IPv6 – možné bezpečnostné riziká


Prechod na IPv6 alebo súbeh IPv4A IPv6 prináša niekoľko rizík.

Ako som písal v jednom staršom blogu, problém je už v samotnej aplikácií protokolu IPv6 v operačných systémoch.

Kde implementácia v operačných systémoch vyzerá zhruba takto:
Microsoft Windows používa číselnú identifikáciu zóny: fe80::3%1
BSD používa číselnú identifikáciu zóny: fe80::3%pcn0
Linux používa číselnú identifikáciu zóny: fe80::3%eth0.

To značí problém s komunikáciou pri multiplatformových LAN. Dnes sa však skôr zameriam na riziká v bezpečnosti.

A to v oblasti, ktorá môže byť zneužitá útočníkom.

Jedným z problémov je koexistencia IPv6 a IPv4 v sieti (či už ide o segment LAN, WAN). Dôvod je ako sa konvertuje z jedného protokolu do druhého. Celý proces prekladu prebieha pomocou technológie Man in The Middle (prostredník) kde sa pakety rozbaľujú a následne prebaľujú.

Ďaľším kameňom je používanie technológie 6to4 alebo 6RD, príbuzné technológie, ktoré umožňujú paketom IPv6 vstupovať do sietí s IPv4. Samozrejme bez nutnej konfigurácie tunelovania cez proxy. Tento spôsob dáva možnosti použiť rôzne discovery útoky (spoofing, reflection attack a podobne).

Ako jedna z možností pre zmenšenie rizík je nasadenie DNSSEX (DNS Security Extension) ktorý plne podporuje IPv6 a umožňuje zároveň paritu s IPv4.

Ďaľším s problémov je využitie Extension Headers na DDoS útoky. pripomeniem žepakety u oboch protokolov sú v podstate nekompatibilné IPv4 má hlavičku a náklad, kdežto IPv6 tvorí kompletný paket hlavička + rozširujúca hlavička (extension header) + náklad.

Ako vidieť pakety sú rozdielne a hlavička paketu IPv6 je rozšíriteľná sadou Extension Headers.

Pokiaľ používate firewall alebo proxy, tak Vám tok dát z väčším množstvom paketov mohol spôsobiť pád daných služieb.

V kombinácií väčšieho počtu paketov a využitia Neighbor discovery (prehľadávania okolitých počítačov) dostáva potencionálny útočník do ruky podstatne zaujímavejší nástroj ako bol ARP spoofing z IPv4 (iked v podstate Neighbor discovery funguje rovnako ako ARP až na to, že je možné využívať napríklad službu Duplicate Adress Detection (detekciu zdvojených adries).

Taktiež v súčasnosti nie je úplne dotiahnutá implementácia IPSec v protokole IPv6 (i ked je daná funkcia v IPv6 povinná). Spôsob nevhodnej implementácie umožnuje odchytávať a otvárať jednotlivé pakety.

Takže ako vidieť nie je problém iba s postavením siete na IPv6 ale i z jeho prevádzkou a to by sa u tak starej veci nemalo diať. Snáď sa to zlepší ako sa rozšíri používanie IPv6 vo firmách a jeho postupne nasadenie namiesto IPv4.

Reklamy
This entry was posted in Nezaradené. Bookmark the permalink.

Pridaj komentár

Zadajte svoje údaje, alebo kliknite na ikonu pre prihlásenie:

WordPress.com Logo

Na komentovanie používate váš WordPress.com účet. Odhlásiť sa / Zmeniť )

Twitter picture

Na komentovanie používate váš Twitter účet. Odhlásiť sa / Zmeniť )

Facebook photo

Na komentovanie používate váš Facebook účet. Odhlásiť sa / Zmeniť )

Google+ photo

Na komentovanie používate váš Google+ účet. Odhlásiť sa / Zmeniť )

Connecting to %s