Szóstka z dziurą

Błędy i mała popularność IPv6 wciąż hamują masowe zastosowania nowego protokołu.

Błędy i mała popularność IPv6 wciąż hamują masowe zastosowania nowego protokołu.

Opracowanie dobrego protokołu spełniającego wszystkie wymagania, włącznie z bezpieczeństwem, jest trudne, czego dowodem może być kolejny błąd wykryty w IPv6. Jest on bardzo podobny do dawno wyeliminowanego z IPv4 i bardzo poważny, bowiem znacząco ułatwia przeprowadzanie ataków odmowy obsługi - DoS (Denial of Service). Specjaliści z Internet Engineering Task Force (IETF) poinformowali publicznie o istnieniu i konsekwencjach tej luki. Stało się to niezwykle szybko, ale w tym przypadku pośpiech był wskazany. Należy bowiem przygotować środki zaradcze zanim protokół IPv6 stanie się powszechnie używany. Informacja o tej luce została przedstawiona na konferencji CanSec West w maju bieżącego roku.

Należy podkreślić, że to właśnie twórcy nowych protokołów powinni być szczególnie ostrożni i unikać znanych błędów. Błąd w protokole jest bowiem znacznie poważniejszy w skutkach niż nieprawidłowa implementacja lub błąd w aplikacji. O ile zawierająca luki aplikacja daje się łatwo poprawić, nie można tego powiedzieć o naprawianiu błędów w protokole, gdy jest on bardzo rozpowszechniony. A nawet poprawnie napisana aplikacja może być podatna na atak, jeśli tylko w protokole jest błąd dający się eksploitować.

Dziurawe nagłówki

200 mln

adresów zapewnił już sobie Departament Obrony USA, który chce w 2008 r. wykorzystywać sieci oparte na IPv6. Własny adres będą miały bowiem wszystkie urządzenia w jego sieci, aby mogły komunikować się przy użyciu tego protokołu.

Problem w IPv6 dotyczy nagłówków routowania typu zerowego (Type 0 Routing Headers). Sam mechanizm nagłówków tego typu nie jest wykorzystywany w codziennej eksploatacji, niestety może być z powodzeniem użyty do ataków DoS na nieznaną do tej pory skalę.

Mechanizm nagłówków typu zerowego daje możliwość, by nadawca ustalił jak dany pakiet powinien być routowany. Ustawienia te są ważniejsze niż informacje o routingu obecne w systemie. Problem polega na tym, że w IPv6 nie ma obecnie obrony przed atakiem, polegającym na wymuszeniu wielokrotnego przesyłania pakietów przez ten sam link. Atakujący może to wymusić właśnie za pomocą nagłówków typu zerowego. W takich przypadkach ataki odmowy obsługi są znacznie skuteczniejsze, osiągając nawet kilkudziesięciokrotne wzmocnienie. Przypomina to opcję "source routing" obecną dawno temu w IPv4 i skutecznie wyeliminowaną.

By atak się powiódł, muszą być dostępne dwie maszyny podatne na atak połączone łączem internetowym. Atakujący wysyła niewielką liczbę odpowiednio spreparowanych pakietów, tak by maksymalnie wysycić łącze. Co ważniejsze, wzmocnienie to sprawia, że można koncentrować atak na wybrany cel. Biondi i Ebalard opracowali specyficzny schemat ataku na podatne routery z obsługą IPv6. Dzięki efektowi skali teoretycznie możliwe jest zablokowanie całego ruchu IPv6 na międzynarodowych łączach obsługiwanych przy użyciu stosunkowo nieznacznej liczby odpowiednio przygotowanych pakietów, o ile routery będą na ten atak podatne.

Wyłączyć albo usunąć

Natychmiastową odpowiedzią deweloperów było zablokowanie obsługi nagłówków typu zerowego w wielu systemach operacyjnych. Niektórzy administratorzy całkowicie zablokowali także takie pakiety na zaporach firewall (systemy typu BSD oraz Linux dają taką możliwość szczególnie łatwo, a w przypadku urządzeń Cisco, odpowiednie porady można znaleźć pod adresemhttp://www.cisco.com/warp/public/707/cisco-sa-20070124-IOS-IPv6.shtml ).

Oba podejścia są skuteczne i często stosowane razem. Pozostaje jednak pytanie, czy to wystarczy? W IPv6 takich problemów jest prawdopodobnie znacznie więcej. Wielu ekspertów jest zdania, że twórcy IPv6 nie zastosowali dobrych praktyk opracowanych przez całe lata eksploatacji IPv4. Na szczęście nowa wersja protokołu nie jest zbyt rozpowszechniona i dlatego specjaliści mają jeszcze czas na dokonanie odpowiednich poprawek.

200 mld adresów dla wojska

Na razie rozwój IPv6 przebiega powoli. Wdrożeń nie jest zbyt wiele, ale sytuacja powinna dość szybko ulec zmianie. Przyczyni się do tego m.in. kilka instytucji w Stanach Zjednoczonych, takich jak Departament Obrony USA. Wiadomo, że amerykański departament obrony już zapewnił sobie ponad 200 mld adresów na własne potrzeby, gdyż chce wykorzystywać sieci oparte na IPv6, gdzie wszystkie urządzenia będą mogły mieć własny adres i komunikować się właśnie przy użyciu tego protokołu. Wojskowi zamierzają osiągnąć gotowość do użycia nowej wersji IP w swoich sieciach do 2008 r., chociaż wiadomo, że nie będzie to łatwe. Informację tę przedstawił James Collins na konferencji RSA w lutym bieżącego roku.

Na razie instytucja odpowiedzialna za standaryzację (NIST) nie podała terminu, w którym dostawcy produktów dla amerykańskich instytucji rządowych będą musieli zapewnić ich zgodność z IPv6, by móc uzyskiwać kontrakty i sprzedawać je agencjom federalnym. Powszechnie wiadomo, że proces migracji do nowej wersji protokołu jest powolny, ale są już coraz bardziej szczegółowe dokumenty określające jak ma wyglądać eksploatacja systemów w bliskiej przyszłości. Jednym z takich dokumentów jest "A Profile for IPv6 in the U.S. Government - Version 1.0", który porusza bardzo ważki problem - na rynku wciąż brakuje systemów zabezpieczeń obsługujących IPv6.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200