Desde que arrancamos con el trabajo de
Evil FOCA para realizar
ataques man in the middle en IPv6 he estado preguntándome si en una red común sin protecciones extras de
seguridad para el protocolo
IPv6 saltaría alguna alerta con las utilidades habituales para protección de equipos, ya que algunos
antimalware se venden como soluciones completas de
seguridad en el
PC.
Para eso, le pedí a uno de mi compañero
Umberto que hiciera unas pruebas con las suites de
seguridad para sistemas
Microsoft Windows y viera si alguna de ellas detectaba dos
ataques muy comunes:
ARP-Spoofing en
IPv4 y
Neighbor Advertisement Spoofing en IPv6. Las suites probadas fueron las siguientes:
- NOD32 Smart Security 6
- Kaspersky Internet Security 2013
- Bitdefender Total Security
- Panda Global Protection 2014
- McAfee Total Protection 2013
- Norton 360
Los resultados fueron bastante sorprendentes, pero de manera negativa, ya que de todas ellas, la única que detecto un ataque ARP-Spoofing fue NOD32 Smart Security 6, mientras que el resto de suites dejó que se manipularan las tablas ARP del equipo que estaba protegido.
|
Figura 1: ESET Smart Security 6 detectando el ataque ARP-Spoofing |
Visto estos resultados, os podéis imaginar que cuando se hizo un
Neighbot Adverstisement Spoofing con Evil FOCA en los equipos, ninguna de todas ellas fue capaz de detectar que se habían manipulados las tablas de vecinos, así que la
Evil FOCA puede campar de forma libre por esas redes.
Evil FOCA wins.
|
Figura 2: NA Spoofing con Evil FOCA |
Después quisimos probar con las herramientas de
seguridad MARMITA 1.3 y
PATRIOT NG 2.0, destinadas a proteger el sistema contra ataques de red. Los resultados fueron los esperados, ya que ambas detectaron el
ARP Spoofing en
IPv4, pero ninguna de ellas fue capaz de detectar el ataque
NA Spoofing en IPv6.
|
Figura 3: Marmita detectando el ataque ARP-Spoofing |
Visto esto, hemos comenzado a trabajar para tener un agente de seguridad
IPv6 - que seguramente incorporemos a
Marmita - y que sea capaz de detectar los
ataques de red en IPv6 además de los de
ataques en red de IPv4, para mitigar estos problemas.
http://www.elladodelmal.com
Chema Alonso