Prechod na IPv6 alebo súbeh IPv4A IPv6 prináša niekoľko rizík.
Ako som písal v jednom staršom blogu, problém je už v samotnej aplikácií protokolu IPv6 v operačných systémoch.
Kde implementácia v operačných systémoch vyzerá zhruba takto:
Microsoft Windows používa číselnú identifikáciu zóny: fe80::3%1
BSD používa číselnú identifikáciu zóny: fe80::3%pcn0
Linux používa číselnú identifikáciu zóny: fe80::3%eth0.
To značí problém s komunikáciou pri multiplatformových LAN. Dnes sa však skôr zameriam na riziká v bezpečnosti.
A to v oblasti, ktorá môže byť zneužitá útočníkom.
Jedným z problémov je koexistencia IPv6 a IPv4 v sieti (či už ide o segment LAN, WAN). Dôvod je ako sa konvertuje z jedného protokolu do druhého. Celý proces prekladu prebieha pomocou technológie Man in The Middle (prostredník) kde sa pakety rozbaľujú a následne prebaľujú.
Ďaľším kameňom je používanie technológie 6to4 alebo 6RD, príbuzné technológie, ktoré umožňujú paketom IPv6 vstupovať do sietí s IPv4. Samozrejme bez nutnej konfigurácie tunelovania cez proxy. Tento spôsob dáva možnosti použiť rôzne discovery útoky (spoofing, reflection attack a podobne).
Ako jedna z možností pre zmenšenie rizík je nasadenie DNSSEX (DNS Security Extension) ktorý plne podporuje IPv6 a umožňuje zároveň paritu s IPv4.
Ďaľším s problémov je využitie Extension Headers na DDoS útoky. pripomeniem žepakety u oboch protokolov sú v podstate nekompatibilné IPv4 má hlavičku a náklad, kdežto IPv6 tvorí kompletný paket hlavička + rozširujúca hlavička (extension header) + náklad.
Ako vidieť pakety sú rozdielne a hlavička paketu IPv6 je rozšíriteľná sadou Extension Headers.
Pokiaľ používate firewall alebo proxy, tak Vám tok dát z väčším množstvom paketov mohol spôsobiť pád daných služieb.
V kombinácií väčšieho počtu paketov a využitia Neighbor discovery (prehľadávania okolitých počítačov) dostáva potencionálny útočník do ruky podstatne zaujímavejší nástroj ako bol ARP spoofing z IPv4 (iked v podstate Neighbor discovery funguje rovnako ako ARP až na to, že je možné využívať napríklad službu Duplicate Adress Detection (detekciu zdvojených adries).
Taktiež v súčasnosti nie je úplne dotiahnutá implementácia IPSec v protokole IPv6 (i ked je daná funkcia v IPv6 povinná). Spôsob nevhodnej implementácie umožnuje odchytávať a otvárať jednotlivé pakety.
Takže ako vidieť nie je problém iba s postavením siete na IPv6 ale i z jeho prevádzkou a to by sa u tak starej veci nemalo diať. Snáď sa to zlepší ako sa rozšíri používanie IPv6 vo firmách a jeho postupne nasadenie namiesto IPv4.
RedHawk's space 