Herramientas de seguridad y ataques de red en IPv4/IPv6

Desde que arrancamos con el trabajo de Evil FOCA para realizar ataques man in the middle en IPv6 he estado preguntándome si en una red común sin protecciones extras de seguridad para el protocolo IPv6 saltaría alguna alerta con las utilidades habituales para protección de equipos, ya que algunos antimalware se venden como soluciones completas de seguridad en el PC.

- NOD32 Smart Security 6
- Kaspersky Internet Security 2013
- Bitdefender Total Security
- Panda Global Protection 2014
- McAfee Total Protection 2013
- Norton 360

Los resultados fueron bastante sorprendentes, pero de manera negativa, ya que de todas ellas, la única que detecto un ataque ARP-Spoofing fue NOD32 Smart Security 6, mientras que el resto de suites dejó que se manipularan las tablas ARP del equipo que estaba protegido.

Visto estos resultados, os podéis imaginar que cuando se hizo un Neighbot Adverstisement Spoofing con Evil FOCA en los equipos, ninguna de todas ellas fue capaz de detectar que se habían manipulados las tablas de vecinos, así que la Evil FOCA puede campar de forma libre por esas redes. Evil FOCA wins.

Figura 2: NA Spoofing con Evil FOCA

Después quisimos probar con las herramientas de seguridad MARMITA 1.3 y PATRIOT NG 2.0, destinadas a proteger el sistema contra ataques de red. Los resultados fueron los esperados, ya que ambas detectaron el ARP Spoofing en IPv4, pero ninguna de ellas fue capaz de detectar el ataque NA Spoofing en IPv6.

Visto esto, hemos comenzado a trabajar para tener un agente de seguridad IPv6 - que seguramente incorporemos a Marmita - y que sea capaz de detectar los ataques de red en IPv6 además de los de ataques en red de IPv4, para mitigar estos problemas.