2. Esempi di utilizzo degli extension header Hop- by- Hop options vengono esaminate nodo per nodo, possono ad esempio indicare l utilizzo di un payload di dimensioni maggiori (jumbo). Routing contiene la lista di router da attraversare, stabilendo in pratica il percorso che il pacchetto deve seguire. Fragment permette la gestione della frammentazione dei pacchetti; i frammenti possono essere creati solo dagli utenti finali e non dai router intermedi. La dimensione minima prevista dallo standard è 1280 byte; si può utilizzare la procedura di MTU Path Discovery per capire qual è la massima dimensione che la rete è in grado di trasportare realmente. Authentication Header (AH) garantisce l integrità del servizio e l autenticazione della sorgente dati. Encapsulating Security Payload (ESP) assicura che soltanto il destinatario sarà in grado di interpretare il pacchetto, garantendo l autenticità dell originale, l integrità e la protezione confidenziale degli stessi. Destination option è utilizzato per trasportare informazioni opzionali che devono essere valutate solo dall host destinatario Indirizzamento L indirizzo IPv6 è formato da 128 bit, scritti a gruppi di 16 e separati da : ; per facilitarne la comprensibilità e la scrittura si utilizzano le cifre esadecimali. ES. 2001:0:4127:9E75:249E:32D5:3F57:FF62 8

17 Esistono tre diverse categorie di indirizzi: unicast, multicast e anycast. Con la tipologia unicast c è un indirizzo per ogni singola interfaccia; un pacchetto inviato ad un determinato indirizzo di questa categoria viene consegnato direttamente all interfaccia identificata dall indirizzo stesso. Nel caso multicast invece l indirizzo identifica più interfacce, quindi il pacchetto deve essere consegnato a tutti i nodi del gruppo specificato. Con la tipologa anycast c è un indirizzo per più interfacce ma il pacchetto viene consegnato solo ad una di esse, tipicamente la più vicina. Nel protocollo IPv6 è stato abolito l indirizzamento di tipo broadcast, che favoriva attacchi di tipo denial of service (malfunzionamento) anche molto estesi Indirizzi Unicast Si compongono di due parti, il prefisso di rete (Subnet ID) e l identificativo dell interfaccia (Host ID) (vedi tabella 1.6). XXXX:XXXX:XXXX:XXXX XXXX:XXXX:XXXX:XXXX Subnet ID Host ID Tabella 1.6. Indirizzo unicast L interface ID può essere impostato manualmente, generato casualmente o ricavato dal MAC address (EUI- 48 ID); identifica univocamente un interfaccia quindi deve essere il solo su un link. In molti casi, per facilitare la costruzione dell indirizzo, si sfrutta l indirizzo MAC perché, per definizione, unico per ciascuna scheda di rete. ES. MAC address = 00:23:6c:99:aa:55 è EUI-64 = 00:23:6c:ff:fe:99:aa:55 è complementando il 7 bit da sinistra è Interface ID = 0223:6cff:fe99:aa55 Lo svantaggio principale di questo metodo è la facile rintracciabilità dell utente poiché l interface ID rimane sempre uguale (il prefisso può cambiare); il problema è più grave rispetto agli indirizzi statici della versione 4 perché l indirizzo MAC è maggiormente associabile ad una persona. E prevista come alternativa la generazione casuale dell interface ID, slegando l utente dall indirizzo e rendendo più difficoltosa la rintracciabilità. In IPv6 è stato introdotto il concetto di scope dell indirizzo, ovvero l ambito in cui è valido e unico; un esempio sono i link- local address, utilizzabili solo nello stesso link (cioè all interno di una LAN o un collegamento punto- punto) e non abilitati all attraversamento di router. Sono utili perché calcolati automaticamente dall host e utilizzati per iniziare la comunicazione sulla rete; ogni utente con stack IPv6 abilitato possiede un indirizzo link- local. ES. Link-local address = fe80::<interface ID> è fe80::0223:6cff:fe99:aa55 9

18 Un altro tipo di indirizzo è quello unique local, che prevede la generazione di una combinazione di 48 bit di prefisso con alta probabilità di essere unica; possono essere utilizzati in ambito locale e non dovrebbero essere instradabili all esterno [9]. La presunta unicità è garantita dalla generazione pseudocasuale del global ID: il prefisso non presenta problemi in caso di fuoriuscita dei pacchetti all esterno. (inserire figura struttura indirizzo) ES. Unique local unicast = fc00::/7 Esistono infine altre due tipologie di indirizzi unicast: il global unicast e gli IPv4 mapped. L indirizzo global unicast è univoco in tutto il mondo, ed è quello utlizzato per inviare e ricevere pacchetti attraverso internet [10]; visto il grande spazio di indirizzamento che IPv6 mette a disposizione, ne viene assegnato uno ad ogni host, rendendo inutili NAT e indirizzi privati. Gli indirizzi IPv4 mapped permettono di definire indirizzi IPv4 in notazione IPv6. ES. IPv4 mapped = ::ffff: Per indicare il localhost (cioè il nodo stesso) si utilizza l indirizzo 0:0:0:0:0:0:0:1 (abbreviato ::1), mentre la combinazione 0:0:0:0:0:0:0:0 (abbreviato ::) rappresenta l assenza di indirizzo e può essere utilizzata per fare una richiesta iniziale al DHCP Indirizzi Multicast I nodi appartenenti ad un gruppo multicast possono ricevere pacchetti con indirizzo associato al gruppo. Gli indirizzi multicast sono riconoscibili per gli 8 bit più significativi posti a 1, in esadecimale FF (vedi tabella 1.7) [11] Flag (4) Scope (4) Group ID (112) Tabella 1.7. Indirizzo multicast Il campo flag indica se l indirizzo multicast è well- known, ovvero permanentemente assegnato ad uno specifico gruppo di nodi, oppure transient cioè temporaneo con membri non costanti. Lo scope rappresenta invece la dimensione del dominio entro cui il messaggio multicast dovrebbe propagarsi; può essere ad esempio limitato alle interfacce sullo stesso nodo o nel caso più esteso a tutte le interfacce su internet (vedi tabella 1.8). 10

19 Indirizzo Scope Tipo FF01::1 Node All nodes FF02::1 Link All nodes FF01::2 Node All routers FF02::2 Link All routers FF05::1 Site All routers FF02::1:FFXX:XXXX Link Solicited node Tabella 1.8. Indirizzi multicast riservati Indirizzi Anycast Gli indirizzi anycast non sono praticamente distinguibili da quelli unicast, ma i pacchetti saranno consegnati ad un solo nodo di tutto il gruppo [12]. Possono essere sfruttati per indicare il server più vicino al destinatario; permettono anche la continuità di un flusso TCP in caso di congestione di un nodo. Ogni host risponde quindi ad una moltitudine di indirizzi tra cui link- local, all- nodes multicast, loopback, indirizzi multicast dei gruppi di cui fa parte e gli indirizzi unicast assegnati automaticamente o manualmente ICMPv6 L Internet Control Message Protocol permette di scambiare messaggi relativi alle condizioni del livello rete, è sfruttato per fare segnalazione e diagnostica ma anche per l autoconfigurazione degli indirizzi [13]. I messaggi ICMPv6 vengono inseriti come extension header del pacchetto IP (vedi tabella 1.9). Type (8) Code (8) Checksum (16) Message body Tabella 1.9. Header ICMPv6 Il campo type indica il tipo di messaggio che può essere generalmente di errore (da 0 a 127) o di segnalazione (da 128 a 255) (vedi tabella 1.10); code trasporta informazioni aggiuntive dipendenti dal tipo di messaggio. Il checksum serve per il controllo degli errori mentre il message body contiene tutti i dati necessari. 11

20 Type Name Type Name 1 Destination unreachable 134 Router advertisement 2 Packet too big 135 Neighbor solicitation 3 Time exceeded 136 Neighbor advertisement 4 Parameter problem 137 Redirect message 128 Echo request 138 Router renumbering 129 Echo reply 139 ICMP node information query 130 Multicast listener query 140 ICMP node information response 131 Multicast listener report 141 Inverse ND solicitation message 132 Multicast listener done 142 Inverse ND advertisement message 133 Router solicitation Tabella Tipi di messaggi ICMPv Neighbor Discovery Protocol Tra le novità introdotte da ICMPv6 c è il neighbor discovery protocol: permette di determinare la presenza di altre stazioni e di router sulla rete, di ottenere gli indirizzi del livello collegamento e di verificare la raggiungibilità [14]. Un messaggio di Router solicitation viene inviato da un host a tutti i router sulla rete (attraverso l apposito indirizzo multicast), richiedendo di generare dei router advertisement immediati. I router advertisement sono dei messaggi in cui il router si pubblicizza, dimostrando la sua presenza, e che contengono l indirizzo della rete, sfruttato per l autoconfigurazione (questo aspetto verrà chiarito in seguito). Rispettivamente ai router ci sono anche il neighbor solicitation e advertisement. Il primo permette di richiedere l indirizzo link- layer del destinatario o di verificare se è ancora attivo; il secondo è il messaggio di risposta alla sollecitazione Autoconfigurazione E un metodo per ottenere degli indirizzi IPv6 validi sulla rete. Può essere: stateful nel caso si utilizzi la configurazione manuale o il DHCPv6 (Dynamic Host Configuration Protocol); stateless quando vengono sfruttati i router advertisement per generare degli indirizzi univoci [15]. 12

21 L autoconfigurazione stateless si basa sull interface ID, intrinsecamente univoco per ciascuna interfaccia; saranno definiti tanti indirizzi globali quanti sono i diversi prefissi di rete ricevuti dai router. ES. MAC address = 00:23:6c:99:aa:55 è Interface ID = 0223:6cff:fe99:aa55 Prefissi associati alla LAN è 2001::/64, 2002::/64 Indirizzi host IPv6 è fe80::223:6cff:fe99:aa55, 2001::223:6cff:fe99:aa55, 2002::223:6cff:fe99:aa55 Per l autoconfigurazione stateful, invece, è necessaria una macchina che memorizzi tutte le assegnazioni fatte in maniera casuale, per evitare indirizzi duplicati. Il DHCPv6 viene utilizzato solo quando non c è alcun router sulla rete o nel caso sia espressamente richiesto; fornisce una garanzia di sicurezza perché c è un maggiore controllo sui singoli indirizzi, e le assegnazioni sono autorizzate solo previo rispetto di requisiti [16] Multicast Listener Discovery E un altro sottoprotocollo del vasto insieme di ICMPv6; permette ad un router di individuare la presenza di gruppi multicast, ovvero insiemi di host che rispondono al medesimo indirizzo [17]. Non è nell interesse del router conoscere a quali gruppi appartiene ciascun utente della rete, ma solo quali sono attivi IPsec Il protocollo IP security (IPsec) prevede dei servizi di sicurezza solo per il livello rete, e non in generale per tutta la rete (ad esempio internet) [18]. E implementabile in entrambe le versioni del protocollo IP, ma in IPv4 è opzionale mentre in IPv6 è richiesto; per essere utilizzato richiede una struttura end- to- end poiché il messaggio non può essere modificato durante il percorso. Questa difficoltà ha reso IPsec poco utilizzabile con il protocollo IPv4, a causa dell elevata diffusione dei NAT e degli indirizzi privati. Per fornire la sicurezza viene impiegato un protocollo di autenticazione (Autentication Header) e un protocollo di crittografia/autenticazione (Encapsulating Security Payload); i servizi che offrono sono il controllo degli accessi alla rete, l integrità dei protocolli senza connessione, l autenticazione dell origine dei dati e la segretezza di questi ultimi tramite la crittografia. 13

22 14

23 Capitolo 2: La sicurezza La sicurezza è quel ramo dell informatica che si occupa di garantire i servizi, oltre all integrità e alla riservatezza dei dati, prevenendo accessi non autorizzati o disservizi. A differenza della realtà, in cui è relativamente facile capire se un documento è stato falsificato, nel campo informatico risulta tutto più complicato. La diffusione su larga scala di una rete nata per collegamenti privati e soprattutto fidati, ha messo sempre più in evidenza la necessità di progettare delle soluzioni per la protezione. E necessario quindi prevedere confidenzialità e integrità: i messaggi devono essere comprensibili solo dal destinatario grazie all uso della crittografia, e non devono subire modifiche. Bisogna prevedere l autenticazione tra i nodi in modo da verificarne l identità; devono inoltre essere garantiti e accessibili tutti i servizi agli utenti, come ad esempio un sito web. Ecco un elenco di alcuni possibili attacchi [19]: acquisire un accesso non autorizzato alle informazioni (violare la segretezza e la privacy); fingersi un altro utente per sottrarre una responsabilità o utilizzare una licenza altrui per creare informazioni in modo fraudolento, modificare informazioni legittime, utilizzare identità altrui e autorizzare delle transazioni; negare la responsabilità delle informazioni create; sostenere di aver ricevuto delle informazioni da un altro utente, create invece in modo fraudolento; inserirsi in una comunicazione fra altri utenti come una sorta di ripetitore nascosto; sapere chi accede a determinate informazioni e quando, mantenendo le informazioni segrete; alterare un software aggiungendo funzioni segrete come l analisi dei dati personali; minare la segretezza di un protocollo provocando fallimenti al sistema; impedire la comunicazione tra gli utenti. Tutte queste sono considerazioni generiche, ma riassumono bene le linee guida delle possibili violazioni alla sicurezza. 15

24 2.1 Malware E il termine che indica il cosiddetto software malvagio, ovvero programmi creati appositamente per cancellare i file presenti su una macchina, modificare il sistema operativo o, ancora più grave, garantire l accesso a persone non autorizzate. Può essere suddiviso in diverse categorie a seconda delle funzioni svolte: Virus: entra in esecuzione e si replica sfruttando file eseguibili già esistenti. Worm: (verme) è autonomo in quanto può funzionare e replicarsi da solo. Trojan horse: (cavallo di troia) deve essere installato dall utente e permette di nascondere l ingresso nel sistema di altro malware dall esterno. Keylogger: tiene traccia di tutte le digitazioni sulla tastiera, da cui si può ricavare, ad esempio, il numero della carta di credito o le password. Spyware: è in grado di prelevare informazioni dalla macchina utente e di inviarle in remoto, è utilizzato soprattutto per inserire pubblicità personalizzata. Data miner: cattura e memorizza informazioni sull utente. Adware: è sviluppato per mostrare pubblicità non desiderata all utente. Scanner: analizza gli host per individuare eventuali buchi nella sicurezza. Ransomware: blocca l intera macchina o soltanto alcuni dati e chiede un riscatto per sbloccare tutto. 2.2 Denial of service Un entità sfrutta la trasmissione di pacchetti per impedire agli utenti legittimi di fruire delle risorse presenti sulla rete; il servizio viene reso inutilizzabile sovraccaricando il server di richieste. Ad esempio un attacco DoS può essere utilizzato contro un sito web di e- commerce per renderlo non raggiungibile, provocando quindi un danno economico al gestore. Azioni di questo genere possono essere dirette anche a utenti singoli al fine di isolarli dalla rete esterna. In altri casi non c è alcun fine economico dietro all attacco, ma è visto come una forma di protesta o una dimostrazione di abilità. 16

25 2.2.1 Tipologie di DoS Con il passare degli anni sono state studiate diverse tipologie in grado di causare un disservizio, di seguito ne sono elencate alcune IP spoofing L IP spoofing consiste nell inviare pacchetti con indirizzo sorgente forgiato appositamente [20]. In questo modo l attaccante evita di essere rintracciato facilmente perché l indirizzo utilizzato è fasullo; in secondo luogo, in un attacco come il ping flood, in cui è prevista una risposta al mittente, evita di essere vittima esso stesso del denial- of- service Backscatter L effetto backscatter è una conseguenza di un attacco DoS con IP spoofing; le risposte ai pacchetti non saranno inviate all attaccante ma all indirizzo che ha creato appositamente, il quale può appartenere ad un altra stazione sulla stessa rete. Quest ultima si vedrà quindi recapitare un flusso continuo di risposte non desiderate; nel caso l indirizzo sia generato casualmente diverse volte, i pacchetti si distribuiranno su tutta la rete DoS distribuito Fino ad ora è stato fatto il presupposto che l attaccante fosse unico e con più banda a disposizione rispetto alla vittima; in realtà questa situazione è molto rara, soprattutto se l obiettivo dell attacco è un sito di e- commerce, progettato per supportare traffici elevati. Si può quindi utilizzare la tecnica del DoS distribuito, con più utenti che contemporaneamente prendono di mira la vittima [21]; l attacco può essere svolto sia da più persone in contemporanea sia da un solo utente attraverso una botnet. Una botnet è un insieme di stazioni sparse sulla rete sotto il diretto controllo dell attaccante. Costui controllerà solo poche stazioni denominate handler; queste ultime avranno il controllo su una moltitudine di stazioni definite zombie, che perpetreranno l attacco (vedi figura 2.1). La serie di livelli interposti tra il mandante e l esecutore rende più difficile il rintracciamento DoS distribuito inverso Il DoS distribuito inverso utilizza un approccio diverso: l attaccante non invia direttamente i pacchetti alla vittima, ma ad altre stazioni che possono raggiungerla. In particolare, basterà impostare come mittente l indirizzo dell host che si desidera colpire e inviare il flusso di 17

26 pacchetti a delle stazioni intermedie; le risposte causeranno un denial of service. Una versione particolare, denominata smurf, prevede di inviare i pacchetti in multicast o broadcast ad alcune reti, in modo da amplificare le risposte dirette alla vittima. E un attacco distribuito perché coinvolge più stazioni contemporaneamente, ma è più facile da implementare in quanto non è necessaria la creazione di una botnet. Attacker Handler Zombie Victim Figura 2.1. Schema DDoS 18

27 2.2.2 Tecniche per implementare il DoS Esistono diversi metodi per portare a termine un attacco denial of service in una rete IPv6, sfruttando le caratteristiche intrinseche dei protocolli implementati sulla rete SYN flood Il SYN flood sfrutta il three- way handshake del protocollo TCP (spiegato precedentemente, paragrafo 1.3). L attaccante invia continuamente dei messaggi per aprire una connessione, la vittima risponde con dei SYN_ACK per confermare la richiesta di connessione e nel frattempo alloca le risorse; l attaccante però non è interessato a stabilire realmente la connessione, quindi non invierà alcuna risposta. Le risorse della vittima rimarranno allocate fino alla scadenza del timeout; un flusso continuo di questi pacchetti in tempi brevi comporta la saturazione delle risorse del nodo e il rifiuto delle richieste di altri utenti Router advertisement flood Il router advertisement flood è un attacco alla disponibilità che si basa sui messaggi Router Advertisement del protocollo ICMPv6, inviati tipicamente dai router per mostrare la loro presenza sulla rete [22]. Il metodo dell autoconfigurazione, sfruttando i pacchetti RA, costruisce gli indirizzi IP globali con il prefisso di rete trasportato dal router e l interface ID univoco per ogni NIC; per compiere questa operazione e per aggiornare le tabelle di routing è necessario utilizzare parte della capacità di elaborazione della CPU. Per creare il disservizio, vengono inviati in continuazione questi messaggi, in modo da provocare sulla vittima un uso sproporzionato del processore e quindi un blocco di tutte le connessioni verso l esterno Type 0 routing Come visto precedentemente, tra i possibili extension headers c è anche il Routing header, il quale consente di stabilire il percorso che il pacchetto deve seguire; è definito, inoltre, un particolare tipo, il Type 0 routing, che permette ripetere un indirizzo più volte [23]. Questa caratteristica può essere sfruttata dall attaccante per creare un disservizio, in particolare facendo rimbalzare continuamente i pacchetti tra due nodi. E possibile amplificare il danno a tutta una porzione di rete compresa fra due router, poiché questi non potranno più gestire altro traffico oltre ai pacchetti che saltano. Questo attacco provoca grandi danni a reti anche estese, tanto che il type 0 routing è stato deprecato con la RFC 5095 [24]. 19

28 Flow label Il campo flow label dell header IPv6, assieme agli indirizzi di mittente e destinatario, permette di identificare un determinato flusso di pacchetti [23]. L attaccante può sfruttare l etichettatura per iniettare sulla rete una grande mole di traffico ad alta priorità, amplificando la portata dell attacco. I dispositivi presenti sulla rete daranno una maggiore priorità al traffico doloso, trascurando la gestione dei normali pacchetti sulla rete Address in use La procedura Duplicate Address Detection permette di prevenire l utilizzo di indirizzi uguali sulla medesima rete [25]; viene eseguita prima di assegnare un indirizzo all interfaccia: se l indirizzo è univoco sulla rete allora può essere utilizzato dalla stazione. L attaccante può sfruttare questa procedura per impedire la connessione all utente, affermando, ad ogni richiesta, che l indirizzo che vorrebbe utilizzare è già in uso [22]. E possibile anche forzare questo attacco contro stazioni che possiedono già un indirizzo; basta, infatti, inviare un messaggio RA con un diverso prefisso di rete e automaticamente l host eseguirà la procedura di autoconfigurazione. L indirizzo costruito sarà subito bloccato dall attaccante stesso, impedendo, di fatto, la connessione Ping flood A scopo informativo si cita anche il ping flood, legato al protocollo IPv4; si basa sui messaggi ICMP Echo Request, inviati ad esempio dal programma ping, per testare il funzionamento della rete; prevedono infatti una risposta Echo Reply [20]. Dato il presupposto che la banda a disposizione dell attaccante sia maggiore di quella della vittima, questo potrà sfruttarla per inviare continuamente pacchetti di richiesta; la vittima, rispondendo a tutte le richieste di ping, saturerà la banda a sua disposizione impedendo il traffico legittimo. 20

29 2.2.3 Soluzioni Le contromisure applicabili non sono in grado di evitare definitivamente questi attacchi; risulta difficile distinguere tra eccezionali volumi di traffico e veri e propri attacchi, soprattutto se eseguiti su porte, come la numero 80, utilizzata per i servizi web. Possono essere adottati alcuni accorgimenti: limitazione del rate della risposta dei messaggi ICMP Echo Request o dei Router Advertisement accettati; blocco dei pacchetti provenienti dall esterno con indirizzo interno come mittente; limitazione delle connessioni TCP disponibili contemporaneamente, evitando la piena saturazione delle risorse; autenticazione dei nodi sulla rete, con conseguente blocco dei pacchetti provenienti da stazioni non fidate. 2.3 Phishing Il phishing è un furto d identità online: sfrutta o siti web fasulli per recuperare informazioni confidenziali dell utente, come numeri di conti bancari, carte di credito e password. Come funziona: viene inviata una mail alla vittima con indirizzo e grafica di siti fidati, contenente la richiesta di conferma dell account; cliccando il link proposto si accede ad un sito web apparentemente simile a quello originale; i dati inseriti saranno trasmessi al truffatore, il quale potrà sfruttarli per effettuare pagamenti, creare conti correnti, accedere ad altre informazioni personali ecc. Di seguito si vede un esempio di attacco avvenuto nel 2007 sfruttando la grafica dell azienda Poste Italiane S.p.A (vedi figure 2.2 e 2.3). 21

30 Figura 2.2. Esempio mail phishing Figura 2.3. Esempio sito phishing 22

31 Il phishing è una truffa vera e propria, che sfrutta l anello debole della catena, ovvero l utente; l unico rimedio consiste nel prestare particolare attenzione all invio di dati confidenziali, soprattutto attraverso link ricevuti via mail. Conviene, inoltre, controllare sempre l esattezza dell indirizzo web, la presenza del certificato di autenticità e l uso del protocollo https; quest ultimo garantisce che la trasmissione dei dati sia sicura. 2.4 Man- in- the- middle Il termine man in the middle significa letteralmente uomo nel mezzo : l attaccante si pone nel mezzo della comunicazione tra due host (vedi figura 2.4). In questo modo può intercettare il traffico scambiato tra le vittime e soprattutto interagire con entrambe. E necessario che le stazioni spiate non si accorgano di nulla, quindi l attaccante deve prevedere l inoltro dei pacchetti da un utente all altro, rispettando le richieste per non alterare il collegamento. La comunicazione intercettata può essere tra stazioni locali ma è anche possibile spiare i pacchetti trasferiti dall host locale verso la rete esterna; questa seconda opzione può risultare pericolosa in quanto, il malintenzionato, potrebbe appropriarsi di dati sensibili analizzando il contenuto dei pacchetti o redirezionando la vittima verso siti fasulli, da cui mettere in atto il phishing. Victim Server Attacker Figura 2.4. Schema attacco Man- in- the- middle 23

32 2.4.1 Tipologie di MITM Esistono diversi metodi, alcuni dei quali elencati di seguito, che permettono di portare a termine questo attacco in una rete locale ARP spoofing ARP (Address Resolution Protocol) è il protocollo che permette di associare gli indirizzi di livello 2 (MAC) a quelli di livello 3 (IP) e viceversa; è utile conoscere gli indirizzi MAC poiché, in una rete locale, le comunicazioni avvengono a livello 2. Nel caso la stazione A voglia comunicare con B verrà seguita la seguente procedura: 1. A verifica se nella sua ARP cache è presente la corrispondenza tra gli indirizzi MAC e IP di B; 2. se c è in memoria la corrispondenza allora viene inviato il datagramma come stabilito; 3. se non c è allora la stazione A invia in broadcast un messaggio ARP Request, chiedendo il MAC corrispondente all indirizzo di B; 4. B risponderà con un messaggio ARP Reply contenente il suo indirizzo di livello 2. L attaccante può sfruttare questa procedura per perpetrare il suo scopo; rispondendo alle richieste circolanti sulla rete creerà l associazione nella cache della vittima tra l indirizzo della stazione B e il suo MAC [26]. Tutti i datagrammi destinati a B saranno quindi inviati a lui e in seguito inoltrati alla vera destinazione in modo da non destare sospetti Neighbor Discovery spoofing Come descritto precedentemente, il protocollo ICMPv6 Neighbor Discovery prevede molte funzionalità; è utile ricordare la ricerca delle stazioni presenti sulla rete e la prevenzione della duplicazione degli indirizzi. Il Neighbor Discovery rappresenta l evoluzione concettuale, per il protocollo IPv6, dell ARP: 1. la stazione A invia un messaggio Neighbor Solicitation con destinazione tutti i nodi sulla rete, richiedendo a quale indirizzo MAC deve associare un determinato IP; 2. la stazione B risponderà con un messaggio Neighbor Advertisement contenente il suo indirizzo di livello 2. 24

33 Come nel caso dell ARP spoofing, l attaccante può approfittare della situazione per rispondere a tutte le richieste, causando nel mittente l associazione tra il suo MAC e l indirizzo del vero destinatario. A questo punto tutti i datagrammi avranno come destinatario l attaccante [22] Autoconfigurazione Tramite la procedura di autoconfigurazione, è possibile assegnare un indirizzo globale all host sfruttando il prefisso di rete e l interface ID. Anticipando la risposta dei router sulla rete, l attaccante, tramite messaggi di RA, può imporsi come default router sulla rete; in questo modo qualsiasi pacchetto sarà inoltrato a lui per essere smistato, dandogli la possibilità di controllare il contenuto e tenere sotto controllo il traffico degli utenti Implementazione dual- stack Nella quasi totalità dei sistemi operativi di ultima generazione sono implementati teoricamente sia lo stack IPv4 che IPv6. Con la ricezione di messaggi Router Advertisement si attiva la modalità dual stack, con la quale la stazione può inviare e ricevere pacchetti utilizzando entrambi i protocolli. L host, dove possibile, utilizzerà il nativo IPv6; questa peculiarità permette all attaccante di inserirsi nella comunicazione come router, costruendo un tunnel tra la rete esterna IPv4 e quella interna divenuta IPv Soluzioni Esistono alcuni rimedi che rendono molto difficile l intrusione nella comunicazione tra due stazioni. Ad esempio è possibile utilizzare un algoritmo di crittografia per proteggere i dati contenuti nel pacchetto; l importanza, in questi casi, sta nella trasmissione della chiave necessaria per decifrarli. Se l attacco è già in atto, l uso della crittografia è inutile perché la chiave verrebbe ricevuta dall attaccante e non dal destinatario scelto; è quindi più efficace scegliere un algoritmo di crittografia asimmetrica, con l utilizzo di una chiave pubblica e di una privata. Un altro possibile rimedio, nel caso si utilizzasse IPv6, consiste nell adottare il protocollo SEND (SEcure Neighbor Discovery) al posto della versione standard [27]. Questo dovrebbe garantire l accesso alla rete soltanto alle stazioni dotate di permesso; unico problema è la sua scarsa implementazione. E possibile capire quando un host sta facendo sniffing, ovvero osservando tutto il traffico presente sulla rete, e di conseguenza capire se qualcuno sta portando avanti un attacco; basta inviare dei messaggi ping con indirizzi MAC multicast non utilizzati. In condizioni normali non si dovrebbe ottenere alcuna risposta, in caso contrario qualcuno sta analizzando il traffico transitante sulla rete. 25