image

Avast: schakel IPv6 op goedkope routers uit

zaterdag 29 november 2014, 16:09 door Redactie, 18 reacties

Het Tsjechische anti-virusbedrijf Avast heeft consumenten met een goedkope router gewaarschuwd om IPv6 uit te schakelen, anders kunnen kwaadwillenden mogelijk toegang tot het netwerk krijgen. Het probleem ontstaat als IPv6 zowel op de router als bij de internetprovider staat ingeschakeld, maar er geen IPv6-firewall wordt gebruikt. "Dat houdt in dat iedereen op internet toegang tot apparaten op het netwerk kan krijgen", zegt Lisandro Carmona. Het gaat bijvoorbeeld dan om printers en netwerkschijven.

Volgens Carmona ligt het probleem bij kleine routers die geen IPv6-firewalling aan kunnen. Een goed werkende IPv6-firewall zou de nodige rekenkracht en geheugen vereisen. "Het is dan ook geen verrassing dat veel van de goedkope routers deze functionaliteit missen of dat die niet goed werkt." Carmona adviseert consumenten met een goedkope router dan ook om IPv6 uit te schakelen. In de meeste gevallen zou dit geen gevolgen moeten hebben, tenzij bepaalde diensten IPv6 vereisen. In dat geval is het advies om naar een betere router te upgraden.

Steeds meer internetproviders voeren Internet Protocol versie 6 in of hebben dit al gedaan. IPv6 is de opvolger van IPv4 dat nu de standaard is. Het Internet Protocol is het communicatieprotocol dat wordt gebruikt om systemen op netwerken te identificeren en hun locatie te bepalen. Het voordeel van IPv6 is dat er veel meer adressen beschikbaar zijn en het protocol features biedt die niet in IPv4 aanwezig zijn.

Reacties (18)
29-11-2014, 16:28 door Anoniem
Nu zie je het probleem van NAT (en "firewalls") als standaard accepteren. Vroegâh hing alles zo aan het publieke internet, en waren problemen simpelweg het probleem van de machine die daar niet mee overweg kon. Bedrijven vol met brakke peeceetjes (en botte bijl-"firewalls"*) en het niet tijdig naar IPv6 overstappen betekenen dat we nu bang zijn voor wat vroeger normaal was. Hadden we niet ingezet op oplapmiddelen maar fabrikanten hard onder druk gezet behoorlijke softare te leveren dan was er nu geen probleem geweest en kon de router goedkoop blijven.

Niet dat ik IPv6 nou zo'n geweldig vehikel vind; er is een reden dat het zelfs nu nog maar heel mondjesmaat uitgerold wordt. Maar het algemene principe van software gebruiken die robuust genoeg is om op het publieke internet gebruikt te worden levert een flexibiliteit op die je gewoon niet krijgt als je er een gewoonte van maakt je achter firewalls te verstoppen.


* Die als bijkomende schade allerlei protocollen naar poort 80 hebben geduwd.
29-11-2014, 18:07 door [Account Verwijderd] - Bijgewerkt: 29-11-2014, 18:08
[Verwijderd]
29-11-2014, 18:12 door Anoniem
De providers in Nederland hebben voor dat ze IPv6 uitrolden eerst de router fabrikanten benaderd en geregeld dat in de
routers die ze uitgeven een IPv6 firewall zit die hetzelfde doet als bij IPv4 de NAT doet.
(dus uitgaande connecties en gerelateerd inkomend verkeer accepteren, maar inkomende connecties niet)

Dit probleem bestaat wellicht elders, maar niet hier.
29-11-2014, 19:14 door Anoniem
De meeste mensen verwachten veel teveel van IPv6 maar dat is totaal niet zo.

Buiten dat men wat meer adressen kan uitdelen is er niet veel meer aan.

Een sfeerbeeld:

Als ik in het netwerkcentrum (Windows 7 in mijn geval) bij de Adapterinstellingen wijzigen en LAN verbinding neem zie ik dat zowel IPV6 als IPv4 staan aangevinkt. Haal ik dat vinkje weg naast IPv6 dan gaat mijn Internetverbinding beter daarna.

Zo zie je maar ...

Ook eens ergens ten velde op het net iets gelezen dat er in bepaalde instellingen bij gpedit.msc (niet aanwezig in Win home ... ) ook bepaalde regels moeten aangepast worden om IPv6 'goed' te laten werken.

Niet zeker, maar ik dacht op deze site ergens:

http://yorickdowne.wordpress.com/2008/01/26/ipv6-at-home-part-1-overview-teredo/
29-11-2014, 20:54 door Joep Lunaar
Door Anoniem: De meeste mensen verwachten veel teveel van IPv6 maar dat is totaal niet zo.
[knip /]
Als ik in het netwerkcentrum (Windows 7 in mijn geval) bij de Adapterinstellingen wijzigen en LAN verbinding neem zie ik dat zowel IPV6 als IPv4 staan aangevinkt. Haal ik dat vinkje weg naast IPv6 dan gaat mijn Internetverbinding beter daarna.
[knip /]

En jij neemt aan dat IPv6 daarvan de oorzaak is? De oorzaak zou net zo goed W7 kunnen zijn, of je webbrowser, of ...
Soms probeert een webbrowser eerst IPv6 en als je dan op je WAN dan geen (native) IPv6 hebt (maar wel op je LAN), vertraagt dat behoorlijk. Heb jij wel IPv6 op je link naar het Internet?

Overigens slaat het advies van Avast op een onwaarschijnlijke situatie: je modem/router is wel in staat een IPv6 verbinding naar het Internet op te zetten en te routeren, maar heeft geen (elementaire) afscherming van het LAN van het WAN.
29-11-2014, 21:09 door Anoniem
Het advies had natuurlijk moeten zijn:

Zorg dat er geen IPv6 services luisteren die niet goed afgeconfigureerd zijn zodat je zelfs zonder FW veilig kunt zijn.
29-11-2014, 22:34 door Anoniem
Het is nog erger: sommige van die slechte routers snappen IPv4 ook niet goed. Beter disable je dat meteen maar, als je toch bezig bent.

Problem solved! Dank u Avast voor deze wijze woorden.
30-11-2014, 00:54 door Anoniem
IPv6 kan door zijn eigenschappen behoorlijk gevaarlijk zijn. Daarom is het beter dit protocol waar mogelijk altijd uit te schakelen en liever nog bij het compileren van software en kernels support hiervoor niet mee te compileren.

Enkele reacties op een blog van xs4all geven een goed beeld waarom IPv6 in de praktijk het minder goed doet dan op papier: https://blog.xs4all.nl/2014/06/14/ipv6

In o.a. Windows 7 en 8 draait standaard een service (Teredo) die via een tunnel naar Microsoft, de betreffende PC een extern IPv6 adres geeft. Niet alleen werkt dit traag bij lookups, al deze PCs hebben een publiek toegankelijk IP adres ondanks dat ze achter een NAT router zitten. Gewone gebruikers hebben er geen idee van dat ze een enorm risico kunnen lopen ondanks dat ze misschien een zeer veilige 'thuisrouter' hebben.

De bezorgdheid van Avast over IPv6 is om meerdere redenen dus wel op zijn plaats.

Als de grote multinationals eens iets vrijgeven van hun enorme berg ongebruikte IPv4 adressen en we eens nadenken over de noodzaak van de hype "the internet of things" dan is er meer dan genoeg tijd om een waardige opvolger van IPv4 te ontwikkelen.
30-11-2014, 09:20 door Anoniem
IPV6 is net zo gevaarlijk als IPV4. "‘Twee dingen zijn oneindig, het universum, en menselijke domheid. Maar van het universum weet ik het nog niet helemaal zeker…’ – Albert Einstein "

Alles open en bloot open stellen op het wereldwijde internet. Er vanuit gaan dat er geen bad guys zijn en alles wel goed zal koment. Tegen die houding is weinig gewassen. Helaas wel vaak het verkoop praatje.

Een NAT, het is een oplossing voor beperkte geisoleerde netwerkjes die dat niet zo maar aan die buitenwereld tonen. Die functionaliteit is niet perse fout. Ja je kan de kamerlamp thuis niet meer uitdoen vanuit Spanje. Prima toch.
30-11-2014, 11:31 door Anoniem
Internet is gemaakt om alle systemen die erop zitten met alle andere te laten communiceren. Dat is bedacht door wetenschappers en die waren helaas een beetje naief.
Zo erg zelfs dat toen de adressen op dreigden te raken men een nieuw protocol bedacht heeft, IPv6, waarmee men weer
genoeg adressen kon uitgeven om alles met alles te laten communiceren.
Maar de buitenwereld had daar helemaal geen behoefte aan! Die hadden allang in de gaten dat dit helemaal niet is
wat je moet willen. Daarom is IPv6 ook geen succes geworden. Er is gewoon geen behoefte aan.
De wetenschappers hadden zelf de use-case bedacht dat er heel veel mobiele apparaten zouden komen die dan allemaal
een adres moesten krijgen en die waren er dan niet, maar nu is ironisch het mobiele netwerk het enige netwerk waarop
geen IPv6 gesupport wordt. Kennelijk is er niet met de gebruikers gepraat, iets wat je in de IT wel vaker ziet.

NAT werd altijd verafschuwd want "dan kan niet meer alles met alles communiceren". Maar dat was juist handig!
Dan hoefde je niet meer alles apart te beveiligen.

Om IPv6 in te voeren heeft men van de consumentenapparatuur fabrikanten geeist dat alle spullen geleverd worden met
een standaard ingeschakelde connection tracking firewall die inkomende connecties blokkeert. In feite hetzelfde als
NAT. Nu kan dus wel alles een adres krijgen, maar evengoed kan er niks direct met elkaar communiceren.
30-11-2014, 12:08 door Anoniem
@Anoniem 00:54

Omdat MS IPv6 op een bepaalde manier gebruikt is dus het protocol gevaarlijk?
30-11-2014, 15:48 door Briolet
Door Anoniem: De providers in Nederland hebben voor dat ze IPv6 uitrolden eerst de router fabrikanten benaderd en geregeld dat in de
routers die ze uitgeven een IPv6 firewall zit die hetzelfde doet als bij IPv4 de NAT doet…

Dit probleem bestaat wellicht elders, maar niet hier.

Eerst zien en dan geloven. Avast geeft aan dat de reden voor het niet implementeren van een goede IPv6 firewall is dat de hardware gewoon te gebrekkig is. Dan kun je wel allerlei afspraken met fabrikanten maken, maar zij kunnen er ook niet meer software opzetten dan de hardware aankan.

Bij Ziggo b.v. worden de inactieve verbindingen al na 5 minuten gesloten bij alle 4 routertypes die zij gebruiken. De hardware laat gewoon niet toe om teveel verbindingen gelijktijdig open te hebben. Bij de meeste routers is dit 60 minuten of langer. Gevolg is dat applicaties als WhatsApp niet goed werken achter de Ziggo routers omdat zij de inactieve verbindingen maar elke 15 minuten herbevestigen. Voor normale routers is dat goed genoeg.

Als de Ziggo hardware dit al niet aan kan, lijkt me dat de fabrikanten ook geen zwaardere firewall op deze routers kunnen installeren. En doen ze dat wel, dan zal dit ten koste van andere zaken gaan omdat ze op een minimum ontworpen zijn.
30-11-2014, 15:54 door Anoniem
Door Anoniem: @Anoniem 00:54

Omdat MS IPv6 op een bepaalde manier gebruikt is dus het protocol gevaarlijk?

Nee, het is gevaarlijk omdat:

- Alles nu een extern IP adres krijgt en de enige beveiliging de firewall in een gadget zelf is, als deze er überhaupt een heeft. Is het ding lek, dan is de enige manier een eeuwigheid wachten op een firmwareupdate. Bij IPv4 bestaat de beveiliging uit meerdere segmenten waar men modulair iets kan vervangen indien bij een kritiek lek geen patch voorhande is. Het is wachten op massa's lekke IP camera's die IPv6 gaan ondersteunen. IPv6 introduceert een single point of failure. Misschien is het protocol wel erg handig voor bitcoin miners die nu massaal devices kunnen gaan kapen.

- IPv6 lekt interne netwerkconfiguraties. En biedt fabrikanten van b.v. Televisies de optie backdoors in netwerken te plaatsen om zo nogmeer big data binnen te harken.

- IPv6 hindert IDS functionaliteit door de IPSec intergratie.

- IPv6 verhindert dat verkeer vanaf allerlei gadgets en apparaten onderzocht kan worden op ongewenst gedrag.

- IPv6 maakt van een externe toegang opt-in (IPv4) een always-online available senario, voor uiteindelijk miljarden devices. Erg en onlogisch als je b.v. ook medische implantaten IP adressen wil gaan uitdelen. Als een pacemaker dan net zo veel lekken als b.v. smartphones hebben is het snel gedaan met de patiënt.

Lees de blogpost nog maar eens door, er staan nog meer goede argumenten is.

IPv6 is ontworpen voor een ideale wereld waar niets mis gaat en niemand kwaad in zin heeft.

Einstein heeft op een punt zeker gelijk.
30-11-2014, 22:02 door Anoniem
Door Briolet: Bij Ziggo b.v. worden de inactieve verbindingen al na 5 minuten gesloten bij alle 4 routertypes die zij gebruiken. De hardware laat gewoon niet toe om teveel verbindingen gelijktijdig open te hebben.
Ook zonder "teveel" verbindingen gooien ze gewoon de vertaaltabel leeg, ook als er verder helemaal niets anders op de lijn gebeurt. Dat zoen ze ook met IPv4 en ik gok dat het gewoon een instelling is die ze vervolgens voor de klant verborgen hebben.

Bijvoorbeeld, er zit zo te zien 64MB geheugen en een 333MHz cpu in zo'n EPC3925 en je vertelt mij niet dat dit dus minder kan dan een WRT54G(v2) met 16MB geheugen en een 200MHz CPU. Met andere woorden, ziggo (want alle vier de apparaten doen dat, minstens twee fabrikanten: cisco en ubee) pessimaliseert hun apparaten op puur http in de meest banale uitvoering en als je meer wil is dat jammer, domme klant.

Ik had het probleem met ssh maar dat bleek er een instelling voor te hebben. Nog steeds slecht verhaal dat ziggo dat nodig maakt.
30-11-2014, 22:19 door Anoniem
Door Anoniem:
- Alles nu een extern IP adres krijgt en de enige beveiliging de firewall in een gadget zelf is, als deze er überhaupt een heeft.
Zal ik je eens wat geks vertellen? Als een apparaat "standaard" onveilig is zonder "firewall", is het [x] ongeschikt voor het open internet. Dan is het ook ongeschikt voor een privaat netwerkje dat uiteindelijk toch aan het open internet hangt, alleen laat NAT (helaas) toe dat je kan pretenderen dat het wel goed zal gaan.

Wat dat betreft is het defect dat IPv6 niet populairder was dan IPv4+NAT zodat we nu niet tegen een enorme berg achterstallig onderhoud en verborgen gebreken aankijken. Maargoed, ook zonder NAT kun je je routertje best gewoon vertellen dat het de koelkast en al die andere dingen die eigenlijk helemaal niets op het open internet te zoeken hebben dan dus ook niet het open internet op te laten. Een lijstje bijhouden wie er wel en wie niet voorbij de router mag is wat meer werk voor jou maar eenmaal geimplementeerd triviaal uit te voeren. Het is minder werk dan die NAT tabel bijhouden die een IPv4 routertje nu toch al moet bijhouden. Maar het is dus minder "plug-n-play" voor demense. Daar zit het probleem, maar dat is geen technisch probleem.

En als het allemaal te moeilijk is kun je ook altijd nog de stekker eruittrekken. Tenminste, dat hoop ik dan. Ik zou geen koelkast willen bezitten die het vertikt om te werken als'ie niet het 'net op kan. Idem dito de TV, de wasmachine, het fornuis en de oven, de magnetron, de thermostaat, weetikhet de deurbel, of noem maar op.

Ook de gas- water- en electrameters liever niet. Ik schrijf met liefde ieder halfjaar de nummertjes op, maar hoepel op met je radio- en netwerkverbindingen voor die dingen.

Is het ding lek, dan is de enige manier een eeuwigheid wachten op een firmwareupdate. Bij IPv4 bestaat de beveiliging uit meerdere segmenten waar men modulair iets kan vervangen indien bij een kritiek lek geen patch voorhande is. Het is wachten op massa's lekke IP camera's die IPv6 gaan ondersteunen. IPv6 introduceert een single point of failure.
Jij weet niet wat een SPOF inhoudt, en de rest van je verhaal klopt ook gewoon niet, sorry. Als jij vindt van wel, leg uit.

- IPv6 lekt interne netwerkconfiguraties. En biedt fabrikanten van b.v. Televisies de optie backdoors in netwerken te plaatsen om zo nogmeer big data binnen te harken.
Dat werkt nu al prima met IPv4+NAT, dus dit is geen verslechtering.

- IPv6 hindert IDS functionaliteit door de IPSec intergratie.
De meeste voor webbrowsen geschikte computers ondersteunen ook IPsec dus dat is ook al geen verslechtering.

- IPv6 verhindert dat verkeer vanaf allerlei gadgets en apparaten onderzocht kan worden op ongewenst gedrag.
IPv6 is net zo goed als IPv4 afhankelijk van je lokale gateway dus als je IDS wil spelen kan dat net zo goed als in IPv4 prima op dat punt.

- IPv6 maakt van een externe toegang opt-in (IPv4) een always-online available senario, voor uiteindelijk miljarden devices. Erg en onlogisch als je b.v. ook medische implantaten IP adressen wil gaan uitdelen. Als een pacemaker dan net zo veel lekken als b.v. smartphones hebben is het snel gedaan met de patiënt.
Ik ben met je eens dat pacemakers en dergelijke niet vernetwerkt dienen te worden, maar als dat gebeurt dan is dat niet de schuld van IPv6. Het kan nu al en we weten net zo goed nu ook al dat het geen goed idee is. Dus gewoon niet doen dan.

Lees de blogpost nog maar eens door, er staan nog meer goede argumenten is.
Jouw argumenten hier schetsen geen aanlokkelijk beeld.

Niet dat ik denk dat IPv6 een goed idee is, maar wel dat de argumenten hier geen hout snijden.
01-12-2014, 08:43 door Anoniem
http://inetcore.com/project/ipv4ec/en-us/index.html ;)
01-12-2014, 10:01 door Anoniem
IPv4 heeft weinig toekomst, en eigenlijk is iedereen al veel te laat met het gebruiken van IPv6, dus deze FUD is teleurstellend, nu het eindelijk een beetje op gang begint te komen.

Een modem die wel IPv6 aan kan, en IPv4-firewalling kan heeft geen reden om geen IPv6-firewalling te kunnen doen. Een modem die geen goede IPv6-firewall heeft is ook niet te vertrouwen met zijn IPv4-firewall.
01-12-2014, 13:29 door Anoniem
@ Gisteren, 22:19 door Anoniem

Een single point of Failure is een entiteit binnen een systeem dat er bij een defect voor zorgt dat het hele systeem niet meer werk zoals bedoeld. In dit geval wordt er een beveiligingsketen vervangen door een enkele beveiliging. Doordat er nog maar een beveiliging hoeft te falen (en niet alle beveiligingen in een hele keten tegelijk hoeven te falen, wat onwaarschijnlijk is) komt er dus een extra factor bij; een single point of failure. Want: als het een aanvaller in een opmars lukt het apparaat over te nemen dan failed het namelijk; het werkt niet meer zoals bedoeld.

IPv6 zoals het bedoeld is, bevat geen centrale NAT / Firewall meer maar laat elk device zijn eigen firewall toepassen. Bij IPV4 is het door de extra router gemakkelijk strenge regels op te leggen aan verkeer. Bijvoorbeeld VPN en https verbieden en de TV alleen te laten verbinden met IP adressen van uitzending gemist. Ik zie het niet gebeuren dat toekomstige consumenten TVs de gebruiker zelf volledige controle geven over de interne firewall. Het geeft de gemiddelde mens dus minder controle en haalt een virtuele drempel weg; NAT bij de voordeur. Je zou het kunnen vergelijken met de postbode jouw huissleutel geven, zodat hij de post van je huisgenoten op de betreffende kamers in een bakje kan leggen. Dat is handig, maar dan moet je hem wel volledig kunnen vertrouwen. En dat kan alleen in een volmaakte wereld, niet in de wereld waar we allemaal in leven. Dat ligt niet inderdaad niet aan de sleutel die de postbode kan hebben en ook niet aan de voordeur. Het ligt aan ons, mensen. Echter als het ontwerp hier rekening mee gehouden had, dan zou het probleem ook niet bestaan. In plaats van het probleem van IPv4 op te lossen maakt IPv6 het probleem alleen maar groter / anders.

IPv6 headers bevatten overigens ook naast het publieke deel van het IPv6 adres, het private deel van het IPv6 adres. IPv4 heeft hier geen last van door de grootschalige toepassing van NAT. IPv6 geeft aanvallers dus extra informatie.

Met IPv6 en IPSec heb je ergens wel een punt, als ze echt willen kan dat nu ook. Echter maak je het fabrikanten nu wel extra gemakkelijk, ondersteund een device IPv6 dan is een VPN tunnel daarover snel gemaakt en is het dus veel lastiger om obscuur netwerkverkeer te verbieden zonder de gehele connectiviteit kapot te maken.

Dat waren de argumenten, ben het verder met je eens dat het soms erg vergezocht is om alles een IP adres te geven. Nu vervang je een schakelaar als een lamp niet meer werkt, straks moet je een helpdesk bellen om het licht weer aan te krijgen. En wat heeft het voor zin om je TV aan te kunnen zetten als je in de trein zit? Onderbrekers in slimme meters? Eenvoud is vele male betrouwbaarder. Moeten we echt alles in huis een IP adres gaan geven of is het gewoon marketing? Wordt ons brein zo lui dat we geen meterstand meer kunnen overtypen op een smartphone of een lokaal programma kunnen instellen voor een thermostaat? Pacemakers en ander kritiek spul niet in een netwerk opnemen? Iemand met gezond verstand snapt dat, toch lukt het de slimmeriken die dit soort technologie ontwikkelen het telkens weer wel te doen. Leren we ervan? Nee, we blijven verder prutsen en knoeien op wat we hebben, zo lang tot er geen enkele mogelijkheid meer is om op betere systemen over te stappen. Nu is het IPv6, straks zijn het de softwarematige defecten van verzorgende robots, die bejaarden van de trap laten vallen. Laten we eerst eens veilige software schrijven voordat we alles op deze planeet aan elkaar gaan knopen.

Overigens Mikko Hyppönen geeft in een van zijn presentaties een goed beeld welke narigheid een internet of things te wachten staat: https://www.f-secure.com/weblog/archives/00002765.html Een voorbeeld is het aanvallen van IP camera's om bitcoins te minen. De komst van IPv6 naar IP camera's met brakke firewalls zal het Internet er in ieder geval niet beter op maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.