Problemy bezpieczeństwa związane z IPv6

IPv6, długo oczekiwane uaktualnienie głównego protokołu komunikacyjnego internetu, może spędzać sen z powiek wielu osobom odpowiedzialnym za bezpieczeństwo IT. Chociaż liczba ataków wykorzystujących słabości tego protokołu jest jeszcze stosunkowo niewielka, problemy bezpieczeństwa związane z IPv6 są realne.

Wraz z rosnącym stosowaniem IPv6 takich ataków będzie pojawiać się coraz więcej. Ograniczona liczba ataków dzisiaj związana jest ze stosukowo niewielkim rozpowszechnieniem użytkowania tego protokołu, ale eksperci ostrzegają, że ataków opartych na IPv6 przybywa.

Większość zagrożeń związanych z protokołem IPv6 jest pochodną błędów w kodach obsługi protokołu, słabych punktów samego protokołu i niewłaściwą jego implementacją. Taka sytuacja jest konsekwencją tego, że przemysł sieciowy nie jest jeszcze tak dobrze oswojony z IPv6 jak z IPv4, który stosowany jest już od trzydziestu lat.

Wiele systemów operacyjnych - Windows Vista, Windows Server 2008, Mac OS X, Linux, Solaris - dostarczanych jest z domyślnie włączoną obsługą IPv6. Często włącza się obsługę IPv6 nie zdając sobie sprawy, że zapora ogniowa nie przetwarza takiego ruchu, a tylko przepuszcza go w sposób transparentny. Zdarza się także, że nie są ustawiane filtry dla tego ruchu. Użytkownicy muszą świadomie podchodzić do tego problemu i wykorzystywać dla IPv6 - w lustrzanym odbiciu - całą infrastrukturę ochronną stworzoną dla IPv4.

A oto przykłady kilku najbardziej powszechnych zagrożeń związanych z protokołem IPv6.

Niepożądany ruch IPv6. Organizacje, które nie wykorzystują IPv6 i nie mają tego w najbliższych planach, powinny wykorzystywać swoje zapory ogniowe do blokowania ruchu IPv6 przychodzącego lub wychodzącego z ich sieci. Większość ekspertów uważa jednak, że powinien to być środek tymczasowy, ponieważ wolumen ruchu oparty na IPv6 w internecie stale rośnie, a organizacje nie mogą ograniczać dostępu swoim partnerom biznesowych czy klientom, którzy zechcą korzystać z tego ruchu.

Tunele IPv6. Trzy typy tuneli IPv6 - Teredo, 6to4 i Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) - pozwalają na kapsułkowanie pakietów IPv6 w pakietach IPv4, które mogą być przesyłane przez zapory ogniowe i urządzenia translacji adresów dostosowane do IPv4. Dla administratorów sieci, tunelowane pakiety IPv6 wyglądają jak normalny ruch IPv4. Oprócz zapór ogniowych i systemów IPS obsługujących IPv6, konieczne jest więc stosowanie systemów dogłębnej kontroli pakietów, które mogą zaglądać w tunel w celu sprawdzenia tego, co przenosi. Przy braku pełnej inspekcji ruchu tunelowanego mogą pojawić się tradycyjne ataki IPv4 wykorzystujące cechy tunelowania IPv6.

Fałszywe urządzenia IPv6. Możliwości autokonfigurowania wbudowane w IPv6 pozwalają napastnikowi na zdefiniowanie szkodliwego urządzenia, które będzie przydzielać adresy IP wszystkim innym urządzeniom w sieci. Urządzenie takie może udawać router IPv6 i cały ruch może być kierowany do tego rzekomego routera, który może ten ruch przeglądać lub modyfikować.

Nagłówek routingu typu 0. Ta dobrze znana luka IPv6 stwarza możliwość wykonania ataku DoS ponieważ daje napastnikowi zdolność manipulowania przepływem ruchu przez internet. Mechanizm ten pozwala na specyfikowanie w nagłówku trasy, która ma być używana do przenoszenia ruchu. Napastnik może wykorzystać ten mechanizm do przeciążania poszczególnych części sieci.

Wbudowane ICMP i multicast. W odróżnieniu od IPv4, IPv6 ma wbudowane mechanizmy ICMP (Internet Control Message Protocol) i multicast. Te dwa typy ruchu sieciowego są integralną częścią IPv6. Przy IPv4 administrator może blokować ruch ICMP i multicast w celu zapobieżenia atakom przenoszonym przez te kanały. Jednak dla IPv6, trzeba bardzo precyzyjnie dostrajać filtry na zaporze ogniowej czy routerach w celu dopuszczenie tylko wybranego ruchu ICMP i multicast.


Zobacz również