¿Qué tan reconocibles son las direcciones IPv6 y los nombres AAAA de los posibles atacantes?

26

Es bastante estándar recibir un número significativo de intentos de piratería menores cada día que prueban nombres de usuario / contraseñas comunes para servicios como SSH y SMTP. Siempre he asumido que estos intentos están utilizando el espacio de direcciones "pequeño" de IPv4 para adivinar las direcciones IP. Noto que no tengo intentos de pirateo en IPv6 a pesar de que mi dominio tiene registros de Nombre AAAA que reflejan cada registro de Nombre A y todos los servicios de IPv4 también están abiertos a IPv6.

Suponiendo un DNS público (ruta 53 de AWS) con un subdominio oscuro que apunta a un sufijo / 64 razonablemente aleatorio; ¿Las direcciones IPv6 y / subdominios se pueden detectar de forma remota sin probar todas las direcciones en un prefijo / 64 bit o cada subdominio en una lista muy larga de nombres comunes?

Por supuesto, soy consciente de que rastrear la web en busca de nombres de (sub) dominios enumerados es bastante simple. También soy consciente de que las máquinas en la misma subred pueden usar NDP. Estoy más interesado en saber si DNS o los protocolos subyacentes de IPv6 permiten descubrir / enumerar dominios y direcciones desconocidos de forma remota.

Philip Couling
fuente
1
Relacionado: reemplazo de IPv6 para escanear rango de IP
Michael Hampton
1
Esto parece seguridad por oscuridad ... Si su única línea de defensa está usando identificadores (supuestamente) difíciles de descubrir (ya sea nombres o direcciones IP), entonces puede esperar ser violado en algún momento. Puede estar relativamente seguro contra exploits genéricos / golpes aleatorios, pero si tiene que defenderse contra ataques activos contra usted, entonces se rompe esa línea de defensa. Hay un montón de formas posibles de descubrir nombres "oscuros", mira geekflare.com/find-subdomains para comenzar
Patrick Mevzek
3
@patrick Si solo tiene una sola línea de defensa, recibirá un período de incumplimiento. Todavía no quiero que mis puertas cerradas se anuncien en todo el mundo
Philip Couling
2
No. Según mi propia conclusión, esta no es mi única línea de seguridad. Nunca sugerí lo contrario.
Philip Couling
1
Para conocer la fuerza bruta de IPv6, consulte internetsociety.org/blog/2015/02/… y tools.ietf.org/html/draft-ietf-opsec-ipv6-host-scanning-04
Restablezca a Monica - M. Schröder

Respuestas:

34

Los robots maliciosos ya no adivinan las direcciones IPv4. Simplemente los prueban todos. En los sistemas modernos, esto puede tomar tan solo unas pocas horas.

Con IPv6, esto ya no es posible, como has supuesto. El espacio de direcciones es mucho más grande que ni siquiera es posible escanear por fuerza bruta una subred única / 64 dentro de una vida humana.

Los bots tendrán que ser más creativos si quieren continuar escaneando a ciegas en IPv6 como en IPv4, y los operadores de bots maliciosos tendrán que acostumbrarse a esperar mucho más tiempo entre encontrar máquinas, y mucho menos las vulnerables.

Afortunadamente para los malos y desafortunadamente para todos los demás, la adopción de IPv6 ha sido mucho más lenta de lo que realmente debería. IPv6 tiene 23 años, pero solo se ha visto una adopción significativa en los últimos cinco años más o menos. Pero todos mantienen sus redes IPv4 activas, y muy pocos hosts son solo IPv6, por lo que los operadores de bot maliciosos han tenido pocos incentivos para hacer el cambio. Probablemente no lo harán hasta que haya un abandono significativo de IPv4, lo que probablemente no sucederá en los próximos cinco años.

Supongo que las suposiciones ciegas probablemente no serán productivas para los bots maliciosos, cuando finalmente se trasladen a IPv6, por lo que tendrán que pasar a otros medios, como nombres DNS de fuerza bruta o fuerza bruta dirigida de pequeños subconjuntos de cada subred

Por ejemplo, una configuración común servidor DHCPv6 da hacia fuera direcciones en ::100a través de ::1ffpor defecto. Son solo 256 direcciones para probar, de un total / 64. La reconfiguración del servidor DHCPv6 para elegir direcciones de un rango mucho mayor mitiga este problema.

Y el uso de direcciones EUI-64 modificadas para SLAAC reduce el espacio de búsqueda a 2 24 multiplicado por el número de OUI asignadas. Si bien esto es más de 100 mil millones de direcciones, es mucho menos de 2 64 . Los bots aleatorios no se molestarán en buscar en este espacio, pero los actores maliciosos a nivel estatal lo harán, para ataques dirigidos, especialmente si pueden hacer conjeturas educadas sobre qué NIC podrían estar en uso, para reducir aún más el espacio de búsqueda. El uso de direcciones de privacidad estables RFC 7217 para SLAAC es fácil (al menos en los sistemas operativos modernos que lo admiten) y mitiga este riesgo.

RFC 7707 describe varias otras formas en que se puede realizar el reconocimiento en redes IPv6 para localizar direcciones IPv6 y cómo mitigar esas amenazas.

Michael Hampton
fuente
Muchos bots ya son MUY creativos, y es probable que haya un gran mercado negro para los mejores bots, probablemente con acceso agrupado a su red de bots mientras están en ello. Los bots que no son creativos deben bloquearse fácilmente por cualquier método con el que bloquee los creativos.
BeowulfNode42
1
La mayor parte de lo que veo es la variedad no creativa de bot. Aunque es la variedad creativa que me mantiene despierto por la noche. Afortunadamente tengo un cliente que me paga por perder el sueño por ellos. Dicho esto, todavía no veo ningún tráfico de bot significativo en IPv6, creativo o no.
Michael Hampton
Sí, he notado más recientemente que los intentos de fuerza bruta se extienden a lo largo de meses (un nombre de usuario o contraseña por día), lo que sugiere que cada nombre de usuario o contraseña se prueba contra cada servidor SSH público en Internet (IPv4) antes de pasar al siguiente nombre de usuario o contraseña .
Philip Couling
8

He descubierto que MUCHOS robots en estos días no están adivinando, con IPv4 o IPv6. La seguridad a través de la oscuridad no es seguridad en absoluto. La oscuridad simplemente retrasa / reduce el número de ataques por un tiempo, y luego es irrelevante.

Los piratas informáticos conocen el nombre de dominio de su empresa de su sitio web o dirección de correo electrónico, qué IP de servidor público publica para cosas como correo electrónico, SPF, servidores web, etc. Aunque puede tomar un poco más de tiempo aprender un nombre de servidor aleatorio, pero adivinarán los nombres comunes, como www, mail, smtp, imap, pop, pop3, ns1, etc., y luego raspe su sitio web para obtener datos adicionales que puedan encontrar. Recuperarán de su tienda de escaneos anteriores sus nombres DNS, IP y en qué puertos enfocarse. También recuperarán una lista de pares de direcciones de correo electrónico / contraseñas de cualquier violación de datos que puedan encontrar y probarán todos esos inicios de sesión más algunos adicionales con los sistemas que creen que están ejecutando en sus puertos. Incluso llegan al punto de aprender los nombres y los roles de trabajo de su personal para intentar ejecutar un ataque de ingeniería social. Nuestro filtro de spam es bombardeado continuamente con intentos de estafadores que afirman ser alguien de la gerencia que necesita una transferencia bancaria urgente de fondos. Ah, también aprenden quiénes son sus socios comerciales y afirman ser ellos, y le informan que sus datos bancarios han cambiado. A veces, incluso saben qué plataformas en la nube están utilizando sus socios comerciales para la facturación.

Los delincuentes tienen acceso a herramientas de big data igual que todos los demás, y han acumulado una cantidad de datos sorprendentemente enorme. Vea este testimonio de algunos profesionales de TI para el congreso de EE. UU. Https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

Hablando de violaciones de datos, si una empresa pierde algo incluso tan aparentemente inútil como un registro de servidor web, esto contendrá las direcciones IP v4 o v6 de todos los que usaron ese servidor en ese momento y a qué páginas accedieron.

En conclusión, ninguno de esos métodos requiere que un atacante adivine qué IP está utilizando, ya lo saben.

Editar : como un ejercicio, pasé 2 minutos navegando por su sitio (desde su perfil), probando una de las herramientas de escaneo en línea vinculadas en otro lugar aquí, y eché un vistazo a nslookup y descubrí algunas cosas sobre usted . Supongo que una de las oscuras direcciones de las que estás hablando involucra

  • un nombre de planeta similar a uno de los que publicas
  • libertades
  • y una dirección IPv6 que termina con 2e85: eb7a
  • y corre ssh

Como la mayoría de sus otras direcciones IPv6 publicadas terminan con :: 1. Esto es solo a partir de la información que publica públicamente con 1 pequeña suposición. ¿Es esto de la IP que quería ocultar?

Edición 2 : Otra mirada rápida, veo que publicas tu dirección de correo electrónico en tu sitio web. Verificando el sitio https://haveibeenpwned.com/ para ver qué violaciones de datos ha tenido esa dirección y qué datos hay en el mercado negro. Veo que ha estado en las brechas

  • Infracción de Adobe en octubre de 2013: datos comprometidos: direcciones de correo electrónico, sugerencias de contraseña, contraseñas, nombres de usuario
  • MyFitnessPal: en febrero de 2018 Datos comprometidos: direcciones de correo electrónico, direcciones IP, contraseñas, nombres de usuario
  • MySpace: en aproximadamente 2008 Datos comprometidos: direcciones de correo electrónico, contraseñas, nombres de usuario
  • Freaks de PHP: en octubre de 2015 Datos comprometidos: fechas de nacimiento, direcciones de correo electrónico, direcciones IP, contraseñas, nombres de usuario, actividad del sitio web
  • QuinStreet: aproximadamente a finales de 2015 Datos comprometidos: fechas de nacimiento, direcciones de correo electrónico, direcciones IP, contraseñas, nombres de usuario, actividad del sitio web

Al ver si esa parte del nombre de usuario de la dirección de correo electrónico se usa en otros proveedores de correo electrónico populares, veo que hay muchos más datos. Esta sería otra pequeña suposición que podría hacer un bot. Si algo de esto se correlaciona con la parte que ya se conoce sobre usted, entonces el bot puede suponer que es todo lo que necesita, no tiene que estar seguro, es razonablemente probable que sea suficiente. Con datos adicionales en estas infracciones

  • Verificaciones.io: en febrero de 2019 Datos comprometidos: fechas de nacimiento, direcciones de correo electrónico, empleadores, géneros, ubicaciones geográficas, direcciones IP, títulos de trabajo, nombres, números de teléfono, direcciones físicas
  • River City Media Spam List en enero de 2017 Datos comprometidos: direcciones de correo electrónico, direcciones IP, nombres, direcciones físicas
  • Apollo: en julio de 2018, la startup de compromiso de ventas Datos comprometidos: direcciones de correo electrónico, empleadores, ubicaciones geográficas, títulos de trabajo, nombres, números de teléfono, saludos, perfiles de redes sociales
  • Empresas B2B de EE. UU. A mediados de 2017 Datos comprometidos: direcciones de correo electrónico, empleadores, títulos de trabajo, nombres, números de teléfono, direcciones físicas
  • Bitly: en mayo de 2014 Datos comprometidos: direcciones de correo electrónico, contraseñas, nombres de usuario
  • Colección n. ° 1 (sin verificar): en enero de 2019, se descubrió que una gran colección de listas de relleno de credenciales (combinaciones de direcciones de correo electrónico y contraseñas utilizadas para secuestrar cuentas en otros servicios) se distribuía en un foro de piratería popular
  • Dropbox: a mediados de 2012 Datos comprometidos: direcciones de correo electrónico, contraseñas
  • Exploit.In (sin verificar): a finales de 2016, apareció una gran lista de pares de direcciones de correo electrónico y contraseñas en una "lista combinada" denominada "Exploit.In"
  • HauteLook: a mediados de 2018 Datos comprometidos: fechas de nacimiento, direcciones de correo electrónico, géneros, ubicaciones geográficas, nombres, contraseñas
  • Pemiblanc (sin verificar): en abril de 2018, se descubrió en un servidor francés una lista de relleno de credenciales que contenía 111 millones de direcciones de correo electrónico y contraseñas conocidas como Pemiblanc
  • ShareThis: en julio de 2018 Datos comprometidos: fechas de nacimiento, direcciones de correo electrónico, nombres, contraseñas
  • Ticketfly: en mayo de 2018 Datos comprometidos: direcciones de correo electrónico, nombres, números de teléfono, direcciones físicas

Mientras el bot está en él, puede revisar Facebook y puede ver que una de las páginas de Facebook con su nombre tiene la misma foto que en su sitio web, y ahora sabe algo más sobre usted y sus amigos. Además, supongo que el miembro de la familia que enumeras es tu madre, que enumera "el apellido de soltera de tu madre". Desde Facebook también puede verificar qué perfil de linkedin es suyo.

Hay mucha más información en línea sobre nosotros de lo que la gente cree. El análisis de big data y machine learning es real, está aquí ahora y gran parte de los datos que se han publicado o filtrado en línea se pueden correlacionar y usar. Lo que debe saber, ya que al hacer la lista, ha obtenido una licenciatura en IA y ciencias de la computación en 2003-2007. Las cosas han recorrido un largo camino desde entonces, particularmente con los avances que Google estaba publicando desde el final de su carrera en adelante. Las personas son personas, la mayoría solo buscará beneficiarse de usted, y algunos usarán los datos de manera razonable y legal, pero otros lo usarán de la manera que puedan.

Mi punto con todo esto es doble, que publicamos más información de lo que creemos que hacemos, y el objetivo de DNS es publicar la conversión de nombres a direcciones IP.

BeowulfNode42
fuente
6

Con respecto a los registros AAAA:

DNS tradicionalmente no está encriptado. Si bien existe una familia de estándares (DNSSEC) para firmar DNS, el cifrado de registros DNS ha tenido un proceso de implementación mucho más aleatorio, por lo que generalmente es más seguro asumir que cualquier MitM puede leer todas sus consultas de DNS a menos que haya desaparecido fuera de su manera de configurar DNS cifrado explícitamente en el lado del cliente. Lo sabrías si lo hubieras hecho porque es una experiencia terrible .

(Además, su navegador web probablemente esté enviando SNI sin cifrar en el protocolo de enlace TLS, después de que haya resuelto el dominio. No es obvio cómo haría para tapar este agujero, ya que una VPN o Tor aún puede ser MitM'd entre la salida nodo o punto de terminación de VPN y el servidor remoto. La buena gente de Cloudflare está trabajando para solucionar este problema para siempre, pero ESNI también dependerá de la implementación del cliente, particularmente para Chrome , si realmente va a despegar).

Sin embargo, los ataques MitM pueden o no ser un problema, dependiendo de su modelo de amenaza. Más importante es el simple hecho de que los nombres DNS están destinados a ser información pública. Muchas personas (motores de búsqueda, registradores DNS, etc.) recopilan y publicitan nombres DNS por razones totalmente benignas. Los solucionadores de DNS suelen aplicar límites de velocidad, pero estos límites suelen ser bastante generosos, porque están destinados a detener los ataques DoS, no la enumeración de subdominios. La creación de un certificado HTTPS a menudo implica la publicación del nombre de dominio para que todos lo vean, dependiendo de la CA ( Let's Encrypt lo hace , y también lo hacen muchos otros). En la práctica, es bastante imposible mantener un dominio o subdominio en secreto, porque casi todos suponen que son públicos y no hacen ningún esfuerzo por ocultarlos.

Entonces, para responder esta pregunta:

Estoy más interesado en saber si DNS o los protocolos subyacentes de IPv6 permiten descubrir / enumerar dominios y direcciones desconocidos de forma remota.

Técnicamente, no, no lo hace. Pero eso no importa porque una enorme cantidad de tecnología de capa superior solo asume que sus registros DNS son públicos, por lo que inevitablemente lo serán.

Kevin
fuente
1
SNI cifrado está en desarrollo. Dale uno o dos años.
Michael Hampton
1
@MichaelHampton: Creo que ESNI sucederá. Pero dado el historial de la industria (DNSSEC, IPv6, DANE, ...) soy un poco escéptico de que "un año o dos" realmente sea suficiente. De todos modos, lo veremos pronto.
Kevin
1
CloudFlare lo está presionando, así que apostaré más temprano que tarde :)
Michael Hampton
Me parece que quiero decir "sí, pero ..." a cada uno de sus ejemplos específicos, sin embargo, es un muy buen punto que los nombres DNS generalmente se supone que son información pública. +1
Philip Couling