Vijf beveiligingslekken in IPv6
Nu steeds meer apparaten en programma's IPv6 ondersteunen, lopen beveiligingsonderzoekers steeds vaker tegen beveiligingsproblemen aan. IPv6 biedt niet alleen meer adresruimte, ook de routering van IP-pakketten is verbeterd, wat vooral handig is voor Voice over IP en instant messaging applicaties. Recentelijk zijn er problemen in het IPv6 protocol zelf gevonden, en met name in de routing header. Waar het op neerkomt is dat de afzender een willekeurig aantal extra headers aan IPv6 pakketten kan toevoegen, en de IPv6-gebaseerde routers en hosts deze headers moeten verwerken. Ideaal voor het uitvoeren van Denial of Service aanvallen.
Het probleem met de "type 0 routing headers" is al lange tijd bekend, en experts hebben de IETF ook gevraagd de feature te verwijderen. Tot die tijd zijn er vijf beveiligingsproblemen waar beheerders rekening moeten houden.
1. Binnendringen. Via IPv6's "advanced network discovery" kun je het pad voor de pakketten selecteren, maar kan het een aanvaller ook toegang tot plekken geven waar hij of zij niet hoort.
2. Omzeilen van filteroplossingen: Veel filteroplossingen, zoals firewalls, zijn niet ontwikkeld voor IPv6.
3. Denial-of-service. DoS-aanvallen doen zich voor als IPv6 pakketten via dezelfde link heen en weer worden gestuurd totdat ze alle bandbreedte in beslag nemen.
4. Anycast is niet meer veilig. Anycast, het aankondigen van een IP-adres op verschillende plekken op het internet, zodat men naar de eerst reagerende host wordt gestuurd, wordt door de routing header 0 feature teniet gedaan.
5. IPv6 is een gevaar voor IPv4. Naast het routing headers probleem, kan IPv6 er ook voor zorgen dat als het wordt ingeschakeld, ook het IPv4 netwerk en haar apparaten met de IPv6-kwetsbaarheden te maken krijgen, zo waarschuwt dit artikel.
aangezien Vista meer en meer gedeployed wordt is het wel
nuttig om daar aandacht aan te besteden.
Microsoft gebruikt Teredo tunneling om IPv6 over IPv4 te
doen. Echter, Teredo maakt standaard contact met IPv6
routers die van Microsoft zijn, dwars door enterprise
firewalls heen. M.a.w, Teredo tunneling omzeilt iedere vorm
van beveiliging. Dat zou op zih geen probleem zijn, indien
Teredo niet standaard zou draaien. Echter, in Vista staat
Teredo standaard aan.
Overigens is punt 2 wel valide.. IPv6 wordt nog niet echt goed ondersteund in een hoop firewalls en IDS/IPS'en. Om over de ondersteuning (of detectie) van IPv6-over-IPv4 en IPv4-over-IPv6 maar te zwijgen.
filteroplossingen, zoals firewalls, zijn niet ontwikkeld
voor IPv6.
Standaard linux firewall, i.e. iptables ondersteunt
IPv6 !
IPv6 is een gevaar voor IPv4. Naast het routing headers
probleem, kan IPv6 er ook voor zorgen dat als het wordt
ingeschakeld, ook het IPv4 netwerk en haar apparaten met de
IPv6-kwetsbaarheden te maken krijgen, zo waarschuwt dit artikel.
Kwestie van weten hoe je netjes je netwerk inricht!
Er is nog een zesde punt, dat alleen Vista treft. Maar aangezien Vista meer en meer gedeployed wordt is het wel nuttig om daar aandacht aan te besteden. Microsoft gebruikt Teredo tunneling om IPv6 over IPv4 te doen. Echter, Teredo maakt standaard contact met IPv6 routers die van Microsoft zijn, dwars door enterprise firewalls heen.
Met een beetje Linux of BSD kun je IPv6 vrij eenvoudig helemaal verwijderen.
Ga je echter kijken naar de commerciële. veel gebruikle, firewalls dan kom je vrij snel van een koude kermis thuis. Met de IDS/IPS apparaten (of software, zoals snort) is het helemaal droevig gesteld. Ik ken er niet 1 die IPv6 fatsoenlijk ondersteunt.
Echter, Teredo maakt standaard contact met IPv6
routers die van Microsoft zijn, dwars door enterprise
firewalls heen.
??? Dat wil je toch niet. Al je ip(v6) verkeer via routers
van MS? Dat is zo ongeveer hetzelfde als al je documenten
'lekker makkelijk' online bij google opslaan... ;)
Als dit waar is kan ie direct in de "DIT MOET JE NIET
WILLEN" top5.
-Jeroen
2. Omzeilen van filteroplossingen: Veel filteroplossingen,
zoals firewalls, zijn niet ontwikkeld voor IPv6.
daarvan. En zoals eerder gezegd, van iptables weet ik zeker
dat het ondersteund.
In principe zou een device wat nu (of eigenlijk al enkele
jaren) geen IPv6 aankan gewoon geen kandidaat voor aanschaf
mogen zijn. Het is iets waarvan je weet dat het er aan zit
te komen, dus als je nu IPv4 only spul gaan aanschaffen ben
je op z'n minst niet slim bezig vind ik.
Er is nog een zesde punt, dat alleen Vista treft. Maar
aangezien Vista meer en meer gedeployed wordt is het wel
nuttig om daar aandacht aan te besteden. Microsoft gebruikt
Teredo tunneling om IPv6 over IPv4 te doen. Echter, Teredo
maakt standaard contact met IPv6 routers die van Microsoft
zijn, dwars door enterprise firewalls heen.
interface is uit te schakelen. De ondersteuning voor IPv6
niet. In vista en 2003 zijn de IPv4 en IPv6 stacks
geintegreerd met elkaar. Onder XP waren dit nog 2 aparte stacks.
de stacks geintegreerd. En dat geldt ook voor Longhorn.
Probleem is inderdaad niet zozeer Teredo zelf, maar het feit
dat Teredo in Vista standaard aan staat, net als IPv6
overigens, en dit dus de komende tijd op grote schaal in
netwerken gebruikt gaat worden...
Nee, 2003 heeft nog steeds twee separate stacks, Vista heeft
de stacks geintegreerd.
gelezen te hebben waarin stond dat Vista en 2003 een
geïntegreerde IPv4+v6 stack had.
Overigens kun je IPv6 wel uitschakelen (vista, longhorn)
maar niet deinstalleren (XP, 2003).
problemen. De problemen zitten niet in ipv6 maar de
implementatie en configuratie. Dat is heel wat anders dan
dat in ipv6 lekken zitten.
IPv6 !
Hmmm, heb je de firewall kwaliteiten van iptables voor wat
betreft IPv6 wel eens beter bekeken? Ik wel. Stateful is het
niet. Dat valt ook in de categorie niet of nauwelijks
geschikt...
pf is veel geschikter om IPv6 verkeer te filteren.
Standaard linux firewall, i.e. iptables ondersteunt
IPv6 !
Hmmm, heb je de firewall kwaliteiten van iptables voor wat
betreft IPv6 wel eens beter bekeken? Ik wel. Stateful is het
niet. Dat valt ook in de categorie niet of nauwelijks
geschikt...
pf is veel geschikter om IPv6 verkeer te filteren.
IPv6 implementatie van iptables (ip6tables) statefull geworden.
De titel is suggestief en klopt niet met de inhoud van de
problemen. De problemen zitten niet in ipv6 maar de
implementatie en configuratie. Dat is heel wat anders dan
dat in ipv6 lekken zitten.
IPv6 protocol specification itself, namely in the
routing header.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
