UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL
FACULTAD DE CIENCIAS DE LA INGENIERÍA E
INDUSTRIAS
CARRERA DE INGENIERÍA EN INFORMÁTICA Y
CIENCIAS DE LA COMPUTACIÓN
ANÁLISIS DE VULNERABILIDADES UTILIZANDO
HERRAMIENTAS FREE EN REDES IPv6.
TRABAJO PREVIO A LA OBTENCIÓN DEL TÍTULO
DE INGENIERO EN INFORMÁTICA Y CIENCIAS DE LA COMPUTACIÓN
HERWIN DARÍO LARCO HERNÁNDEZ
DIRECTOR: ING. BOLIVAR JÁCOME
FORMULARIO DE REGISTRO BIBLIOGRÁFICO
PROYECTO DE TITULACIÓN
DATOS DE CONTACTO
CÉDULA DE IDENTIDAD: 1720449592
APELLIDO Y NOMBRES: LARCO HERNÁNDEZ HERWIN DARÍO
DIRECCIÓN: URB. EL CONDADO CALLE T OE11-130 Y
CALLE X
EMAIL: [email protected]
TELÉFONO FIJO: 022497658
TELÉFONO MOVIL: 0988947207
DATOS DE LA OBRA
TITULO: ANÁLISIS DE VULNERABILIDADES
UTILIZANDO HERRAMIENTAS FREE EN REDES IPv6.
AUTOR O AUTORES: DARÍO LARCO
FECHA DE ENTREGA DEL PROYECTO
DE TITULACIÓN: 9 DE OCTUBRE 2016
DIRECTOR DEL PROYECTO DE
TITULACIÓN: ING. BOLIVAR JÁCOME
PROGRAMA PREGRADO POSGRADO
TITULO POR EL QUE OPTA: INGENIERO EN INFORMATICA Y CIENCIAS DE LA COMPUTACIÓN
RESUMEN: El presente artículo hace un estudio y análisis de las vulnerabilidades que presentan las redes configuradas con el protocolo IPv6, utilizando herramientas de software libre, en ambientes virtualizados. Para el diseño del esquema de direccionamiento se utilizó una IPv6 del tipo Unicast Global, la misma que se
dividió en varias subredes de acuerdo a la estructura funcional de la red corporativa. El diseño de la red se basó en la metodología PPDIOO de Cisco, la cual está alineada con el ciclo de Deming. Para el análisis de las vulnerabilidades se utilizó herramientas para mapeo de puertos, análisis de tráfico, escaneo de servicios IPv6 y escaneo de accesos a equipos de Networking.
PALABRAS CLAVES: Seguridad IPv6, seguridad informática, vulnerabilidad.
ABSTRACT: This article makes a study and analysis of the vulnerabilities that are shown in networks configured with IPv6 protocol, using free software tools in virtualized environments. To design the addressing scheme, an IPv6 Global Unicast address was used, this address was divided into several subnets according to the functional structure of the corporate network type. The network design was based on Cisco’s PPDIOO methodology, the same that is aligned with the Deming cycle. For the analysis of vulnerabilities; port mapping tools, traffic analysis, scanning IPv6 services and access scanning Networking devices were used.
KEYWORDS Informatic security, IPv6 security,
vulnerability.
Se autoriza la publicación de este Proyecto de Titulación en el Repositorio Digital de la Institución.
f: __________________________________________ LARCO HERNÁNDEZ HERWIN DARÍO
DECLARACIÓN Y AUTORIZACIÓN
Yo, LARCO HERNÁNDEZ HERWIN DARÍO, CI: 1720449592 autor del proyecto titulado: ANÁLISIS DE VULNERABILIDADES UTILIZANDO HERRAMIENTAS FREE EN REDES IPv6 previo a la obtención del título de
INGENIERO EN INFORMÁTICA Y CIENCIAS DE LA COMPUTACIÓN en la Universidad Tecnológica Equinoccial.
1. Declaro tener pleno conocimiento de la obligación que tienen las Instituciones de Educación Superior, de conformidad con el Artículo 144 de la Ley Orgánica de Educación Superior, de entregar a la SENESCYT en formato digital una copia del referido trabajo de graduación para que sea integrado al Sistema Nacional de información de la Educación Superior del Ecuador para su difusión pública respetando los derechos de autor.
2. Autorizo a la BIBLIOTECA de la Universidad Tecnológica Equinoccial a tener una copia del referido trabajo de graduación con el propósito de generar un Repositorio que democratice la información, respetando las políticas de propiedad intelectual vigentes.
Quito, 19 de octubre del 2016
f:__________________________________________ LARCO HERNÁNDEZ HERWIN DARÍO
DECLARACIÓN
Yo LARCO HERNÁNDEZ HERWIN DARÍO, declaro que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentado para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento.
La Universidad Tecnológica Equinoccial puede hacer uso de los derechos correspondientes a este trabajo, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normativa institucional vigente.
______________________________
CERTIFICACIÓN
Certifico que el presente trabajo que lleva por título análisis de vulnerabilidades utilizando herramientas free en redes ipv6, que, para aspirar al título de Ingeniero en Informática y Ciencias de la Computación fue desarrollado por HerwinDarío Larco Hernández, bajo mi dirección y supervisión, en la Facultad de Ciencias de la Ingeniería; y cumple con las condiciones requeridas por el reglamento de Trabajos de Titulación artículos 19, 27 y 28.
___________________
Ing. Bolívar Jácome
DIRECTOR DEL TRABAJO
DEDICATORIA
i
ÍNDICE DE CONTENIDOS
PÁGINA
RESUMEN 1
ABSTRACT 2
1. INTRODUCCIÓN
2. MARCO TEÓRICO
2.1. FUNDAMENTOS DE IPv6
2.2. PROTOCOLOS Y SERVICIOS IPv6
2.2.1. PROTOCOLO DE MENSAJES DE CONTROL DE INTERNET VERSIÓN 6
2.2.2. AUTOCONFIGURACIÓN DE DIRECCIONES SIN ESTADO
2.2.3. SISTEMA DE NOMBRES DE DOMINIO VERSIÓN 6
2.2.4. PROTOCOLO DE DESCUBRIMIENTO DE VECINOS
2.2.5. RESOLUCIÓN DE NOMBRES DE ENLACES LOCALES MULTICAST
2.2.6. DETECCIÓN DE DIRECCIONES DUPLICADAS 2.3. HERRAMIENTAS PARA ANÁLISIS DE
VULNERABILIDADES
3. METODOLOGÍA
3.1. METODOS CIENTÍFICOS 3.2. METODOLOGÍA PPDIOO 3.2.1. PREPARAR
3.2.2. PLANEAR 3.2.3. DISEÑAR 3.2.3. IMPLEMENTAR 3.2.3. OPERAR
3.2.3. OPTIMIZAR
4. RESULTADOS Y DISCUSIÓN
4.1. RESULTADOS
ii 4.1.1. PREPARAR
4.1.2. PLANEAR 4.1.3. DISEÑAR 4.1.3. IMPLEMENTAR 4.1.3. OPERAR
4.1.4. OPTIMIZAR 4.2. DISCUSIÓN
5. CONCLUSIONES Y RECOMENDACIONES
5.1. CONCLUSIONES 5.2. RECOMENDACIONES
6. BIBLIOGRAFÍA
7. ANEXOS
7.1. ANEXO I 7.2. ANEXO II 7.3. ANEXO III
iii
ÍNDICE DE TABLAS
PÁGINA
Tabla 1. Herramientas para análisis de vulnerabilidades IPv6.
Tabla 2. Resumen de los métodos de investigación aplicados.
Tabla 3. Recursos tecnológicos necesarios para recrear una red LAN-WAN IPv6.
Tabla 4. Herramientas de Software para la recreación de una red LAN-WAN IPv6.
Tabla 5. Costos de implementación del proyecto.
9 10 14 15 15
ÍNDICE DE FIGURAS
PÁGINA
Figura 1. Paquetes IPv6. Encapsulación de IPv6. 4
Figura 2. Estructura del esquema de direccionamiento IPv6 5
Figura 3. Ejemplo de dirección IPv6 5
Figura 4. Tipos de direcciones IPv6 6
Figura 5. Proceso de EUI-64. Direccionamiento IPv6
Figura 6. Fases del ciclo de vida PPDIOO.
Figura 7. Conexión física de los equipos de networking.
Figura 8. Archivo de configuración Router GUAYAQUIL
Figura 9. Servicio DNSv6
Figura 10. Servicio Apache (HTTP)
Figura 11. Servicio de Correo
Figura 12. Firewall virtual pfSense
Figura 13. Resultado de análisis Nmap.
Figura 14. Resultado de análisis Snort
Figura 15. Resultado de análisis de Nexpose
Figura 16. Resultado de análisis de Nessus
Figura 17. Resultado de Ntop
Figura 18. Resultado de Wireshark
iv
1
RESUMEN
El presente documento hace un estudio y análisis de las vulnerabilidades que presentan las redes configuradas con el protocolo IPv6, utilizando herramientas de software libre, en ambientes virtualizados. Para el diseño del esquema de direccionamiento se utilizó una IPv6 del tipo Unicast Global, la misma que se dividió en varias subredes de acuerdo a la estructura funcional de la red corporativa. El diseño de la red se basó en la metodología PPDIOO de Cisco, la misma que está alineada con el ciclo de Deming. Para el análisis de las vulnerabilidades se utilizó herramientas para mapeo de puertos, análisis de tráfico, escaneo de servicios IPv6 y escaneo de accesos a equipos de Networking.
2
ABSTRACT
This document makes a study and analysis of the vulnerabilities that are shown in networks configured with IPv6 protocol, using free software tools in virtualized environments. To design the addressing scheme, an IPv6 Global Unicast address was used, this address was divided into several subnets according to the functional structure of the corporate network type. The network design was based on PPDIOO Cisco’s methodology, the same that is aligned with the Deming cycle. For the analysis of vulnerabilities; port mapping tools, traffic analysis, scanning IPv6 services and access scanning Networking devices were used.
3
1 INTRODUCCIÓN
En la actualidad, debido a la globalización, la era de la información y el conocimiento, la apertura de mercados, las economías de escala y otros factores a nivel mundial, han provocado que se agoten las direcciones IPv4, permitiendo que las redes de datos y aplicaciones migren hacia el nuevo esquema de direccionamiento IPv6, sin embargo, la seguridad en estas redes es uno de los puntos más importantes a tratar en este estudio.
En las organizaciones, las seguridades informáticas que se implementan son realizadas por el personal de TI (Tecnologías de Información), pero existe un problema en IPv6, y es que este protocolo es poco utilizado en la configuración de las redes, ya sea por su complejidad o por desconocimiento de éstos; y si lo hacen, las configuraciones no son adecuadas en los diferentes equipos de networking, lo que provoca que se tengan pobres desempeños en el rendimiento de las redes, generen vulnerabilidades y causen inseguridades en la misma, que pueden ser aprovechadas por los crackers para generar pérdidas, daños, alteraciones y robos de información.
4
2 MARCO TEÓRICO
El fundamento teórico de este trabajo se enfoca en tres temas principales que permiten sustentar la investigación aplicada: (1) se estudia al protocolo IPv6; sus fundamentos, estructura y configuraciones, (2) se hace un resumen de las características más relevantes de servicios y protocolos que posee IPv6, y (3) se realiza un análisis de las diferentes herramientas utilizadas para el análisis de vulnerabilidades en IPv6.
2.1 FUNDAMENTOS DE IPv6
A principios de los años noventa, Internet Engineering Task Force (IETF) comenzó a preocuparse por los problemas de IPv4 y empezó a buscar un reemplazo. Esta actividad condujo al desarrollo de IP versión 6 (IPv6). IPv6 supera las limitaciones de IPv4 y constituye una mejora eficaz con características que se adaptan mejor a las demandas actuales y previsibles de las redes (Cisco A. , 2015). La Fig.1 muestra las diferencias en la estructura de los encabezados de IPv4 e IPv6.
Figura 1. Paquetes IPv6. Encapsulación de IPv6. (Cisco A. , 2015).
Donde se puede mencionar algunas ventajas con respecto a éstos:
Existe un mejor rendimiento y velocidad de enrutamiento al momento del reenvío de paquetes.
5
Se incluye un campo denominado “Identificador de flujo” para poder indicar que tipo de flujo existe en el paquete, evitando así la apertura del paquete para poder identificar los distintos flujos de tráfico.
Una dirección IPv6 posee en su estructura 128 bits distribuidos en 8 bloques separados por el signo “:” y cada uno de estos poseen 4 dígitos
hexadecimales. Como se indica en la Fig. 2, las direcciones IPv6 se dividen en tres grandes porciones de dirección: el prefijo de red, el identificador de subred y un identificador de host. (Medina & Forero Rodríguez, 2012).
Figura 2. Estructura del esquema de direccionamiento IPv6. (Medina & Forero Rodríguez, 2012).
Un ejemplo de una dirección IPv6, distribuida en sus tres porciones de dirección, se muestra en la Fig. 3:
Figura 3. Ejemplo de dirección IPv6.
6
Figura 4. Tipos de direcciones IPv6. (Lavado, 2015)
2.2 PROTOCOLOS Y SERVICIOS IPv6
IPv6 está diseñado para operar en la capa 3 del modelo TCP/IP, sin embargo, su estructura y diseño afecta en cierto modo el funcionamiento de los servicios y protocolos de las otras capas. (González, 2015).
En el siguiente apartado se irán destacando los protocolos y servicios más relevantes de IPv6.
2.2.1 PROTOCOLO DE MENSAJES DE CONTROL DE INTERNET
VERSIÓN 6
Protocolo de Mensajes de Control de Internet versión 6 (ICMPv6), realiza las funciones equivalentes a ICMP de IPv4 para la presentación de informes de entrega, expedición de errores y ofrecer un servicio simple de mensajes para la solución de problemas. ICMPv6 está definida en la RFC 4443 y es fundamental en la implementación de IPv6. (Davies, 2012).
2.2.2 AUTOCONFIGURACIÓN DE DIRECCIONES SIN ESTADO
7 host basado en el prefijo de red que es obtenido desde un router en una red de área local mediante mensajes conocidos como RA (Router Advertisements). Estos mensajes son enviados por defecto por la mayoría de los enrutadores IPv6 y le sirven al host para saber el prefijo de red de su dirección IPv6. El método como un host forma una dirección IPv6 se lo conoce como EUI-64 que no es más que un mecanismo donde cada host añade su dirección MAC en el formato EUI-64 al prefijo de IPv6 que posee el enrutador. La Fig. 5 muestra el proceso de EUI-64.
Figura 5. Proceso de EUI-64. Direccionamiento IPv6. (Cisco, 2008).
2.2.3 SISTEMA DE NOMBRES DE DOMINIO VERSIÓN 6
El Sistema de Nombres de Dominio versión 6 (DNSv6) tiene el mismo propósito que DNSv4; convertir nombres de dominio en direcciones IP y viceversa, con la única diferencia que el DNSv6 define dos nuevos tipos de recursos denominados AAAA (“quad A”), para resolver un nombre de dominio en una dirección IPv6 & IP6.ARPA, para determinar un nombre de dominio basado en una dirección IPv6.
2.2.4 PROTOCOLO DE DESCUBRIMIENTO DE VECINOS
8
2.2.5 RESOLUCIÓN DE NOMBRES DE ENLACES LOCALES
MULTICAST
Resolución de Nombres de Enlaces Locales Multicast, LLMNR (Link-Local Multicast Name Resolution) es un nuevo protocolo definido en la RFC 4795 que provee un método adicional para resolver los nombres de hosts vecinos en redes que no poseen un servidor DNS. LLMNR permite que tanto los hosts en IPv6 como en IPv4, desarrollen una resolución de nombres entre computadores vecinos simplemente con intercambiar mensajes “REQUEST” y “REPLY” sin necesidad que exista un servidor DNS o una configuración DNS del lado del cliente.
2.2.6 DETECCIÓN DE DIRECCIONES DUPLICADAS
Detección de Direcciones Duplicadas (DAD), es una funcionalidad de NDP que determina si una dirección IPv6, ya sea de enlace local o del tipo unicast global, está siendo utilizada por otro dispositivo.
Si una dirección duplicada es descubierta durante el proceso, no puede ser utilizada por la interfaz. El procedimiento para detectar direcciones duplicadas utiliza mensajes de NS (Neighbor Solicitation) y de NA (Neighbor Advertisement). (Graziani, 2013).
2.3 HERRAMIENTAS PARA ANÁLISIS DE
VULNERABILIDADES
9 vulnerabilidades de redes IPv6 las mismas que sirven como guía para poder monitorear y asegurar la red de algún tipo de ataque que esta pueda sufrir.
Tabla 1. Herramientas para análisis de vulnerabilidades IPv6.
HERRAMIENTA TIPO DESCRIPCIÓN SISTEMAS
OPERATIVOS
Nessus Escáner
Identifica vulnerabilidades en la red y muestra como resultados problemas de malas configuraciones y vulnerabilidades que los atacantes utilizan para penetrar la red.
Windows, Linux, BSD, Solaris y otros Unix
Nmap Escáner
Determina los puertos que se encuentran expuestos en un servicio de red y de esta manera evalua la seguridad de un host o una red de datos.
Windows, Linux, Mac OS X, y otros Unix.
Snort IDS
Realiza análisis de tráfico en tiempo real e identifica actividad sospecha en la red registrando los paquetes obtenidos en su ejecución.
Windows, Linux y FreeBSD.
Wireshark Sniffer
Captura paquetes en una red de datos y analiza estos segmentadolos por protocolos.
Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Android, Mac OS X y Microsoft Windows.
Ntop Escáner
Herramienta que permite monitorear en tiempo real el estado de los usuarios y aplicaciones que se encuentran dentro de la red. Ntop detecta malas configuraciones que pueda tener algún host o servicio en la red.
Unix (incluyendo Linux, BSD, y MacOSX)
Windows x64 (incluyendo las últimas versiones de
Windows 7/8/10)
pfSense Firewall virtual
Basado en el Sistema Operativo FreeBSD con propiedades de un kernel personalizado que incluyen paquetes de software adicionales para poder obtener la misma funcionalidad de los más comunes firewalls comerciales.
Sistema Operativo basado en FreeBSD
Nexpose Analizador
Analizador desarrollado por la empresa Rapid 7 (http://www.rapid7.com/), tiene una versión Community de código abierto y tres versiones comerciales (Enterprise, Consultant y Express) que difieren básicamente en el número de IP’s
que se pueden escanear y en los niveles de soporte técnico disponibles. (Astudillo, 2013)
Linux y Windows.
Cisco-global-exploiter Analizador
Es un archivo de script escrito en Perl que tiene 14 opciones para analizar vulnerabilidades en dispositivos Cisco. Viene incluida en la distribución Kali Linux por defecto.
10
3 METODOLOGÍA
Para el desarrollo de la investigación se utilizó el método deductivo y para la recreación de la red IPv6 se utilizó la metodología PPDIOO, a continuación, se detalla las características de cada fase.
3.1 MÉTODOS CIENTÍFICOS
Para el desarrollo de este trabajo se utilizó varios métodos de investigación científica, entre teóricos y empíricos, que permiten sustentar la fundamentación teórica de la investigación. La Tabla 2 muestra el resumen de los métodos empleados en cada una de las fases del trabajo de titulación.
Tabla 2. Resumen de los métodos de investigación aplicados.
METODOS DE INVESTIGACIÓN
FASE DE LA INVESTIGACIÓN
INTRODUCCIÓN MARCO TEORICO METODOLOGÍA ANALISIS Y RESULTADOS
TEÓRICOS
Inductivo - Deductivo
APLICACIÓN:
En la
identificación del problema a resolver.
Analítico - Sintético
APLICACIÓN:
En la selección de las fuentes de información.
En la
elaboración de los contenidos de cada tema o subtema.
En la
sistematización de los temas y subtemas a tratar.
Inductivo – Deductivo
Analítico - Sintético
APLICACIÓN:
En el diseño de la
aplicación.
Analítico
EMPIRICOS X X X Simulación
11
3.2 METODOLOGÍA PPDIOO
Para el desarrollo de la aplicación práctica se utilizó la metodología PPDIOO de Cisco, la misma que define el ciclo de vida continuo de los servicios que una red requiere y es exclusiva de los Servicios de Cisco. Esta metodología define por actividades, cada fase del ciclo de vida de la red para de esta manera asegurar los servicios que la red necesita. En la Fig. 6 se muestran las fases del ciclo de vida de esta metodología.
Figura 6. Fases del ciclo de vida PPDIOO.
3.2.1 PREPARAR
En esta fase se determinan los requisitos de la red dentro de una compañía y una estrategia para poder satisfacer positivamente a los objetivos planteados en el inicio del presente proyecto.
Preparar
Planear
Diseñar
Implementar
12
3.2.2 PLANEAR
Esta fase permitió definir las características que tendrá la recreación de la red LAN-WAN IPv6 para una empresa. Protocolos de enrutamiento, direccionamiento IPv6 y ubicación de los equipos de networking y servidores dentro de la red son mencionados.
3.2.3 DISEÑAR
Basado en la información recopilada en la fase anterior, se determinó la topología, el esquema lógico y de direccionamiento de la red IPv6, así como también se muestran tablas de recursos tecnológicos (físicos y lógicos) para la implementación de la red.
3.2.4 IMPLEMENTAR
En esta fase se explica el procedimiento para la implementación de la red IPv6, de acuerdo a los resultados de la fase anterior.
3.2.5 OPERAR
En esta fase se realizaron pruebas de conectividad y funcionamiento de servicios de la red en su totalidad.
3.2.6 OPTIMIZAR
13
4 RESULTADOS Y DISCUSIÓN
4.1 RESULTADOS
A continuación, se presentan los principales resultados obtenidos en las distintas etapas de la metodología de diseño de redes PPDIOO.
4.1.1 PREPARAR
En esta fase se recopiló información referente a la estructura general de una red corporativa, la misma que está conformada por redes LAN y enlaces WAN.
4.1.2 PLANEAR
La recreación de la red LAN-WAN con IPv6 se estructuró, tomando como ejemplo, una empresa que tiene sucursales principales en 3 ciudades diferentes, las mismas que a la vez contarán con un mínimo de 2 agencias y con un mínimo de 4 departamentos funcionales. Para la interconectividad entre las diferentes ciudades se utilizó enrutamiento dinámico vector distancia y estado de enlace. Para el direccionamiento de la red se utilizó una dirección Unicast Global y subredes en IPv6. Se decidió ubicar la granja de servidores de uso general en una sola ciudad.
4.1.3 DISEÑAR
Para el diseño de la red LAN – WAN se han considerado los siguientes datos:
Topología: estrella extendida. (Ver Anexo I).
Tabla de direccionamiento IPv6 con subredes. (Ver Anexo II).
Direccionamiento IPv6. (Ver Anexo III).
14 La Tabla 3 muestra las características y costos de los materiales disponibles en el laboratorio de redes de la UTE con los que se recreó el diseño de la red. Hay que mencionar que los costos de los equipos y materiales de la Tabla 3 fueron tomados del portal www.amazon.com.
Tabla 3. Recursos tecnológicos necesarios para recrear una red LAN-WAN IPv6.
Dispositivo
/Elemento Marca Modelo Cantidad
Costo Unitario
(USD)
Router Cisco 1841 3 400,00
Switch Cisco Catalyst
2960 4 275,00
Switch Cisco Catalyst
2950 3 270,00
Interfaz WAN Cisco WIC-2T 3 50,00
Cable Serial DTE-DCE
Crossover N/A N/A 3 20,00
Cable USB-RS232 N/A N/A 6 10,00
Cable de poder N/A N/A 6 8,00
Patch Cord cat. 5e N/A N/A 15 7,00
Laptop Dell Inspiron
N5110 1 450,00
Computador de
Laboratorio Samsung N/A 4 800,00
Costo Total (USD)
7.203,00
15
Tabla 4. Herramientas de Software para la recreación de una red LAN-WAN IPv6.
Sistema Operativo
/Herramienta Versión
CentOS 7
Kali Linux 2016.1
Windows 10
Windows 7
pfSense 2.3.2
Internet Explorer 11 Mozilla Firefox 49.0.1 Oracle VM Virtual Box 5.1.2
Nessus 6.8.1
Snort 2.9.8.3
Ntop 3.18
Nmap 7.12
Nexpose 2.22
Wireshark 2.2.0
La Tabla 5 muestra los costos detallados de las actividades y recursos tecnológicos necesarios para la implementación total del proyecto.
Tabla 5. Costos de implementación del proyecto.
Actividad /
Recursos Costo/hora (USD) Tiempo (horas)
Costo Total
(USD)
Realizar Esquema Lógico de
la red IPv6 10,00 2 20,00
Determinar Direccionamiento
IPv6 20,00 3 60,00
Implementación y pruebas de
la red IPv6 25,00 24 600,00
Instalación, configuración y
pruebas de servidores. 15,00 28 420,00
Equipos y Materiales 7.203,00 N/A 7.203,00
Costo total del
16
4.1.4 IMPLEMENTAR
Dentro de la fase de implementación se hicieron las conexiones físicas de los equipos tal como muestra la Fig. 7, para posteriormente realizar las configuraciones respectivas en cada uno de los equipos de networking.
Figura 7. Conexión física de los equipos de networking.
4.1.5 OPERAR
Para la fase de operación se realizaron las configuraciones y pruebas necesarias para tener conectividad completa dentro de la red IPv6. Los siguientes pasos muestran las configuraciones realizadas en el Router QUITO.
QUITO(config)#interface fa0/0 se ingresa a la interfaz FastEthernet0/0 QUITO(config-if)#ipv6 enable se habilita el protocolo IPv6.
QUITO(config-if)#ipv6 address 2001:DB8:1234::1/64 se añade una dirección IPv6. QUITO(config-if)#no shutdown se levanta la interfaz.
Este proceso se realiza para todas las interfaces de todos los equipos de networking dentro de la red IPv6, basándose en el Anexo 3.
17
GUAYAQUIL(config)#ipv6 unicast-routing se habilita el enrutamiento unicast en IPv6. GUAYAQUIL(config)#ipv6 router ospf 1 se habilita OSPFv3 con proceso = 1.
GUAYAQUIL(config-rtr)#router-id 2.2.2.2 se establece el id de la ruta.
GUAYAQUIL(config-rtr)#redistribute eigrp 1 metric 100 se redistribuye el protocolo eigrp con proceso 1 y con una métrica de 100.
GUAYAQUIL(config-rtr)#redistribute connected se redistribuye las rutas con conexiones directas.
GUAYAQUIL(config-rtr)#exit se sale del protocolo de enrutamiento.
GUAYAQUIL(config)#ipv6 router eigrp 1 se habilita EIGRPv6 con proceso=1.
GUAYAQUIL(config-rtr)#eigrp router-id 2.2.2.2 se establece el id en el protocolo de enrutamiento.
GUAYAQUIL(config-rtr)#redistribute ospf 1 metric 100 10 100 1 1500 se redistribuye ospf con proceso=1, métrica = 100, ancho de banda=10Kb/s, retraso=100ms, carga=1, MTU=1500 bytes.
GUAYAQUIL(config-rtr)#redistribute connected se redistribuye las rutas con conexiones directas.
GUAYAQUIL(config-rtr)#no shutdown se levanta el protocolo. GUAYAQUIL(config-rtr)#exit salida del protocolo de enrutamiento. GUAYAQUIL(config)#int se0/0/0 ingreso hacia la interfaz Serial0/0/0. GUAYAQUIL(config-if)#ipv6 eigrp 1 se añade el protocolo eigrp 1. GUAYAQUIL(config-if)#exit salida de la interfaz.
GUAYAQUIL(config)#int se0/0/1 se ingresa a la interfaz Serial0/0/1
18 La Fig. 8 muestra el archivo de configuración completo del enrutador en la sucursal GUAYAQUIL.
Figura 8. Archivo de configuración Router GUAYAQUIL.
Una vez realizada la configuración de los enrutadores y pruebas de conexión, utilizando la herramienta Oracle VirtualBox VM versión 5.1.2 y tomando como base al sistema operativo anfitrión Windows 10, se procedió a levantar dos máquinas virtuales. La primera máquina virtual corresponde a la distribución Centos 7 con servicios IPv6 (DNSv6, HTTP y Correo) y la segunda máquina virtual posee el Firewall virtual denominado pfSense.
19
Figura 9. Servicio DNSv6.
En la Fig. 10 se puede apreciar como el servicio HTTP para IPv6 se despliega correctamente a través de Mozilla Firefox.
20 En la Fig. 11, a través de Internet Explorer, se aprecia la interfaz del servicio de Correo instalado y configurado correctamente en el servidor.
Figura 11. Servicio de Correo.
La Fig. 12 muestra la interfaz del Firewall virtual pfSense, demostrando así su correcto funcionamiento.
21
4.1.6 OPTIMIZAR
Dentro de la fase de optimizar se realizaron los distintos análisis de vulnerabilidades con las herramientas mencionadas en la Tabla 1. A continuación se muestran los resultados de análisis de cada una de estas dentro de la red IPv6.
La Fig. 13 muestra los resultados de análisis de puertos, la misma que se realizó a la red local IPv6 donde se situó la granja de servidores en Guayaquil. La herramienta nmap muestra puertos abiertos como 80 (http), 23 (telnet), entre otros.
22 En la Fig. 14 se aprecia que fueron analizados 107 paquetes por la herramienta Snort de los cuales todos estos eran paquetes IPv6 y se los capturaba a través de la interfaz Ethernet. La herramienta consideró todos estos paquetes como tráfico permitido.
23 En la Fig. 15, se aprecia como la herramienta Nexpose arrojó datos estadísticos de los Sistemas Operativos y servicios de red más comunes, así como también un porcentaje de los Sistemas Operativos disponibles en los dispositivos presentes de la red IPv6 analizada.
24 En la Fig.16 se muestran los resultados que arrojó la herramienta Nessus, donde se aprecian vulnerabilidades medias y bajas, así como también información a tomar en cuenta para asegurar la red IPv6.
25 La Fig. 17 muestra datos estadísticos arrojados por la herramienta Ntop, donde se aprecia la segmentación del tipo de tráfico existente en la red IPv6 y el análisis que hace de estos basándose en el tamaño de cada paquete y en el tiempo de vida (TTL).
26 La Fig. 18 muestra como Wireshark representa el flujo de paquetes IPv6 generados en la comunicación dentro de la red, así como también los protocolos utilizados en esta y como los paquetes fluyen.
27 La Fig. 19 muestra el resultado de análisis de la herramienta Cisco-global-exploiter sobre el router de Quito. Se puede apreciar que los protocolos telnet y http no se encuentran activados y de esta manera comprobar que estos protocolos son vulnerables.
28
4.2 DISCUSIÓN
De todas las herramientas utilizadas para el análisis de vulnerabilidades, entre las más completas, sencillas de utilizar y las que menos problema dieron, en cuanto a instalación, configuración y acceso fueron Nexpose y Nessus. Cada una de ellas realizó un análisis dentro de la red IPv6 pero con cierta desventaja y es que para Nexpose, su versión libre es limitada ya que solo escanea ciertos servicios y protocolos de red y no realiza un escaneo completo como si lo hace la versión pagada y Nessus no escanea rangos de direcciones IPv6 tan solo escanea a un host en específico, por otro lado, nmap logró obtener resultados positivos siempre y cuando esta herramienta se ejecute dentro de un segmento de red local, si se intenta analizar puertos fuera de la red local IPv6 a la que pertenece la herramienta, esta no funciona. En cuanto a los capturadores de paquetes, Snort y Wireshark, estas herramientas permitieron saber cómo fluye el tráfico dentro de una red IPv6 y en tiempo real, poder determinar si existe actividad sospechosa dentro de la red, es decir tráfico que no es usual en una red de datos, mientras que ntop logró visualizar como estuvo segmentado el tráfico generado en la red IPv6 en todo el periodo de duración del proyecto. La herramienta Cisco-global-exploiter permitió determinar si existían vulnerabilidades en los equipos Cisco utilizados en el proyecto y los resultados fueron favorables debido a que no existían protocolos de acceso remoto activados como Telnet, SSH o HTTP en los equipos de networking.
29
5 CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
Para la realización de este trabajo de titulación se utilizaron algunos métodos, entre teóricos y empíricos que permitieron sustentar la fundamentación teórica de la investigación. Para el diseño de la aplicación práctica se utilizó la metodología de diseño de redes Cisco, PPDIOO, ya que esta es flexible y adaptable a cualquier tipo de proyecto de TI y en este caso se añadió una característica de determinación de costos del proyecto ajustada a las actividades previas a la implementación total del presente trabajo, permitiendo de esta manera llevar un orden dentro del desarrollo del proyecto.
Para la determinación de las vulnerabilidades de los servicios básicos de la red (WWW, E-MAIL, y DNSv6) se utilizó una máquina virtual con Centos 7, localizada en una zona de servidores, y las herramientas de análisis de las vulnerabilidades se configuraron en una computadora cliente localizada en esta área y fuera de ésta, con el fin de comprobar el comportamiento de las herramientas.
Una vez utilizadas todas las herramientas para el análisis de vulnerabilidades en la red IPv6, se logró determinar que las vulnerabilidades más comunes que tienen los equipos de networking y los servicios IPv6 virtualizados dentro de la red son sus puertos de acceso tales como: 23 (Telnet), 22 (SSH) y 80 (HTTP), asi como también existieron vulnerabilidades en los servicios como DNS, POP, y WEB presentes en un servidor dedicado.
30 reales, pero en la práctica, la red empresarial fue recreada y simulada en el laboratorio de redes de la UTE.
31
5.2 RECOMENDACIONES
Para el análisis de vulnerabilidades en redes IPv6, es necesario tener un conocimiento general sobre el funcionamiento del protocolo IPv6, sus tipos de direcciones, los servicios que este protocolo presenta y su estructura en general, debido a que si no se tiene conocimientos de esta tecnología, tendrá dificultades en interpretar los resultados, especialmente lo referente a análisis de tráfico IPv6.
Para el diseño de una red LAN –WAN, es recomendable seguir con las fases de la metodología PPDIOO ya que esta facilita su entendimiento y se adapta a cualquier tipo de proyecto de TI.
Es recomendable tener un conocimiento básico sobre las diferentes herramientas de Software Libre utilizadas para el análisis de vulnerabilidades, debido a que si no se configuran estas herramientas de manera adecuada, los resultados de análisis de vulnerabilidades dentro del proyecto no pueden ser favorables.
32
6 BIBLIOGRAFÍA
Alonso, C. (29 de Febrero de 2012). Un Informático del Lado del Mal. Obtenido de http://www.elladodelmal.com/2012/02/desactivar-ipv6-y-evitar-ataques-de-red.html
Astudillo, K. (2013). Hacking Ético 101. Cómo hackear profesionalmente en 21 días o menos! Guayaquil: Karina Astudillo B.
Cicileo, G., Roque, G., Christian, O., César, M., Jordi, M., Mariela, R., & Álvaro, M. (2009). Ipv6 para Todos. Buenos Aires: Asociación Civil Argentinos en internet.
Cisco. (2008). IPv6 Addressing White Paper. San José: Cisco Systems. Cisco, A. (2015). Principios Básicos de enrutamiento y switching. México
DF.: Academia Cisco.
Davies, J. (2012). Understanding IPv6. Washington: Microsoft Press. González, D. F. (2015). Inseguridad en Redes IPv6. Manizales: Diego
Fernando González.
Graziani, R. (2013). IPv6 Fundamentals. A Straightforward Approach to Understanding IPv6. Indianapolis: Cisco Press.
Internet Society Hong Kong. (2012). "All about IPv6" Consumer Guide. Hong Kong, Hong Kong, China: ISOC-HK.
John Wiley & Sons, Inc. (2012). IPv6 For Dummies. New Jersey: John Wiley & Sons, Inc.
Jones, R. (Junio de 2015). IPv6 Addressing and Subnetting Workbook. Frederick, Mariland, USA: Cisco Networking Academy.
Lavado, G. (29 de Enero de 2015). SlideShare. Obtenido de
http://es.slideshare.net/GianpietroLavado/i-pv6-internet-protocol-version-6-v2
Lyon, G. (Mayo de 2003). Las 75 Herramientas de Seguridad Más Usadas. Obtenido de Insecure.org: http://insecure.org/tools/tools-es.html Medina, C. C., & Forero Rodríguez, F. (27 de Noviembre de 2012).
33 Morales, I. (18 de Diciembre de 2012). Introducción al IPv6. Quito, Pichincha,
Ecuador.
Rambla, J. L. (2014). Ataques en redes de datos IPv4 e IPv6. Madrid: ZeroxWord Computing S.L.
Superintendencia de Telecomunicaciones. (2012). IPv6 en Ecuador. Revista Institucional SUPERTEL, 48.
34
7 ANEXOS.
ANEXO I.
35
ANEXO II.
36
ANEXO III.
DIRECCIONAMIENTO IPv6 DE LA RED LAN – WAN EMPRESARIAL.
SIMBOLOGÍA
SERVER FIREWALL VIRTUAL
SWITCH CABLE DIRECTO
ROUTER CABLE SERIAL
HOST
DISPOSITIVO INTERFAZ DIRECCION IPv6 GATEWAY
S0/0/0 2001:DB8:1234:3000::1/64 N/A
F0/0 2001:DB8:1234::1/64 N/A
S0/0/0 2001:DB8:1234:4000::1/64 N/A
S0/0/1 2001:DB8:1234:3000::2/64 N/A
F0/0 2001:DB8:1234:1000::1/64 N/A
F0/1 2001:DB8:1234:1100::1/64 N/A
S0/0/1 2001:DB8:1234:4000::2/64 N/A
F0/0 2001:DB8:1234:2000::1/64 N/A
SERVER DNSv6 F0 2001:DB8:1234:1000::2/64 2001:DB8:1234:1000::1/64
SERVER HTTP F0 2001:DB8:1234:1000::2/64 2001:DB8:1234:1000::1/64
SERVER E-MAIL F0 2001:DB8:1234:1000::2/64 2001:DB8:1234:1000::1/64
FIREWALL pfSense F0 2001:DB8:1234:1000::3/64 2001:DB8:1234:1000::1/64 PC1-GUAYAQUIL2 F0 2001:DB8:1234:1100::2/64 2001:DB8:1234:1100::1/64 PC2-GUAYAQUIL2 F0 2001:DB8:1234:1100::3/64 2001:DB8:1234:1100::1/64
PC1-QUITO F0 2001:DB8:1234::2/64 2001:DB8:1234::1/64
PC2-QUITO F0 2001:DB8:1234::3/64 2001:DB8:1234::1/64
PC1-CUENCA F0 2001:DB8:1234:2000::2/64 2001:DB8:1234:2000::1/64
PC2-CUENCA F0 2001:DB8:1234:2000::3/64 2001:DB8:1234:2000::1/64
R-GUAYAQUIL R-QUITO
R-CUENCA
UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL Fecha: 2016/09/22
Creado por: Darío Larco Revisado por: Ing.
Bolivar Jácome
