Questo sito utilizza cookie di terze parti per inviarti pubblicità in linea con le tue preferenze. Se vuoi saperne di più clicca QUI 
Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie. OK

Studio e analisi delle problematiche di sicurezza del routing di IPv6

L’Internet Protocol (IP) è alla base dell’architettura di Internet. L’attuale versione, quattro, standardizzata nel 1981, risulta ormai insufficiente rispetto all’enorme sviluppo della Rete e le sue attuali esigenze. Per questo motivo è imminente l’introduzione della nuova versione, IPv6, che introduce importanti novità anche nell’ottica, ormai probabile, di una convergenza su IP come protocollo unico per ogni dispositivo di comunicazione.
IPv6 nasce con l’idea di ottimizzare le prestazioni dei router, e per questo è stato introdotto il concetto di gerarchia di indirizzamento, cioè come i centralini telefonici smistano le chiamate sulla base del prefisso e dell’identificativo della località, così in IPv6 i pacchetti sono instradati analizzando solo una parte dell’indirizzo per volta. Questa caratteristica, unita all’assegnazione degli indirizzi (più precisamente dei “prefissi”) su base geografica migliorerà nettamente le prestazioni dei router ed eliminerà il problema dell’esplosione delle tabelle di instradamento.
Il routing in IPv6 è suddiviso in 3 categorie: Local Routing, Interior Routing ed Exterior Routing. Con il termine Interior Routing si intendono le operazioni di instradamento di pacchetti fra router appartenenti alla stessa organizzazione, mentre l’Exterior Routing è il vero routing di Internet ossia l’instradamento del traffico sulle dorsali della Rete.
Con il termine Local Routing in IPv6 si intendono quelle operazioni tramite le quali un nodo rileva se il destinatario del traffico si trova sulla sua sottorete (è un “vicino”) oppure se i pacchetti devono essere inoltrati a un router (gateway) che si occuperà dell’instradamento opportuno. Di queste e altre operazioni si occupa il protocollo Neighbor Discovery, che garantisce i meccanismi di autoconfigurazione degli host.
La tesi si è svolta nell’ambito del progetto 6NET del GARR che si propone di implementare un testbed nativo IPv6 a livello italiano per la sperimentazione del nuovo protocollo e verificare i problemi di transizione. L’Università partecipa al progetto occupandosi della parte relativa al testing della sicurezza e per questo è stata approntata una sottorete IPv6 che collega il Dipartimento di Scienze dell’Informazione con la Divisione Telecomunicazioni e da qui verso 6NET. I test si sono quindi svolti nelle sedi di via Comelico e Colombo.
In particolare nell’analisi delle problematiche di sicurezza del routing ci si è concentrati sul Local Routing, dove abbiamo rilevato come i meccanismi di autoconfigurazione degli indirizzi e dei “cammini” presentino i maggiori problemi di sicurezza.
Infatti il protocollo ND tramite pacchetti ICMP permette ai router di diffondere informazioni di raggiungibilità con le quali gli host presenti sulla sottorete costruiscono le proprie tabelle di instradamento.
Al fine di testare la sicurezza del protocollo abbiamo sviluppato alcuni programmi che ci hanno permesso di forgiare pacchetti ICMP per diffondere false informazioni di raggiungibilità e abbiamo verificato come sia facilmente possibile dirottare il traffico di una sottorete per compiere attacchi di tipo DoS o “man-in-the-middle” senza dover usare tecniche di ARP Poisoning.
Diventa quindi fondamentale per la validazione di ogni messaggio di “controllo” presente sulla rete l’uso di IPSec, l’estensione di IPv4 che offre funzionalità di autenticazione e confidenzialità dei messaggi, implementata nativamente in IPv6 e in questo ambiente disponibile pienamente nelle sue funzionalità.
Abbiamo inoltre analizzato la struttura dell’header IPv6 e delle sue estensioni (extension header) e in particolar modo su quella denominata Routing Header (RH) che svolge in IPv6 le funzionalità di Source Routing presenti in IPv4. Abbiamo riscontrato come questo header unito ad un’ambiguità nella specifica del protocollo introduca un problema di sicurezza. Tramite questa estensione il mittente specifica i nodi che il pacchetto deve attraversare nel suo percorso verso la destinazione. La specifica definisce “nodo” un qualsiasi apparato che implementi lo stack IPv6, quindi non solo i router, e prescrive che tutti i nodi debbano poter processare un Routing Header. Poichè la struttura del RH porta ad una variazione del indirizzo destinazione durante l’instradamento dei pacchetti, è possibile utilizzarlo per eludere la presenza di Access Control List (ACL) che “nascondano” un host, se un suo “vicino” è visibile. Allo stesso modo è possibile evitare i firewall e tutti i dispositivi di controllo che basino le loro regole solo sugli indirizzi sorgente e destinazione (senza controllare la presenza di eventuali RH).

Mostra/Nascondi contenuto.
Introduzione L’Internet Protocol (IP) è alla base dell’architettura di Internet. L’attuale versione, quattro, standardizzata nel 1981, risulta ormai insufficiente rispetto all’enorme sviluppo della Rete e le sue attuali esigenze. Per questo motivo è imminente l’introduzione della nuova versione, IPv6, che introduce importanti novità anche nell’ottica, ormai probabile, di una convergenza su IP come protocollo unico per ogni dispositivo di comunicazione. Una delle motivazioni principali che inducono ad abbandonare IPv4 è la necessità di ampliare lo spazio di indirizzamento. Infatti l’attuale versione del protocollo prevede indirizzi a 32 bit, per un totale di circa 4 miliardi di indirizzi, numero insufficiente tenuto conto dell’evoluzione della Rete a livello mondiale e dell’adozione da parte dei sistemi di comunicazione mobile del protocollo IP. IPv6 estende lo spazio di indirizzamento a 128 bit, garantendo la disponibilità di qualche migliaio di indirizzi per ogni metro quadrato di superficie terrestre. Un altro serio problema di IPv4 è la mancanza di un indirizzamento gerarchico e geografico, cioè non è possibile stabilire nessuna relazione tra l’indirizzo di un host o sottorete e la sua posizione geografica. Ciò ha come effetto l’esplosione delle tabelle di instradamento dei router posizionati sulle dorsali di Internet che devono tenere traccia delle informazioni di routing (instradamento) delle varie sottoreti anche se condividono parti dell’indirizzo. Questo problema è stato in parte mitigato dall’introduzione del Network Address Translation e del Classless InterDomain Routing. IPv6 nasce con l’idea di ottimizzare le prestazioni dei router, e per questo è stato introdotto il concetto di gerarchia di indirizzamento, cioè come i centralini telefonici smistano le chiamate sulla base del prefisso e dell’identificativo della località, così in IPv6 i pacchetti sono instradati analizzando solo una parte dell’indirizzo per volta. Questa caratteristica, unita all’assegnazione degli indirizzi (più precisamente dei “prefissi”) su base geografica migliorerà nettamente le prestazioni dei router ed eliminerà il problema dell’esplosione delle tabelle di instradamento. Il routing in IPv6 è suddiviso in 3 categorie: Local Routing, Interior Routing ed Exterior Routing. Con il termine Interior Routing si intendono le operazioni di instradamento di pacchetti fra router appartenenti alla stessa organizzazione, mentre l’Exterior Routing è il vero routing di Internet ossia l’instradamento del traffico sulle dorsali della Rete. Con il termine Local Routing in IPv6 si intendono quelle operazioni tramite le quali un nodo rileva se il destinatario del traffico si trova sulla sua sottorete (è un “vicino”) oppure se i pacchetti devono essere inoltrati a un router (gateway) che si occuperà dell’instradamento opportuno. Di queste e altre operazioni si occupa il protocollo Neighbor Discovery, che garantisce i meccanismi di autoconfigurazione degli host. La tesi si è svolta nell’ambito del progetto 6NET del GARR che si propone di implementare un testbed nativo IPv6 a livello italiano per la sperimentazione del nuovo protocollo e verificare i problemi di transizione. L’Università partecipa al progetto occupandosi della parte relativa al testing della sicurezza e per questo è stata approntata una sottorete IPv6 che collega il Dipartimento di Scienze dell’Informazione con la Divisione Telecomunicazioni e da qui verso 6NET. I test si sono quindi svolti nelle sedi di via Comelico e Colombo. In particolare nell’analisi delle problematiche di sicurezza del routing ci si è concentrati sul Local Routing, dove abbiamo rilevato come i meccanismi di autoconfigurazione degli indirizzi e dei “cammini” presentino i maggiori problemi di sicurezza. Infatti il protocollo ND tramite pacchetti ICMP permette ai router di diffondere informazioni di raggiungibilità con le quali gli host presenti sulla sottorete costruiscono le proprie tabelle di instradamento.

Tesi di Laurea

Facoltà: Scienze Matematiche, Fisiche e Naturali

Autore: Alessandro Giacometti Contatta »

Composta da 87 pagine.

 

Questa tesi ha raggiunto 2039 click dal 20/03/2004.

 

Consultata integralmente 5 volte.

Disponibile in PDF, la consultazione è esclusivamente in formato digitale.