IPv4 address နည်းလာတဲ့
အတွက် IPv6 ကိုသုံးလာကြရတဲ့ အခါ IPv6 ရဲ့ လုံခြုံရေး အားနည်းချက်တခုကို သိထားဖို့ လိုအပ်လာပါတယ်။
ကျတော်တို့တွေ အရင်ကဆို
Windows ရဲ့ IPv6 feature ကို Network Card Properties မှာ သွားပြီး Disable လုပ်ကြတာကို
မှတ်မိကြမယ်ထင်ပါတယ်။ အဲတုန်းကဆို ဘာလို့လုပ်လဲ ဆိုတာ သိပ်နားမလည်ဘူး။
တကယ်က ဒီလိုဗျ IPv4
, IPv6 ၂ မျိုးလုံးသုံးထားတဲ့ Host တခု (သို့မဟုတ်) IPv6 သုံးထားတဲ့ Host တခုက
Network ကို ချိတ်ပြီဆိုတာနဲ့ သူက IPv6 enable လုပ်ထားတဲ့ Router ဆီကို ICMPv6
(type 133) Router Solicitation (RS) message ကို ပို့ပါတယ်။ ဒီတော့ Router က ICPMv6
(type 134) Router Advertisement (RA) ဆိုတဲ့ message ကို ပြန်ပို့တယ်။ အဲဒီ RA မှာ
RS ပို့တဲ့ Client ကို IPv6 address အတွက် Stateless Address Auto Configuration
(SLACC), Statefull Address , DHCPv6 Address စတာတွေ သုံးပါ၊ DNS ဆိုရင် တော့ ဘာကို
သုံးပါ စတဲ့ flag တွေပါပါတယ်။ ပြောရမယ်ဆိုရင် RA က IPv6 note တွေအတွက် ဘယ် IPv6
address ကို သုံးရမယ် ဘယ်ဟာက Default Gateway ပါ အစရှိတဲ့ အချက်အလက်တွေကို ပေးတယ်ပေါ့ဗျာ။
အဲဒီမှာ ပြဿနာက စတာပဲ။
ဘယ်လိုလဲ ဆိုတော့ IPv6 မသုံးရသေးတဲ့
Network တခုမှာIPv4, IPv6 ၂ ခုစလုံး activate လုပ်ထားတဲ့ System တခုရှိခဲ့ရင်
Attacker က RA ဖန်တီးပြီး အဲဒီ System ရဲ့ IPv6 ကို network ကို active ဖြစ်အောင်လုပ်နိုင်ပါတယ်။
ပြီးတာနဲ့ သူ့ ကို Default Gateway အဖြစ်သတ်မှတ်စေပြီး Man-in-the-Middle attack စလုပ်ပါတော့တယ်။
တကယ်လို့ IPv6 ကို Network ထဲမှာ သုံးနေတယ်ဆိုရင် လဲ သူက Man-in-the-Middle attack
ကို လုပ်နေနိုင်သေးသလို Network operation ကိုပါ ကမောက်ကမ ဖြစ်အောင် လဲ လုပ်နိုင်ပါသေးတယ်။
RA message ကို ဖန်တီးဖို့ဆိုတာ
Internet ပေါ်မှာ အသင့်သုံး Tool တွေရှိပါတယ်။ ဥပမာအနေနဲ့ အောက်က လင့်တွေမှာ ကြည့်နိုင်ပါတယ်။
သိထားဖို့နော် သူများကို ဒုက္ခပေးဖို့ မဟုတ်ဖူး။ :D
The Hacker’s
Choice IPv6 Attack Toolkit
https://www.thc.org/download.php?t=r&f=thc-ipv6-2.5.tar.gz
Scapy
http://www.secdev.org/projects/scapy/
SI6
https://www.si6networks.com/tools/ipv6toolkit/
Nmap
http://nmap.org/nsedoc/scripts/targets-ipv6-multicast-slaac.html
Evil FOCA
http://www.informatica64.com/evilfoca/download.aspx
ဒီတော့ ဒီပြဿနာကို
ပြေလည်စေဖို့ RAGuard ဆိုတာကို ကျတော်တို့ Switch တွေမှာ ထည့်ပြီး configure လုပ်လာကြပါတယ်။
နားလည်လွယ်ဖို့ အရိုးဆုံး
Configuration လေးပြောပြရမယ်ဆိုရင်
ကျတော့် Switch ရဲ့
GigabitEthernet 1/0/1 ကနေ 1/0/10 ကို VLAN 100 assign သတ်မှတ်ထားပြီး အဲဒီ port အားလုံးကို
လာချိတ်တဲ့ Host တိုင်းရဲ့ IPv6 RA message ကို ကျတော်က Guard/inspect လုပ်ချင်တယ်ဆိုရင်
ဒီလိုလုပ်ရတယ်ဗျ။
SW#conf t
SW (config)#int
range gi1/0/1 – 10
SW (config-if-range)#sw
acc vlan 100
SW (config-if-range)#exit
SW (config)#vlan
configuration 100
SW (config-vlan-config)#ipv6
nd raguard
SW (config-vlan-config)#end
ဒါက နမူနာ အနေနဲ့
အရိုးရှင်းဆုံး ရှင်းပြတာပါ။
RAGuard ကို Role
အနေနဲ့ Host ,Router,Trust ဆိုပြီး လိုအပ်ချက်ပေါ်မူတည်ပြီး
configure လုပ်နိုင်ပါသေးတယ်။
RAGuard ကို port
တခုချင်းစီမှာ configure လုပ်နိုင်သလို၊ vlan range နဲ့လဲ configure လုပ်နိုင်ပါတယ်။
port မှာ လုပ်ထားရင် vlan configuration setting တွေ တူဖို့လိုပြီး မတူခဲ့ရင် port
မှာ configure လုပ်ထားတဲ့ setting ကိုပေါ်မှာ မူတည်ပြီးပဲ RAGuard က အလုပ်လုပ်မှာ ဖြစ်ပါတယ်။
အပေါ်က နမူနာကတော့ vlan range နဲ့ လုပ်ပြထားတာပါ။
တကယ်လို့ Switch
မှာ configure မလုပ်ချင်ဘူးဆိုရင် အောက်မှာ နမူနာပြထားတဲ့
NDPMon
Ramond
6MoN
စတဲ့ Utility တွေ
အသုံးပြနိုင်ပါသေးတယ်။
ဒါကတော့ IPv6 ရဲ့
အားနည်းချက်နဲ့ IPv6 RAGuard အကြောင်း အကြမ်းဖျဉ်း သိအောင် ရေးထားတာပါ။
အသေးစိတ် သေချာသိချင်တယ်ဆိုရင်တော့
IPv4 , IPv6 Header တွေအကြောင်း သိထားဖို့ လိုသလို၊
- IPv6 Address Type နဲ့ Addressing အကြောင်း
- SLACC (RFC 4862)
- Stateful DHCPv6 (RFC 3315)
- Stateless DHCPv6 (RFC 3736)
RFC 4861
Neighbor
Discovery (ND) for IP version 6 (IPv6)
RFC 6104
Rogue IPv6
Router Advertisement (RA) Problem Statement
RFC 6105
IPv6 Router
Advertisement Guard
RFC 7113
Implementing
Advice for IPv6 Router Advertisement Guard
RFC 6980
Security
Implications of IPv6 Fragmentation with IPv6 Neighbor Discovery
RA Guard
evasion
IPv6 RA
Guard Lab from INE
စတာတွေ ကို ဖတ်သင့်ကြောင်း
(RFC တွေ ရှိသေးတယ် ရှည်မှာစိုးလို့ ထပ်မထည့်တော့တာ :P) အကြံပြုတိုက်တွန်းရင်း...၂၀၁၈ ကို
Security Post တခုနဲ့ စဖွင့်လိုက်ပါတယ်ဗျာ။
ကျေးဇူးတင်ပါတယ်။
(Be
knowledgeable, pass it on then)
Nice.
ReplyDelete