Jak obejść poblem?

Choć istnieje kilka metod obejścia problemu, każda z nich ma istotne wady. Jedną z nich jest wyłączenie IPv6, co wiąże się z rezygnacją z nowych technologii Microsoftu, takich jak usługa DirectAccess - pozwalająca komputerom z Windows 7 na bezpieczny dostęp do zasobów, bez konieczności zestawiania połączenia VPN.

Rozwiązaniem zalecanym przez ekspertów jest korzystanie z routerów, w których zaimplementowano opracowaną przez Cisco technologię RA Guard. Choć została ona zgłoszona jako nieformalny dokument do IETF (RFC 6105), raczej nie stanie się standardem. Warto zaznaczyć, że nie wszystkie routery zostaly wyposażone w RA Guard. Firma Juniper nie zamierza jej implementować i czeka na opracowanie RFC 6164 (rozwiązanie konkurencyjne dla tego będącego własnością Cisco). Heuse ma także za złe firmie Juniper, że nie jest zainteresowana zabezpieczeniem swoich urządzeń, na co Peter Lunk, dyrektor marketingu systemów bezpieczeństwa klasy high-end, odpowiada, że problem z ogłoszeniami routera jest błędem protokołu IPv6 i powinien zostać rozwiązany przez IETF. Dodaje również, że w przypadku urządzeń jego firmy, dotyczy on starszych modeli, konfigurowanych raczej jako host niż router, i zaleca (do czasu opracowania rozwiązania przez IETF) stosowanie białych list akceptowanych ścieżek routingu, co uchroni przed fałszywymi ogłoszeniami RA.

Zobacz również:

• Były programista Microsoftu: wydajność Windows 11 jest "komicznie zła" nawet na potężnym PC
• Luka „Zenbleed” w AMD pozwala hakerom wykradać dane z procesorów Ryzen

Jeśli korzystanie z zabezpieczonych routerów nie jest możliwe, kolejnym obejściem problemu, które można zastosować, jest wyłączenie funkcji rozpoznawania routerów (Router Discovery). Jest to proste rozwiązanie, które wymaga tylko jednego polecenia, ale uniemożliwi korzystanie z automatycznej konfiguracji adresów (Stateless Autoconfoguration). Zdaniem eksperta Sama Bowne, który również przekonywał Microsoft do załatania luki, może to być odpowiednie dla serwerów, ale nie będzie dobre dla maszyn klienckich.

Inną możliwością rozważaną przez Bowne, jest skonfigurowanie zapory tak, by blokowała fałszywe ogłoszenia routera, akceptując tylko te pochodzące z autoryzowanych bram. Jednak, zarówno jego zdaniem, jak i według Heuse - takie zabezpieczenie można łatwo pokonać.

Bowne próbuje przekonać Microsoft do podjęcia trzech działań. Pierwszym z nich powinno być wystosowanie ostrzeżenia do klientów i zalecenie wyłączenia funkcji wykrywania routera na serwerach oraz dostosowanie reguł firewalli na stacjach klienckich, tak by blokowały fałszywe (nie pochodzące z zaufanych bram) RA. Kolejne działania firmy powinny - zdaniem Bowne - objąć domyślne wyłączenie funkcji wykrywania routera w nowych produktach oraz opublikowanie łaty dla oprogramowania sieciowego, ograniczającej przydział procesora dla procesów Router Discovery oraz Stateless Autoconfiguration.