;

Osm bezpečnostních problémů při nasazení IPv6

27. 10. 2011
Doba čtení: 7 minut

Sdílet

Datum 3. února 2011 prošlo bez zvláštní pozornosti médií, ale pro internet to byl klíčový den. Organizací IANA totiž byla přidělena poslední volná IPv4 internetová adresa.

Datum 3. února 2011 prošlo bez zvláštní pozornosti médií, ale pro internet to byl klíčový den. Organizací IANA totiž byla přidělena poslední volná IPv4 internetová adresa. Regionální internetoví registrátoři (RIR) sice mnohdy mají ještě zásobu IP adres, která může stačit na rok či na dva, nicméně dny IPv4 jsou i tak sečteny.

Jelikož došly IPv4 adresy, je třeba přejít na novou generaci internetového protokolu, a to IPv6. Ten nabízí 128bitový adresní prostor (IPv4 32bitový), takže může zvládnout exponenciální růst internetu, kdy každou hodinu přibývá kolem milionu zařízení. IPv4 umožňuje 4,3 miliardy adres, naproti tomu IPv6 již 340 bilionů.

Ve spojení s postupným nasazením DNSSEX (DNS Security Extensions) nabídne IPv6 stabilní a bezpečný základ pro budoucí internet. Nicméně pro úspěšný přechod z IPv4 na IPv6 musí spolupracovat každý účastník internetu, od provozovatelů infrastruktury přes vývojáře aplikací až po koncové uživatele. Klíčové oblasti v tomto směru jsou:

  • Podpora a vývoj možností IPv6 a vytvoření parity s IPv4
  • Odstraňování problémů s novými aplikacemi určenými jen pro IPv6
  • Přechod a dočasná koexistence mezi IPv6 a IPv4

Kritickou součástí přechodu bude bezpečnost. IPv6 představuje pro většinu internetových stakeholderů zcela novou oblast se specifickými výzvami. Následující seznam není zdaleka vyčerpávající, nicméně představuje osm zásadních bezpečnostních oblastí pro přijetí IPv6. Některé z nich jsou stále ve vývoji, takže jejich definitivní vyřešení přinese až praxe.

1. Překlad z IPv4 na IPv6 může způsobit, že transakce budou zranitelné. Protože oba protokoly nejsou bitově kompatibilní, bude potřeba nasadit překládání protokolů. Lze si to představit jako třídění na poště, kdy je potřeba otevřít každou zásilku s IPv4 adresou, upravit obsah a ten poslat na správné IPv6 místo určení.

Přitom musí být upraven i obsah, aby obsahoval nutné IPv6 dodatečné informace. A pokaždé, když se tohle stane, je to příležitost pro útočníky. Navíc celý proces vkládá mezi koncové účastníky prostředníka, který přenos dat komplikuje. Jisté tedy je, že implementace překladače musí být špičkově připravena a otestována, teprve poté ji lze bez obav nasadit.

2. Velké síťové segmenty jsou dobré i špatné. IPv6 představuje síťové části, které jsou značně větší než ty dnešní – současná doporučená délka předčíslí pro IPv6 podsíť je /64 (264), což je nepřeberný počet hostů na jediném segmentu. Na jedné straně to umožňuje takřka neomezený růst LAN, na druhé straně to přináší některé komplikace. Například trvalo by roky proskenovat jediný IPv6 /64 při hledání napadnutelných míst, na druhé straně jedna /24 IPv4 podsíť 28 by trvala jen několik sekund. Jelikož kompletní sken je neproveditelný, bylo by lepší například využít jen prvních /118 adres (stejný počet jako /22 v IPv4 síti). IP management každopádně bude ještě důležitější než dnes a lze také očekávat, že pasivní analýza doménových jmen (DNS) a další průzkumné techniky naleznou větší uplatnění proti tradičnímu skenování.

3. Neighbor discovery a předávání požadavků. Prohledávání okolních počítačů (ND – Neighbor Discovery) v IPv6 používá pět různých typů kontrolních zpráv (Internet Control Message Protocol version 6 – ICMPv6) pro různé účely včetně určení adresy propojovací vrstvy sousedních počítačů na připojených linkách, k vyčištění neplatných hodnot uložených do vyrovnávací paměti a k nalézání sousedů ochotných předat dál jejich jménem datové pakety. ND nabízí četné užitečné funkce včetně detekce duplikátních adres (Duplicate Address Detection – DAD), skýtá i příležitosti pro útočníky. Lze očekávat, že ND útoky v IPv6 nahradí jejich protější z IPv4, jako jsou ARP spoofing. Obecně je dobrý nápad nechávat porty zavřené, pokud není specificky vyžadováno jejich otevření, implementovat link layer access control a nakonec odstavit IPv6 zcela tam, kde není používáno.

4. Firewally a bezpečnostní brány mohou být zahlceny rozšiřujícími hlavičkami, a tak se stát terčem DDoS útoků. V IPv6 bylo nastavení IP funkcí odstraněno z primární hlavičky a místo toho implementováno jako sada dodatečných rozšiřujících hlaviček zvaná (Extension Headers – EH). Ty určují místo určení, hop-by-hop parametry, ověření totožnosti a další řadu nastavení. Tyto rozšiřující hlavičky následují za tou primární, jejíž délka je pevně 40 bytů, a jsou propojeny dohromady, aby tvořily IPv6 paket (fixní hlavička + rozšiřující hlavičky + náklad). IPv6 datový provoz s velkým počtem paketů by mohl ochromit firewally a bezpečnostní brány či dokonce způsobit pokles výkonu forwardování paketů v routeru, což je vhodná cesta pro DDoS a další útoky. Proto pro ochranu před DDoS útoky může být nezbytné zakázat v routeru „IPv6 source routing“ a explicitně specifikovat, které rozšiřující hlavičky jsou podporovány s náležitou následnou kontrolou.

5. 6to4 a 6RD proxying může podporovat útoky. 6to4 a příbuzná technologie 6RD jsou masivně nasazovány a umožňují IPv6 paketům přejít do IPv4, aniž je nutné konfigurovat dedikované tunely. Nasazení IPv6 však může vystavit proxy provozovatele celému novému spektru problémů včetně discovery útoků, spoofingu či reflection útoků, a proxy operátoři se tak mohou stát „zdrojem“ pro útoky a nelegální aktivity.

6. Podpora IPv6 služeb může ohrozit dosavadní IPv4 aplikace či systémy. Jedno omezení je, že současné bezpečnostní záplaty a postupy mohou být uplatněny jen na IPv4, na druhou stranu většina jader (kernel) dá přednost IPv6 rozhraní před IPv4, pokud jde o aktivity jako DNS vyhledávání, aby se tím podpořilo rychlejší nasazení IPv6. Rozvoj IPv6 a jeho vztah k IPv4 mohou vést až ke zdvojnásobení provozu pro každé DNS vyhledávání – budou vyžadovány AAAA i A záznamy či v horším případě každý přes IPv4 a IPv6, což znamená větší DNS provoz.

ICTS24

7. Uživatelé mohou být ztraceni za sadou pevných adres. Mohou se lehce ztratit za velkou sítí s jejími NAT-PT zařízeními (address translation protocol translation), čímž přestanou být užitečné funkce jako geolokace či nástroje umožňující rozpoznat škodlivé chování sítě, stejně tak bude obtížnější používání řady bezpečnostních nástrojů založených na počítání reputace.

8. Dokonce i IPSec může znamenat problém při tunelování do jiných sítí. IP bezpečnost (IP Security – IPSec) umožňuje ověřit odesílatele, poskytuje ochranu integrity a volitelně šifruje IP pakety, čímž posiluje ochranu dat. IPSec byla volitelná funkce pro IPv4, ale pro IPv6 je povinná. V režimu tunelování, který v zásadě vytvoří VPN pro spojení síť-síť, hostitel-síť a hostitel-hostitel, je celý paket vložen do nového IP paketu a opatřen novou IP hlavičkou. VPN připojení, které zasahuje mimo kontrolu jejího autora, však může znamenat bezpečnostní ohrožení či může být zneužito k odcizování dat.
Bude to ještě nějaký čas trvat, než bude IPv6 všeobecně nasazeno a než začnou pomalu mizet IPv4 zařízení. Do té doby bude nutné pokračování prací na protokolu, který umožní nasadit další miliardy internetových zařízení.