Eric Vyncke is een autoriteit op het gebied van IPv6-beveiliging. Hij is een van de auteurs van het boek IPv6 Security dat Cisco uitbracht, en gastprofessor van seminars over beveiliging. Op zijn visitekaartje van Cisco staat de mooie titel distinguished system engineer. Op de beveiligingsconferentie Brucon gaf hij een presentatie over de gevaren van de transitie naar IPv6.
IPv6 staat nog niet sterk in de schijnwerpers. Naar schatting 0,1 procent van het wereldwijde IP-verkeer is momenteel IPv6. Maar het nieuwe internetprotocol komt er zeker, en vroeger dan veel mensen beseffen.
Volgens de recentste schattingen zijn er in 2011 al geen IPv4-adressen meer beschikbaar, waardoor de 128-bits adresruimte van IPv6 broodnodig wordt. Het volume van het IPv6-verkeer neemt nu al jaarlijks toe met een factor 15. Volgens Eric Vyncke wordt het dan ook tijd dat netwerkbeheerders een IPv6-strategie hebben, al is het maar vanwege de beveiligingsaspecten.
Niets nieuws onder de zon
IPv6 verschilt eigenlijk weinig van IPv4: het lijkt er veel op. Bovendien blijven de OSI-lagen erboven en eronder in het netwerk onveranderd, net zoals de routeringsprotocols. Dit betekent dat de meeste kwetsbaarheden die in IPv4 voorkomen ook voor IPv6 gelden, zij het in iets gewijzigde vorm.
Op het eerste gezicht lijkt het scannen van servers met IPv6-adressen bijvoorbeeld niet zo praktisch, legt Vyncke uit: “Een IPv6-subnet heeft standaard 2^64 adressen, wat bij een bandbreedte van 10 Mbps meer dan vijftigduizend jaar zou duren om volledig te scannen. Maar met de grote IPv6-adressen zijn netwerkbeheerders meer geneigd om eenvoudig te onthouden IP-adressen te gebruiken. En bovendien moeten publieke servers nog altijd bereikbaar zijn via DNS, dat ook eenvoudig te onthouden namen gebruikt. Scannen blijft dus praktisch bij IPv6, maar gebeurt op een iets andere manier.”
Ook sniffing, man-in-the-middle-aanvallen, flooding en het injecteren van rogue devices in een netwerk zijn even eenvoudig bij IPv6 als bij IPv4.
NDP
Hetzelfde zien we bij het nieuwe Neighbor Discovery Protocol (NDP) in IPv6, dat zonder authenticatie even onveilig is als zijn voorganger Address Resolution Protocol (ARP) in IPv4. Door autoconfiguratie kan bijvoorbeeld elke computer zijn eigen IPv6-adres voorstellen als dat van de standaardrouter.
Er bestaat ook een gelijkaardige kwetsbaarheid als ARP-spoofing, waarbij het IP-adres van een andere computer kan overgenomen worden en een denial-of-service-aanval mogelijk is. “Om dit alles tegen te gaan bestaat er wel een Secure Neighbor Discovery Protocol (SEND), maar dit is op dit moment nog door geen van de bekende desktopbesturingssystemen geïmplementeerd”, aldus Vyncke.
Er bestaan ook problemen die specifiek voor IPv6 zijn. Veel daarvan hebben te maken met de transitiemogelijkheden van IPv4 naar IPv6. Enerzijds kan men een dual stack-aanpak kiezen, waarbij men zowel een IPv4- als IPv6-adres heeft. “Toepassingen kunnen dan echter ook via beide protocols aangevallen worden,” waarschuwt Vyncke, “en de uitdaging is dan ook om beide stacks te beveiligen. Je bent immers slechts zo veilig als de minst beveiligde stack. Een firewall moet bijvoorbeeld regels voor beide stacks hebben, maar ook intrusion prevention, VPN-clients enzovoort moeten hier rekening mee houden.”
Als je netwerk (bijvoorbeeld router) geen IPv6 draait, is het bovendien een verkeerde veronderstelling om te denken dat je veilig bent voor dit alles. De meeste besturingssystemen van de laatste drie jaren schakelen IPv6 standaard in: Windows vanaf Vista, Mac OS X vanaf Panther, Windows Mobile vanaf versie 5 en Ubuntu ook al sinds Dapper Drake (6.06).
Het gevaar? “Als een aanvaller dan een IPv6-routeradvertisement stuurt, configureert je computer (die dat bijvoorbeeld via een IPv6-over-IPv4-tunnel ontvangt) zonder dat je het weet IPv6, waardoor je nu via IPv6 kunt worden aangevallen.”
Teredo-tunnels
Bovendien bestaat er zoiets als ‘Teredo-tunnels’, die IPv6-connectiviteit aanbieden voor computers achter een NAT-apparaat dat geen IPv6 kent. De IPv6-pakketten worden dan in IPv4 UDP-datagrams ingekapseld, die door de NAT-apparaten en op het IPv4-internet kunnen gerouteerd worden.
Programma’s zoals µTorrent 1.8 in Windows gebruiken dit om bestanden via bittorrent te downloaden achter een NAT. Zodra Teredo in µTorrent geconfigureerd is en je IPv6-verkeer naar een bittorrent-tracker stuurt, kan iedereen in het IPv6-internet verkeer naar je IPv6-adres sturen.
Ben je een thuisgebruiker met een firewall die zich niets aantrekt van IPv6, dan sta je op dat moment open voor aanvallen. Vyncke nuanceert dit verhaal wel: “Microsoft heeft twee beveiligingen ingebouwd in SP2 van Windows XP en Vista: Teredo-tunnels worden tegengehouden als de Windows-firewall niet voor IPv6 ingeschakeld is of als je onderdeel bent van een Active Directory-domein.”
Er zijn wel degelijk manieren om IPv6 over IPv4 (of IPv6) op een veilige manier te tunnelen, zoals GRE IPSec of een SSL VPN-client. Bovendien kun je je firewall instellen om enkel geautoriseerde eindpunten als tunnels toe te laten.
Vyncke raadt ieder bedrijf dan ook aan om de netwerkverheerders en beveiligingsmensen te trainen in IPv6. “Uiteindelijk is er niet zoveel nieuws aan IPv6, en IPv6 is op zichzelf even (on)veilig als IPv4. Het gebrek aan ervaring met IPv6 zal de veiligheid ervan echter zeker voor een tijdje hinderen.”
Bij een kleine rondvraag na de lezing van Vyncke op Brucon blijkt dat zijn raad niet in dovemansoren gevallen is: verschillende aanwezigen geven aan dat ze IPv6 genegeerd hebben en nu pas inzien dat ze zich hier dringend in moeten bijscholen.
Bron: itprofessional.be
