image

Spelen met IPv6 kan gevaarlijk zijn

dinsdag 11 december 2001, 13:57 door Redactie, 1 reacties

Steeds meer internetters experimenteren de laatste tijd met IPv6, de opvolger van
het huidige IPv4 protocol. IPv6 biedt meer adresruimte en bevat standaard beveiligingsoplossingen.
Diensten zoals IPNG en Freenet6
waarmee een zogenaamde IPv6 verbinding (tunnel) over het bestaande IPv4 netwerk kan worden
aangelegd kunnen zich op een toenemende belangstelling verheugen.
Veel gebruikers vergeten echter dat zich ook op het IPv6 netwerk kwaadwillende mensen
bevinden, en beveiligen hun IPv6 verbinding onvoldoende. Het komt voor dat er een
IPv6-tunnel door een firewall naar een werkstation wordt gemaakt. Hiermee wordt
de beveiliging die wel voor het IPv4 verkeer geldt omzeild. In het ergste geval draait
deze machine onveilige diensten die ook via IPv6 geadverteerd worden, en kan een indringer
via het IPv6 netwerk ongeoorloofde toegang tot het LAN verkrijgen. Onder Unix-achtige
besturingssystemen kan men met het programma 'lsof' kijken of er applicaties op IPv6 adressen
luisteren:


# lsof -i | grep IPv6

sshd 67680 root 6 IPv6 0xcae27b60 0t0 TCP *:22

lsof is over het algemeen niet standaard geinstalleerd, indien het niet mogelijk is
om dit te installeren kan ook het commando 'netstat -an|grep LISTEN'. De uitvoer
van dit programma verschilt sterk tussen de verschillende besturingssystemen, voor
exacte informatie is het raadzaam de handleiding van netstat te lezen.

Als men op afstand wil onderzoeken welke diensten de eigen IPv6 hosts via het netwerk
aanbieden kan dit met de OpenBSD versie van het programma 'netcat' dat IPv6 ondersteunt.
Dit programma is naar diverse andere besturingsystemen, waaronder FreeBSD, geporteerd.

Met het volgende commando kunnen we bijvoorbeeld onderzoeken of de machine met
IPv6 nummer ffff:babe:l337:daed:beef:dead:beef:000 diensten aanbiedt op poorten
1-1024. Uiteraard kan deze range naar eigen inzicht worden aangepast.


$ nc -z ffff:babe:l337:daed:beef:dead:beef:0000 1-1024

Connection to fff:babe:l337:daed:beef:dead:beef:000 80 port [tcp/http] succeeded!

Deze host draait kennelijk een webserver op poort 80. Indien netcat niet op uw
platform werkt is dit perl-script
wellicht een bruikbaar alternatief. Neem er nota van dat deze beide methoden alleen redelijk
betrouwbaar met tcp werken. Om er zeker van te zijn dat er geen ongewenste IPv6 diensten
worden aangeboden is het raadzaam om altijd op de machine zelf met lsof, netstat of sockstat
hierop te controleren. De ongewenste diensten kunnen daarna uit de opstartscripts of inetd.conf
verwijderd worden.

Een groot aantal besturingssystemen ondersteunt firewalling mogelijkheden voor IPv6
en de mogelijkheid tot implementatie hiervan dient zeker overwogen te worden.
Zie voor dit laatste onder andere
Firewalling using netfilter6 (Linux)
en ip6fw (FreeBSD).

Reacties (1)
11-12-2001, 21:06 door Anoniem
Zoals in de eerste zin al aangegeven wordt, bevat IPv6 standaard al beveiligingsoplossingen welke in IPv4 ontbreken. Spelen met IPv6 is dan ook zeker niet gevaarlijk; in tegendeel zelfs.
Dat je IPv6 gebruikt wil uiteraard niet zeggen dat je roekeloos moet worden: als je standaard 'rlogin' dicht zet en je subnet m.b.v. een firewall beschermt, dan is het natuurlijk verstandig om dat nog steeds te doen wanneer je IPv6 gebruikt. Dat heeft echter weinig met het netwerkprotocol zelf te maken, maar meer met gezond verstand ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.