Osm bezpečnostních aspektů spojených s implementací IPv6 (2)

17. 6. 2012

Sdílet

 Autor: Scanrail - Fotolia.com
Když skončily alokace IPv4, je čas začít nasazovat novou generaci internetového protokolu – IPv6. Je ale třeba být obezřetný.

Zadušení rozsáhlými rozšiřujícími hlavičkami – firewally a bezpečnostní gatewaye by se mohly stát půdou pro útoky DDoS. V protokolu IPv6 byla z hlavní hlavičky odstraněna funkce IP možností (IP options), která je implementována v podobě sady dalších tzv. rozšiřujících hlaviček (EH, Extension Headers).
Ty specifikují možnosti cíle, možnosti hop-by-hop, autentizaci a řadu dalších možností. Tyto rozšiřující hlavičky následují za hlavní hlavičkou IPv6, která je dlouhá 40 bajtů, a jsou propojeny dohromady tak, že vytvářejí paket IPv6 (pevná hlavička + rozšiřující hlavičky + přenášená data).
Přenosy IPv6 s velkými počty rozšiřujících hlaviček mohou přetížit firewally a bezpečnostní brány nebo dokonce přinést degradaci výkonu směrovače, takže mohou posloužit jako potenciální vektor útoků DDoS a dalších.
Nutnou ochranou proti hrozbám útoků DDoS může být vypnutí zdrojového směrování (source routing) IPv6 na směrovačích. Stejně tak jsou důležité explicitní kodifikace podporovaných rozšiřujících hlaviček a kontrola síťového vybavení z pohledu řádné implementace.
Obecně přidává IPv6 mnoho dalších součástí, jež je potřebné filtrovat nebo které vyžadují definovaný rozsah šíření. Zohlednit je nutno některé rozšiřující hlavičky, adresaci multicastu a rozšířené využití pro protokol ICMP.

Použití proxy pro 6to4 a 6RD může povzbudit útoky a zneužití. 6to4 (společně se sourozencem 6RD rychle nasazovaným poskytovateli internetových služeb) umožňuje paketům IPv6 přeskakovat příslovečné vodní příkopy IPv4 bez nutnosti konfigurovat vyhrazené tunely.
Nasazení proxy serverů IPv6 však může přinést operátorům proxy hromadu problémů včetně takzvaných discovery útoků, spoofingu a útoků typu reflection. Zmínění operátoři potom mohou být zneužiti jako zdroj útoků a zneužití.
Podpora služeb IPv6 může vystavit nebezpečí existující aplikace a systémy IPv4. Jedním z omezení je, že existující opravy zabezpečení lze aplikovat pouze na podporu IPv4, zatímco většina kernelů bude kvůli rychlejšímu nasazení IPv6 při provádění takových aktivit, jako jsou DNS vyhledávání, preferovat rozhraní IPv6 před IPv4.
Dynamika mezi IPv6 a IPv4 může samozřejmě vyústit ve zdvojnásobení přenosů pro každé vyhledávání DNS (při vyžadování obou záznamů AAAA a A, nebo ještě hůře, každého přes IPv4 a IPv6).
To by mohlo vyústit ve velké množství zbytečných přenosů DNS za účelem optimalizace přínosu pro uživatele. Dodavatelé operačních systémů a obsahu často implementují pomocná řešení, aby takové chování zmírnili nebo pro něj zajistili optimalizaci (například tzv. AAAA whitelisty), ale to vytváří další zátěž a stav systému.
Navíc lze očekávat, že s dostupností IPv6 se vynoří nové zranitelnosti. Dvě sady protokolů během dlouhé přechodné doby koexistence a vzájemné závislosti mezi směrovači, koncovými systémy a síťovými službami jako DNS budou určitě sloužit jako úrodná půda pro podvodníky.
Mnoho uživatelů může být skryto za fixní sady adres. Skrývání uživatelů za velkými zařízeními NAT-PT (Network Address Translation Protocol Translation) by mohlo narušit využití užitečných funkcí, jako je geolokace, nebo nástrojů posuzujících škodlivé síťové chování. To by způsobilo další problémy bezpečnostním kontrolám založeným na reputaci jmenného prostoru.
Problémy by mohla představovat také technologie IPSec při tunelování do dalších sítí. Protokol IPSec umožňuje autentizovat odesílatele, poskytuje ochranu integrity a volitelně může šifrovat IP pakety pro zajištění důvěrnosti přenášených dat.
IPSec byl u IPv4 volitelnou funkcí, ale u protokolu IPv6 je už povinný. V režimu tunelování – který v podstatě vytváří komunikační VPN pro spojení síť-síť, hostitel-síť a hostitel-hostitel – je celý paket zapouzdřen do nového paketu a je mu dána nová IP hlavička. VPN spojení se sítí, která je mimo kontrolu původce, však může vyústit v bezpečnostní hrozbu nebo může být použito k odcizení dat atd.

 

Přístup se změní

ICTS24

Nějaký čas před všeobecným nasazením protokolu IPv6 začne počet nativních zařízení IPv4 ubývat. Do té doby musíme všichni pracovat s využitím protokolu, který na internetu umožnil nasadit první čtyři miliardy zařízení.

Současně můžeme vyvíjet a propagovat nejlepší metody, které zajistí, aby byla nová generace IP adres stabilní, spolehlivá a bezpečná. Začne to uvědoměním a znalostmi síťového a bezpečnostního personálu.