ATAQUESAIPv6:THCIPv6

1.Introduccin

EnlaactualidadexistenpocasherramientaspararealizarataquesespecficosalprotocoloIPv6.
THC(acrnimode 'TheHacker'sChoice) esungrupodeexpertosinternacionalesenseguridadde
redes y sistemas que destaca dentro de este campo al crear el primer paquete de herramientas
especficamentediseadasparaataquesaesteprotocolo:ThcIPv6.

Dentrodeestepaquete,ademsdeunalibrera(enC)paralacreacindepaquetesquepermite
programar fcilmente nuestros propios exploits en apenas 510 lneas, se incluye un conjunto de
potentesexploitsparasistemasLinuxpensadosparaatacarlasdebilidadesinherentesaIPv6eICMP6.
En las siguienteslneas seanalizarunapequeaseleccindeestas herramientas,exponiendo sus
caractersticasymostrandoademsalgunosdelosataquesbsicosquesepodranrealizarconellas.

Comenzaremos con una breve introduccin a IPv6, mostrando las principales

semejanzas/diferencias conel(porel momento)mayoritariamenteextendidoIPv4.Deesta manera
podremoscomprendermejorquenosaportaThcIPv6yquenovedadesdebemostenerencuentapara
suutilizacinefectivayassabercmoatacar(ydefendernos)mejor.

2.ResumendeIPv6

ElprotocoloIPv6esunanuevaversindeIP(InternetProtocol)diseadaparareemplazara
IPv4.SeencuentradefinidaenelRFC2460.AcontinuacinseexponenlascaractersticasdeIPv6ms
interesantesyesencialesparalacomprensindelossiguientesapartados:

El primer datosalientable es que ipv6 permite un nmero de posibles direcciones IP muy

superioraIPv4(2128delprimerofrentea232delsegundo).LarestriccinqueIPv4imponesobre
elcrecimientodeinterneteslaprincipalraznqueIpv6estdestinadoasustituirlo.

El tamao de una subred en IPv6 es de 264 (mscara de subred de 64 bits). Aunque

probablementeelaprovechamientodelespaciodedireccionesdelasubredseamenorqueen
IPv4, el uso de direcciones ms largas permite una asignacin de las mismas de manera
jerrquicaysistemtica(mejorandoaslaadministracindelasredesdebidoalareduccinde
costesoperacionales),ademsdeunaagregacinderutasmseficiente.

Permite la autoconfiguracin de direcciones IP e interconexiones de equipos usando los

mensajes de descubrimiento de routers de ICMPv6. Tambin es posible utilizar DHCPv6
(DynamicHostConfigurationProtocol paraIPv6)oconfigurarlosnodosdeformaesttica.
ICMPv6 esunanuevaversindeICMP(InternetControlMessageProtocol)yesunaparte
importante de la arquitectura IPv6 que debe estar completamente soportada por todas las
implementaciones y nodos IPv6. ICMPv6 combina funciones que anteriormente realizaban
diferentes protocolos (ICMP, IGMP, ARP ...) y adems introduce algunas simplificaciones
eliminandotiposdemensajesobsoletosqueestabanendesusoactualmente.
 IPv6noimplementabroadcast,aunquepuedenenviarsepaquetesaladireccindemulticasta
todoslosnodos(enlacelocal)conunefectoanlogo.

Se integranalgunascaractersticasdeseguridad,entrelasquedestacalaobligatoriedad del
soporteaIPSec(InternetProtocolSecurity),protocoloutilizadoparacifradoyautenticacinIP
(niveldered).

MIPv6(MovileIpv6),quepermiteaunnodomoversepordiferentessubredesmanteniendolas
conexionesdeformatransparente,estaneficientecomoelIPv6normal(adiferenciadeIpv4
mvil).

LasdireccionesIPv6tienen128bits delongitudyseescribencomoochogruposdecuatro
dgitoshexadecimales(porejemplo:3ffe:ffff:0:0:8:800:20c4:0).Cadagruposeseparapordospuntosy
si uno o ms grupos sonnulos (0000) sepueden comprimir (para el ejemplo anterior se tiene:
3ffe:ffff::8:800:20c4:0).Ladireccin::1esladeloopbackyelprefijoff00::seusaparalasdirecciones
multicast.

ElformatodelasdireccionesIPv6eselsiguiente:unacabeceraobligatoriade40Bytes,una
seriedecabecerasopcionalessituadasacontinuacindelaobligatoriaylosdatos(concabecerasde
protocolosdenivelsuperiorincluidas).ElnuevoformatodepaquetequeespecificaIPv6estdiseado
paraminimizarelprocesamientodelencabezadodepaquetes.Adems,loscambiosenlacodificacin
delasopcionesdelacabecerapermitenunamayorflexibilidadalahoradeintroducirnuevasopciones
ovariarsulongitud.Comoapunte,decirqueIPv6yanolimitalacargatildelospaquetesa64KB,
sinoquetienesoporteopcionaldehasta4GB(losllamadosjumbogramas).

Porltimo,cabemencionarelsistemaIPv66to4quepermiteenviarpaquetesIPv6sobreuna
infraestructuraIPv4sinnecesidaddeconfigurarmanualmentelostnelesqueencapsulanlospaquetes
IPv6enpaquetesIPv4.

3.Ejemplodeataque

UnavezconocidaslascaractersticasbsicasdeIpv6,veamoscomosacarlepartidoalusode
ThcIpv6.Comoejemplobsico,pensemosenunalumnoquedeseaaprenderelfuncionamientobsico
deIPv6realizandounataqueinofensivoaotroscompaerosqueseencuentradentrodesusubred.El
manejodeestasherramientasessencilloymuyintuitivo,aunqueladificultaddelataqueaumentarasi
el objetivo fuesen mquinas fuera de nuestro segmento de red, como se comentar en la seccin
siguiente.

1:Fijarobjetivo

Como suele pasar a la hora de pensar los ataques, lo primero es conocer cual es nuestro
objetivo. Para un ataque a una subred con Ipv4, una forma tpica de actuar sera utilizar una
herramientacomoNmapparabuscarlasdireccionesdelasmquinasenlasubredaatacar,escanearsus
puertos,buscarvulnerabilidadesenlospuertosabiertos...ConIpv6,lasecuenciadeaccionessera
similar,perodebidoalenormerangodedireccionesvlidasdentrodeunasubred(264 ),eltiempode
cmputonecesarioparaelescaneoinicialseraexcesivo.As,conIPv6,lasfuentesdeinformacin
principales(yportantounodelosobjetivosclave)sernlosservidoresDNS(DomainNameSystem).
EstosedebeaquelosservidorespblicosnecesitanestarenservidoresDNSparaquelosclientes
puedanresolversusdireccionesIPytodaslasmquinasnecesitanestarenservidoresDNSprivados
conlafinalidaddeseradministradas.

Enestatarea,nospuedeserdeutilidadunadelasherramientasincluidasenThcIPv6:alive6.

Siejecutamosenunterminal:

>./alive6interfaz

LarespuestaobtenidasernlasNdireccionesdelasinterfacesderedlocalescondirecciones
Ipv6,entrelasquepodremosseleccionaralgunasaatacar:

Alive:direccionIpv61
Alive:direccionIpv62
...
Alive:direccionIpv6N
FoundNsystemsalive

2:Buscarvulnerabilidades

Siquisiramosrealizarunataqueserio,unavezconocidonuestroobjetivodeberamosencontrar
susvulnerabilidades.Enelapartadosiguientesecomentanerroresdeseguridadtpicosquesepueden
encontrar (y aprovechar) para ataques a IPv6, en su mayora debidos a descuidos o malas
implementaciones. En todo caso, la bsqueda de vulnerabilidades se escapa al contenido de este
documento,yaquenoestaraligadadirectamenteconelusodelasherramientasproporcionadaspor
ThcIPv6.Portanto,seprocededirectamenteaexplicaralgunosejemplosdeataques.

3:Interceptaryfalsificarmensajes

Podemosempezarporinterceptar(ymodificar)mensajesenviadosentredosmquinasdela
subred,esdecir,realizarelclsicoMitM(ManintheMiddle).Larealizacindeestetipodeataqueen
IPv4sebasaenelfuncionamientodelaspeticionesdeARP(paraobtenerlaMACcorrespondientea
unadireccinIP)ymensajesDHCP(paraasignardireccionesIPdinmicamente),enviadosambosala
direccindebroadcastdelasubred.Portanto,cualquierapuederesponderaestosmensajes,falseando
aslainformacin.EnIPv6noseaadeunaseguridadespecialaloanterior,ladiferenciaradicaenque
seutilizaICMP6pararealizarestaspeticionesyseutilizandireccionesmulticast(puesenIPv6nohay
direccionesdebroadcast).

Un posible ataque MitM con IPv6 es el siguiente. Cuando un compaero1 vctima quiera
comunicarseconuncompaero2,enviarunapeticinICMP6(parasolicitarlaMACdecompaero2)
atodoslosnodosdelasubred(direccinmulticast).Elatacantepuedeutilizarlaherramientaparasite6
paraenviarunarespuestaafirmandoquelaMACsolicitadasecorrespondeconsudireccinIP.
 Siejecutamosenunterminal:

>./parasite6interfaz
Remembertoenablerouting(ip_forwarding),youwilldenialserviceotherwise!
StartedICMP6NeighborSoliticationInterceptor(PressControlCtoend)...

Estaremos redirigiendo el trfico local a nuestro sistema. Como se indica al ejecutar el

comando, se debe habilitar el enrutamiento para redirigir los paquetes interceptados a su destino
correcto. De nohacerloas,realmenteestaramoshaciendounataqueDoS (DenialofService):el
receptorlegtimodelospaquetesnolosrecibir.

OtraposibilidadrelacionadaconlaasignacindeIP'sesutilizarelchequeoDAD(Duplicate
AddressDetection)necesariocuandosequiereasignarunaIPaunainterfazdered.Lamquinaque
deseautilizarunadireccinIPenvaunmensajeICMP6paracomprobarsiladireccinyaestsiendo
usada.Elatacantepuedeutilizarlaherramientadosnewip6paraimpedirqueseasignennuevasIP's
enlasubredafirmandoqueutilizatodaslasdirecciones.

Lasintaxisesanlogaaloscasosanteriores:

>./dosnewip6interfaz
StartedICMP6DADDenialofService(PressControlCtoend)...

Hayotrasposibilidadesrelacionadasconestosataques,comolaproporcionadaporelexploit
fake_router6quesepuedeutilizarparahacersepasarporrouterenlared(yasconseguir,porejemplo,
modificarlastablasdeenrutamientodelasvctimas).

4:Enviarmensajesmulticast

ConIPv4sepuedeutilizarelenvodepaquetesaladireccindebroadcastpararealizarun
ataquedeDoSaunamquina.Seutilizaladireccindelavctimacomoorigenytodaslasmquinasde
la red (que no tengan deshabilitada la opcin de respuesta a peticiones con destino broadcast)
respondenalavctima,amplificandosutrficoyprovocandolaDoS.EnIPv6,comosehacomentado
anteriormente,nohaydireccionesdebroadcast.Perosepuderealizarunataqueanlogoutilizandola
direccindemulticastdetodoslosnodoslocales.Paraellopodemosutilizarsmurf6.

Laherramientasmurf6seutilizaparaataqueslocalesindicandocomofuentedelospaquetes
ICMP6ladireccindelavctimaydestinoladireccindemulticastlocal.

Lasintaxiseslasiguiente:

>./smurf6interfazdireccionIPv6Vctima
Startingsmurf6attackagainstdireccionIPv6Vctima(PressControlCtoend)...
 Estogeneraraunagrancantidaddetrficolocalqueseraenviadoalafuente.Debenotarseque
esteataqueslofuncionarsilasmquinaslocalestienenhabilitadalaopcinderespuestaapeticiones
condestinounadireccinmulticast.

OtraherramientaqueproveeThcIPv6esrsmurf6.Estaherramientaseutilizaraparaataques
DoScondestinounamquinaderemotayfuenteladireccindemulticastlocal(todoslosnodos).Para
queesteataquefuncioneesnecesariaunamalaimplementacin,yaqueeldestinonodeberaresponder
apeticionescuyoorigenesunadireccinmulticast.

4.Dificultadesenlosataques

Los ataques presentados en el apartado anterior estn simplificados. Para empezar, si las
mquinas vctima estuviesen fuera de nuestra subred, la dificultad aumentara debido a la alta
probabilidaddequeunfirewalltiraselapaqueteraenviadaodequelasaccionesilcitasfuesen
detectadas por un IDS (Intrusion Detection System). Adems, y como se ha comentado en varias
ocasiones, para que los ataque sean efectivos dependemos en muchas ocasiones de malas
implementacionesodedescuidosporpartedelosadministradoresdered.

Entre las caractersticas ms salientables de IPv6 desde el punto de vista de la seguridad

destacanelqueesmssencillorealizarfiltradodelasredes,laobligacindeposibilitarelempleode
IPSec(quefacilitaeltraceadodelosataquesydificultaelsniffingylosataquesMitM),etc.Anas,la
seguridadylosriesgosdeIPv6nodifierenexcesivamentedelosdeIPv4.

Porsuerte,muchosadministradoresdescuidanlaseguridadenloquerespectaaipv6debidoa
sumenoruso.Adems,atodoestosesumaquedebidodebidoasurelativamenterecienteaparicin,
hayunmenorchequeodeIPv6y,consecuentemente,unamayorprobabilidaddeencontrarposibles
erroresdeimplementacindelapilaipv6ydeaplicacionesquetenganhabilitadosuuso.

5.OtrasposibilidadesdeThcIPv6

Cabe destacar que las posibilidades de ThcIPv6 para ataques a IPv6 son muy amplias y
crecernconelmayorusodeesteprotocoloysegnseinvestiguensusvulnerabilidades.Algunasdelas
herramientasproporcionadasporThcIPv6nocomentadasconanterioridadson: redir6 (redirigeel
trficoalsistemadelatacanteenunaLAN),toobig(reduceelMTUdeldestino),fake_mipv6(encaso
deestarIPSecdeshabilitado,redirigeeltrficodeunnodoconIPmvilaldestinoelegido),etc.

OtraherramientamuycmodaincluidaenThcIPv6es detectnewip6,quesepuedeutilizar
paraautomatizartareas.SimplementedetectanuevossistemasconIPv6habilitadoenlaredlocalysise
lepasaunscriptcomoargumento,loejecutaconlasnuevasdireccionesdetectadas.

Lasintaxisescomosigue:

>./detectnewip6interfaz[script]
 Adems, como se ha comentado, es posible aprovechar posibles descuidos debidos a la
convivenciadeprotocolos.MuchossistemasoperativoshabilitanIPv6pordefectoyalhaberdospilas
IP,esposiblequeporundespistedeladministradorsefiltreIpv4ynoIpv6.Siseconocenlosdos
routerstunelizadoresentneles6to4,esmuysencilloinyectartrficoyrealizarIPspoofing.

Porotraparte,latareadelosfirewallssehacemscomplicada:paraelcorrectofuncionamiento
deIpv6,sedebepermitirquepasenmuchosdelosmensajesICMP6;IPSecocultadatos(yportanto
protocolos) de las capas superiores; la gran cantidad de cabeceras opcionales puede provocar
confusiones(esdecir,sehacemsdifcildistinguirlapaqueteralegtimadelaquenoloes);etc.

Comoconclusin,decirque,comosehaidoviendoalolargodelpresentetexto,resultaun
tantosorprendenteelcomprobarqueIPv6(unprotocolodestinadoasustituiraIPv4)tieneunas
vulnerabilidades bastante similares a su (todava en uso) predecesor (obviando las diferencias
tcnicasydeformatosentreunoyotro).Comosepuedeobservar,lasherramientasprobadastienen
unasintaxismuyintuitiva,conloquesepuedeintentarexplotarestasvulnerabilidadesdemanera
sencilla.Ycomosecomentabaaliniciodeldocumento,tambinsepuedenescribirexploitspropiosen
unascuantaslneasutilizandolalibreraproporcionada.Portanto,animoallectordeestedocumentoa
realizar sus propias pruebas y a ampliar sus conocimientos sobre este tema. Adems, con toda
seguridadunbuenconocimientodelfuncionamientodeIPv6sertil(ynecesario)enlosprximos
aos.

Puedenresultardeinterslossiguientesenlaces:

ParadescargarelpaqueteThcIPv6yencontrarmsinformacinsobrelosexploits:
http://freeworld.thc.org/thcipv6/

Para obtener una informacin ampliada sobre IPv6 recomiendo la lectura del siguiente
documento:
http://www.cu.ipv6tf.org/pdf/Tutorial%20de%20IPV6.pdf