93 research outputs found
IPv6: a new security challenge
Tese de mestrado em Segurança Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2011O Protocolo de Internet versão 6 (IPv6) foi desenvolvido com o intuito de resolver alguns dos problemas não endereçados pelo seu antecessor, o Protocolo de Internet versão 4 (IPv4), nomeadamente questões relacionadas com segurança e com o espaço de endereçamento disponÃvel. São muitos os que na última década têm desenvolvido estudos sobre os investimentos necessários à sua adoção e sobre qual o momento certo para que o mesmo seja adotado por todos os players no mercado. Recentemente, o problema da extinção de endereçamentos públicos a ser disponibilizado pelas diversas Region Internet registry – RIRs - despertou o conjunto de entidades envolvidas para que se agilizasse o processo de migração do IPv4 para o IPv6. Ao contrário do IPv4, esta nova versão considera a segurança como um objetivo fundamental na sua implementação, nesse sentido é recomendado o uso do protocolo IPsec ao nÃvel da camada de rede. No entanto, e devido à imaturidade do protocolo e à complexidade que este perÃodo de transição comporta, existem inúmeras implicações de segurança que devem ser consideradas neste perÃodo de migração. O objetivo principal deste trabalho é definir um conjunto de boas práticas no âmbito da segurança na implementação do IPv6 que possa ser utilizado pelos administradores de redes de dados e pelas equipas de segurança dos diversos players no mercado. Nesta fase de transição, é de todo útil e conveniente contribuir de forma eficiente na interpretação dos pontos fortes deste novo protocolo assim como nas vulnerabilidades a ele associadas.IPv6 was developed to address the exhaustion of IPv4 addresses, but has not yet seen global deployment. Recent trends are now finally changing this picture and IPv6 is expected to take off soon. Contrary to the original, this new version of the Internet Protocol has security as a design goal, for example with its mandatory support for network layer security. However, due to the immaturity of the protocol and the complexity of the transition period, there are several security implications that have to be considered when deploying IPv6. In this project, our goal is to define a set of best practices for IPv6 Security that could be used by IT staff and network administrators within an Internet Service Provider. To this end, an assessment of some of the available security techniques for IPv6 will be made by means of a set of laboratory experiments using real equipment from an Internet Service Provider in Portugal. As the transition for IPv6 seems inevitable this work can help ISPs in understanding the threats that exist in IPv6 networks and some of the prophylactic measures available, by offering recommendations to protect internal as well as customers’ networks
Resilience to cyber-attacks in critical infrastructures of Portugal
As infraestruturas crÃticas são sempre um potencial alvo para ciberataques, uma vez que a
repercussão de um ataque bem-sucedido pode ser catastrófica, visto que esses sistemas
controlam e permitem o acesso aos principais serviços do paÃs. Um dos sistemas que fazem
parte deste grupo de infraestruturas crÃticas de um paÃs são os Sistemas de Controlo Industrial
(ICSs), utilizados para automatizar e controlar os processos das várias infraestruturas
industriais.
No passado, os ICSs eram utilizados em ambiente isolado, no entanto, com o passar do tempo
e para satisfazer as exigências do mercado moderno, começaram a estar ligados com o ambiente
externo. Isto trouxe muitos benefÃcios, mas também aumentou o nÃvel de exposição e
vulnerabilidade dos mesmos. Embora estes sistemas sejam vitais para o bom funcionamento de
um paÃs, não há nenhum trabalho público que avalie o estado de segurança destes sistemas em
Portugal.
Este trabalho teve como maior objetivo, identificar os ICSs expostos na Internet em Portugal e
investigar o nÃvel de risco dos mesmos em termos de segurança. Com base nisso, foi
desenvolvido uma metodologia que implicou a identificação dos ICSs, o cálculo do risco dos
mesmos de acordo com as caracterÃsticas que apresentam, e o desenvolvimento de uma data
warehouse para juntar e organizar os dados, e permitir uma análise de forma fácil.
Ao analisar os resultados verificamos que existem muitos ICSs expostos e facilmente
encontrados na Internet em Portugal. A maioria deles estão localizados em Lisboa e têm pelo
menos uma caracterÃstica que apresenta um risco elevado à segurança do sistema. A maioria
dos sistemas não têm disponÃvel um algoritmo de encriptação para assegurar a segurança da
ligação. Dos que têm, uma enorme percentagem utiliza algoritmos que não são considerados
seguros. A maioria dos sistemas identificados têm pelo menos uma porta a correr o protocolo
HTTP, uma ligação que há muito tempo já não é considerada segura. Dos sistemas que estão a
correr portas com risco elevado, a maioria está a correr o protocolo FTP, um protocolo não
construÃdo para ser seguro. Muitas das organizações não possuem infraestruturas próprias para
gerir as polÃticas de rede dos seus sistemas. Nesta situação, não é possÃvel identificar as
organizações porque escondem atrás dos ISPs. Isto pode ser vantajoso porque as organizações
não são facilmente identificadas pelos hackers, no entanto, ficam dependentes dos ISPs, no
sentido de que, se este sofrer um ataque, todas as organizações ligadas a ela podem ser
severamente afetadas.
Os resultados encontrados neste trabalho permitem à Dognædis ter uma base de conhecimento
sobre o estado dos ICSs expostos na Internet em Portugal, tornando possÃvel sugerir melhorias
de segurança. Também permite que a indústria e todas as organizações que têm ICSs estejam
conscientes de quão expostos e vulneráveis estão os seus sistemas, de forma a dedicarem mais
atenção aos sistemas que possam estar em risco de um ataque cibernético
SIP based IP-telephony network security analysis
Masteroppgave i informasjons- og kommunikasjonsteknologi 2004 - Høgskolen i Agder, GrimstadThis thesis evaluates the SIP Protocol implementation used in the Voice over IP (VoIP) solution at
the fibre/DSL network of Èlla Kommunikasjon AS. The evaluation focuses on security in the
telephony service, and is performed from the perspective of an attacker trying to find weaknesses
in the network.
For each type of attempt by the malicious attacker, we examined the security level and possible
solutions to flaws in the system.
The conclusion of this analysis is that the VoIP service is exploitable, and that serious
improvements are needed to achieve a satisfying level of security for the system
{SoK}: {An} Analysis of Protocol Design: Avoiding Traps for Implementation and Deployment
Today's Internet utilizes a multitude of different protocols. While some of these protocols were first implemented and used and later documented, other were first specified and then implemented. Regardless of how protocols came to be, their definitions can contain traps that lead to insecure implementations or deployments. A classical example is insufficiently strict authentication requirements in a protocol specification. The resulting Misconfigurations, i.e., not enabling strong authentication, are common root causes for Internet security incidents. Indeed, Internet protocols have been commonly designed without security in mind which leads to a multitude of misconfiguration traps. While this is slowly changing, to strict security considerations can have a similarly bad effect. Due to complex implementations and insufficient documentation, security features may remain unused, leaving deployments vulnerable. In this paper we provide a systematization of the security traps found in common Internet protocols. By separating protocols in four classes we identify major factors that lead to common security traps. These insights together with observations about end-user centric usability and security by default are then used to derive recommendations for improving existing and designing new protocols---without such security sensitive traps for operators, implementors and users
- …