Problemy bezpieczeństwa związane z IPv6
IPv6, długo oczekiwane uaktualnienie głównego protokołu komunikacyjnego internetu, może spędzać sen z powiek wielu osobom odpowiedzialnym za bezpieczeństwo IT. Chociaż liczba ataków wykorzystujących słabości tego protokołu jest jeszcze stosunkowo niewielka, problemy bezpieczeństwa związane z IPv6 są realne.
Większość zagrożeń związanych z protokołem IPv6 jest pochodną błędów w kodach obsługi protokołu, słabych punktów samego protokołu i niewłaściwą jego implementacją. Taka sytuacja jest konsekwencją tego, że przemysł sieciowy nie jest jeszcze tak dobrze oswojony z IPv6 jak z IPv4, który stosowany jest już od trzydziestu lat.
Wiele systemów operacyjnych - Windows Vista, Windows Server 2008, Mac OS X, Linux, Solaris - dostarczanych jest z domyślnie włączoną obsługą IPv6. Często włącza się obsługę IPv6 nie zdając sobie sprawy, że zapora ogniowa nie przetwarza takiego ruchu, a tylko przepuszcza go w sposób transparentny. Zdarza się także, że nie są ustawiane filtry dla tego ruchu. Użytkownicy muszą świadomie podchodzić do tego problemu i wykorzystywać dla IPv6 - w lustrzanym odbiciu - całą infrastrukturę ochronną stworzoną dla IPv4.
A oto przykłady kilku najbardziej powszechnych zagrożeń związanych z protokołem IPv6.
Niepożądany ruch IPv6. Organizacje, które nie wykorzystują IPv6 i nie mają tego w najbliższych planach, powinny wykorzystywać swoje zapory ogniowe do blokowania ruchu IPv6 przychodzącego lub wychodzącego z ich sieci. Większość ekspertów uważa jednak, że powinien to być środek tymczasowy, ponieważ wolumen ruchu oparty na IPv6 w internecie stale rośnie, a organizacje nie mogą ograniczać dostępu swoim partnerom biznesowych czy klientom, którzy zechcą korzystać z tego ruchu.
Tunele IPv6. Trzy typy tuneli IPv6 - Teredo, 6to4 i Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) - pozwalają na kapsułkowanie pakietów IPv6 w pakietach IPv4, które mogą być przesyłane przez zapory ogniowe i urządzenia translacji adresów dostosowane do IPv4. Dla administratorów sieci, tunelowane pakiety IPv6 wyglądają jak normalny ruch IPv4. Oprócz zapór ogniowych i systemów IPS obsługujących IPv6, konieczne jest więc stosowanie systemów dogłębnej kontroli pakietów, które mogą zaglądać w tunel w celu sprawdzenia tego, co przenosi. Przy braku pełnej inspekcji ruchu tunelowanego mogą pojawić się tradycyjne ataki IPv4 wykorzystujące cechy tunelowania IPv6.
Fałszywe urządzenia IPv6. Możliwości autokonfigurowania wbudowane w IPv6 pozwalają napastnikowi na zdefiniowanie szkodliwego urządzenia, które będzie przydzielać adresy IP wszystkim innym urządzeniom w sieci. Urządzenie takie może udawać router IPv6 i cały ruch może być kierowany do tego rzekomego routera, który może ten ruch przeglądać lub modyfikować.
Nagłówek routingu typu 0. Ta dobrze znana luka IPv6 stwarza możliwość wykonania ataku DoS ponieważ daje napastnikowi zdolność manipulowania przepływem ruchu przez internet. Mechanizm ten pozwala na specyfikowanie w nagłówku trasy, która ma być używana do przenoszenia ruchu. Napastnik może wykorzystać ten mechanizm do przeciążania poszczególnych części sieci.
Wbudowane ICMP i multicast. W odróżnieniu od IPv4, IPv6 ma wbudowane mechanizmy ICMP (Internet Control Message Protocol) i multicast. Te dwa typy ruchu sieciowego są integralną częścią IPv6. Przy IPv4 administrator może blokować ruch ICMP i multicast w celu zapobieżenia atakom przenoszonym przez te kanały. Jednak dla IPv6, trzeba bardzo precyzyjnie dostrajać filtry na zaporze ogniowej czy routerach w celu dopuszczenie tylko wybranego ruchu ICMP i multicast.
Komentarze (5)
"pisałem to dwa lata temu" czyli pewnie wtedy kiedy jeszcze nie wstydziłeś się podpisac tad? Co do naukowców i profesjonalistów z MS, jesli stworzenie bezpiecznego protokołu tworzyliby tak profesjonalnie i szybko jak przygotowywali Windows do ipv6 to wróżę 10-letni zastój w branży IT. Zresztą najbardziej mnie ciekawi skąd przekonanie, że na uczelniach tak bardzo wciska się w studentów Linuxa. Muszą go poznać bo jak trafią do jakiejś powazniejszej roboty niż pisanie programów do fakturowania taka wiedza im się przyda na pewno, z drugiej strony nie bez konkretnego celu MS umozliwia darmowe korzystanie z własnych narzedzi studentom, subskrypcje dla uczelni itp.
Przekombinowali, pisałem to dwa lata temu gdy postanowiłem pobawić się IPv6. Tak to jest jak standard wymyślają doktoranci z profesorami uniwersyteckimi i urzędnikami - zamiast np. naukowcy i profesjonaliści z MS... Inne światy :)
Wszystko to lipa i chodzi tylko o kasę jak sprzedać coś lub zwiększyć mozliwości dla siebie jak juz system nie wydolny... :D
no i wychodzi na to ze mozna wykopac ipv6 na smietnik.....
A mówiono że jak będzie IPv6 to bedzie bezpiecznie. No i jest...jak zwykle. A miało być tak pięknie..
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Rozstanie z Javą nie będzie proste
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
- Motorola Mobility została przejęta przez Google
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...