Windows 7 kwetsbaar voor IPv6-aanvallen
De standaard netwerkconfiguratie van Windows 7 bevat een beveiligingsprobleem waardoor aanvallers al het netwerkverkeer kunnen kapen en onderscheppen, zonder dat de gebruiker dit weet of er enige interactie is vereist. Het probleem speelt niet alleen met Windows 7, maar ook met Vista en Windows Server 2008 installaties. Een aanvaller kan een "IPv6 overlay" over een IPv4-only netwerk plaatsen, om zo een man-in-the-middle aanval op het IPv4-verkeer uit te voeren.
IPv6 gebruikt geen ARP (Address Resolution Protocol), maar verschillende andere protocollen om de fysieke adressen van anderen op de local link te ontdekken. Ook routers kunnen hun aanwezigheid op de local link middels multicasting Router Advertisement (RA) berichten aankondigen. Als een host die IPv6-aware is een RA ontvangt, kan het zichzelf een geldig routeerbaar IPv6 adres toekennen, door een proces dat Stateless Address Auto Configuration (SLAAC) heet. De host gebruikt dan het bronadres van de RA als standaard gateway. In het geval van de SLAAC-aanval, wordt er een fysieke router geïntroduceerd die uiteindelijk de man-in-the-middle opzet.
De aanval is een probleem, omdat er een nieuw pad naar het internet wordt geïntroduceerd. Veel beveiligingsproducten controleren alleen het IPv4-verkeer. Sommige oplossingen kunnen zelfs geen IPv6 aan. Aangezien het doelwit geen IPv6 gebruikt, wordt er ook geen aanval verwacht die hier gebruik van maakt.
Onzichtbaar
Volgens beveiligingsonderzoeker Adam Behnke van het Infosec Institute is de aanval volledig transparant en lastig te detecteren, zelfs in een bedrijfsomgeving. Daarnaast werkt de aanval zowel op bedrade als draadloze netwerken. Behnke merkt op dat de aanval het IPv6 naar IPv4 vertalingsproces gebruikt, maar dat er geen bestaand IPv6-netwerk is vereist. Het besturingssysteem hoeft alleen ondersteuning van IPv6 te hebben ingeschakeld. Mac OS X is mogelijk ook kwetsbaar, maar dit is nog niet onderzocht.
Oplossing
Behnke waarschuwde Microsoft, omdat het een kwetsbaarheid in de standaardconfiguratie is en een patch daarom niet mogelijk is. De softwaregigant bevestigde dat het probleem niet eenvoudig is op te lossen en dat het eventuele oplossingen nog moet onderzoeken.
"De oplossing voor Microsoft is om standaard IPv6 uit te schakelen, maar dit kan niet retroactief voor productiedesktops en servers worden gedaan, omdat klanten IPv6 voor legitieme redenen kunnen gebruiken", aldus de onderzoeker. Hij benadrukt dat het publiek van het lek moet wetten, omdat aanvallers het mogelijk al kennen en misbruiken.
Sven zet er tenminste nog "geintje" bij !!
Het is eigenlijk een "IP6 default install" probleem voor elk OS
Lees hier maar even het fijne ervan met wat leuke tekeningetjes:
http://resources.infosecinstitute.com/slaac-attack/
details: http://www.thc.org/thc-ipv6/
De onderzoekers hebben de tijd niet genomen om er iets anders dan Windows voor te gebruiken. En ik denk dat het een schijnveiligheid in de hand werkt om je waarschuwing te beperken tot besturingssystemen. Het kopt natuurlijk leuk, en daar gaat het om tegenwoordig.
Ps. het is nog oud nieuws ook: http://tools.ietf.org/html/draft-chown-v6ops-rogue-ra-02
Heb je de reacties gelezen? Het is een IPv6 gerelateerd probleem, en beperkt zich (helaas) niet alleen tot de Windows networking stack. Ik vraag mij af of Unix/Linux distro's die zich focussen op veiligheid dit ook hebben. OpenBSD schijnt dit probleem al wel opgelost te hebben :)
Sven zet er tenminste nog "geintje" bij !!
Het is eigenlijk een "IP6 default install" probleem voor elk OS
Lees hier maar even het fijne ervan met wat leuke tekeningetjes:
http://resources.infosecinstitute.com/slaac-attack/
En bij elke linux dus ook Ubuntu is ipv6 heel makkelijk uit te zetten.
Alle operating systems met RDNSS of DHCPv6 client support zijn "vulnerable". Dus ook de iPhone/iPad. Niet "vulnerable": MacOS X 10.6, Ubuntu 10.10. Wel "vulnerable": Mac OS X 10.7, Ubuntu 11.04.
Maar om hier nu van een probleem te spreken, dat lijkt me wat overdreven. De conclusie is: 'ken uw netwerk', maar is dat voor IPv6 nou zoveel anders dan voor IPv4? Ik dacht het niet.
De veronderstelde aanval gaat namelijk uit van nogal wat aannames.
Er verschijnt 'zomaar' een 'evil' routing device in je netwerk. Ja, hallo... dan ben je natuurlijk sowiso gezien, of dat nou een IPv4 of IPv6 netwerk betreft. Zo lust ik er nog wel een...
Dus... gezonde aandacht voor het feit dat mensen onbewust IPv6 doen en dus niet in de gaten hebben dat ze mogelijk kwetsbaarder zijn, is prima. Hoe meer IPv6 awareness hoe beter. Maar een sfeer scheppen dat IPv6 gevaarlijk is, is natuurlijk grote onzin. Het is gewoon een nog relatief jonge technologie. Maar daar schrikt een beetje guru toch niet voor terug, of wel? Gaaf juist.
Stom in een glas water, zoals de tijd zal uitwijzen.
Security.nl verwacht dat mensen die hier komen een gedegen kennis van ICT hebben, dat het de laatste wat minder moeilijke onderwerpen zijn is een ander verhaal.
http://nl.wikipedia.org/wiki/Internet_Protocol_Version_6
http://www.ipv6-taskforce.nl/?page_id=6
Ubuntu (vooral de nieuwste versies, beginnende met Lucid) hebben een firewall die met IPv6 overweg kan.
Standaard blokkeert deze al het IPv6 dataverkeer, maar je kan ook instellen om te accepteren.
Om te zeggen dat dit schuld van is IPv6 is onzin!! De markt heeft veel te lang haar kop in het zant gestoken over IPv6.
Het aantal vrije IPv4 is op! (ja er zijn nog voorraden bij de bedrijven/nationale uitgevers, maar die raken ook op).
Daarom zijn OS makers IPv6 nu al gaan ondersteunen, zodat we straks (waarschijnlijk niet) zonder problemen kunnen overstappen op IPv6.
Maar helaas lopen nog teveel software ontwikkelleraars en beveiligingssoftware en sommige ICT managers achter op de ontwikkeling. En krijgen wel allemaal te horen dat IPv6 slecht en gevaarlijk is, alleen omdat ze dan een excuus hebben om het niet te leren. Het komt er! Dat staat vast of het internet loopt vast. Leer het, begrijp het, en vooral BEVEILIG HET!
Iemand die op sercurity.nl komt zal de informatie die je vraagt al weten. Gebruik eens een zoekmachine! Binnen 2 klikken heb je alle informatie die je wilt weten ;)
Op een deel van je vragen kan ik wel een eenvoudig antwoord geven:
Gebruik je Windows Vista of Windows 7 dan is de mogelijkheid voor IPv6 standaard aanwezig.
Je kunt dat via de volgende weg uitschakelen:
Configuratiescherm\ Netwerk en internet\ Netwerkcentrum\
\ Netwerkverbindingen beheren\
\ Rechtsklik op de weergegeven netwerkverbinding\
\ Eigenschappen\
\ Vinkje weghalen voor Internet Protocol versie 6 (TCP/IPv6)
Configuratiescherm\ Netwerk en internet\ Netwerkcentrum\
\ Netwerkverbindingen beheren\
\ Rechtsklik op de weergegeven netwerkverbinding\
\ Eigenschappen\
\ Vinkje weghalen voor Internet Protocol versie 6 (TCP/IPv6)
Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents
Zet deze sleutel op DWORD: 0xFFFFFFFF en herstart de machine. IPv6 is dan voor alle interfaces behalve localhost disabled.
Groet, Mike
Ik weet niet of je nu wilt zeggen dat je SLAAC wel kunt uitzetten ?
Dan moet je even zoeken met welke DHCPv6 optie je een default gateway kunt meegeven ;-)
(antwoord: die is er niet).
Dus als je clients dynamisch adressen (en gateways) mee wilt geven moet je (ook) router advertisements gebruiken, want DHCPv6 alleen is niet voldoende.
En andersom, er zijn OS'en (bv MacOS) die geen IPv6 adres via DHCPv6 kunnen krijgen :-(
(wel via SLAAC)
Voorlopig hebben die mensen die nu zonodig IPv6 uit willen zetten alleen een punt als hun IPv4 segment wel compleet dichtgetimmerd zit :
(dus : switch infra die de koppeling mac-arp-IP(DHCP) controleert en arp spoofing, dhcp spoofing (cq ip/mac spoofing) onmogelijk maakt. Heb je dat niet, dus is het valse veiligheid om dan om deze reden wel IPv6 uit te gaan zetten).
[/quote]
Security.nl mag dan bedoeld zijn voor de ICT-incrowd, feit is dat deze website ook heel veel gewone pc en mac gebruikers aantrekt die meer willen weten over beveiliging van hun dure spullen en gevoelige verbindingen (met de bank, bijvoorbeeld). Deze website, security.nl , verdient heel veel geld aan al deze eenvoudige bezoekers, en het zou deze site sieren om hen niet arrogant met geheimtaal weg te jagen, maar eindelijk eens te bedienen met informatie waar deze groep wat aan heeft. Laat ze hun informatie helder en begrijpelijk houden. Dat kan op heel veel manieren, onder andere met links naar verklarende teksten (niet wikipedia!). Zo zie je maar weer, dat ik dit wel kan bedenken, en de zogenaamde ict-professionals niet!
Ik weet niet of je nu wilt zeggen dat je SLAAC wel kunt uitzetten ?
Dan moet je even zoeken met welke DHCPv6 optie je een default gateway kunt meegeven ;-)
(antwoord: die is er niet).
Dus als je clients dynamisch adressen (en gateways) mee wilt geven moet je (ook) router advertisements gebruiken, want DHCPv6 alleen is niet voldoende.
(wel via SLAAC)
(dus : switch infra die de koppeling mac-arp-IP(DHCP) controleert en arp spoofing, dhcp spoofing (cq ip/mac spoofing) onmogelijk maakt. Heb je dat niet, dus is het valse veiligheid om dan om deze reden wel IPv6 uit te gaan zetten).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
