Neighbor Discovery i Solicitation

Neighbor Discovery i Neighbor Solicitation mogą zwiększać zagrożenie dla sieci. Neighbor Discovery (ND) używa pięciu różnych typów komunikatów ICMPv6 do różnych zastosowań - w tym ustalenia adresu warstwy łącza (odpowiednik ARP dla IPv4) dla sąsiadów hosta, do usuwania z pamięci podręcznej wartości, które stały się nieaktualne, czy do wykrywania routerów. Chociaż ND ma wiele użytecznych funkcji, jak np. wykrywanie zduplikowanych adresów (DAD), może także stwarzać okazję do ataków. Ataki Neighbor Discovery zapewne zastąpią znany nam obecnie ARP spoofing.

Znana jest już luka w IPv6 związana z RA (Router Advertisement) pozwalająca na zawieszenie komputera pracującego pod systemem Windows. Co gorsza, nie wszyscy (np. Microsoft i Juniper) kwapią się do jej usunięcia w swoich produktach.

Zobacz również:

• Klucze passkey zapewniają bezpieczeństwo ponad połowie kont Google
• Cisco wzmacnia bezpieczeństwo dwóch platform sieciowych

Dobrą praktyką jest wyłączanie portów, o ile nie są niezbędne do świadczenia usług, implementacja kontroli dostępu na poziomie warstwy łącza oraz mechanizmów zabezpieczających. Jeśli na jakiejś stacji IPv6 nie jest w ogóle wykorzystywany, wskazane jest wyłączanie go.

Extension headers

Dodatkowe nagłówki mogą stać się elementem ataków DDoS. W protokole IPv6 funkcja opcji została usunięta z nagłówka głównego i zaimplementowano ją jako zbiór nagłówków rozszerzających (EH - Extension Headers). Do EH trafiły opcje celu, skoku za skokiem (hop-by-hop), uwierzytelnianie, a także tablica innych opcji. Dodatkowe nagłówki następują po podstawowym nagłówku IPv6, który ma zawsze 40 bajtów. Pakiet tworzony jest przez połączenie stałego nagłówka, nagłówków dodatkowych i ładunku (payload). Ruch IPv6 z dużą liczbą nagłówków rozszerzających może przytłoczyć zapory czy bramy bezpieczeństwa, a nawet spowodować spadek ich wydajności, może więc służyć za narzędzie ataków DDoS. Aby chronić routery przed tego typu atakami, może być konieczne wyłączenie routingu źródłowego (IPv6 source routing), a następnie precyzyjne zakodowanie, które nagłówki rozszerzające będą akceptowane, oraz sprawdzenie sprzętu sieciowego, czy zostało to w nim właściwie zaimplementowane.

Protokół IPv6 wnosi dużo więcej komponentów wymagających "specjalnej troski", wśród których należy wymienić: nagłówki rozszerzające, adresowanie multicast czy wzrost zastosowań dla ICMP.

Proxy IPv6

Techniki 6to4 i 6RD mogą zachęcać do ataków i nadużyć. 6to4 wraz ze swoim kuzynem 6RD pozwalają na przesyłanie pakietów między IPv4 i IPv6 bez konfigurowania dedykowanych tuneli. Niestety wdrożenie serwerów proxy IPv6 może wprowadzić ich operatorów w świat kłopotów, takich jak ataki Neighbor Discovery, spoofing czy atak lustrzany (reflection attack). Także oni sami mogą zostać wykorzystani jako "źródło" ataków i nadużyć.

Istniejące aplikacje i obsługa IPv6

Wsparcie dla usług IPv6 może zaszkodzić istniejącym aplikacjom i systemom IPv4. Jednym z ograniczeń jest to, że aktualizacje bezpieczeństwa mogą być zastosowane tylko dla IPv4, zaś przy takich operacjach jak zapytania DNS, jądra systemu będą preferowały interfejsy IPv6 (przed IPv4). Mogą pojawić się podwójne zapytania DNS o rekord AAAA oraz A, bądź - co gorsza - każde z tych zapytań zostanie przesłane przez IPv4 i IPv6. Wygeneruje to sporą ilość niepotrzebnego ruchu DNS. Co więcej, z nowymi stosami IPv6 przyjdą z pewnością nowe, dające się wykorzystać słabości. Podwójny stos przez długi okres przejściowy, zależności między routerami, systememi i usługami sieciowymi, takimi jak DNS - będą stanowiły doskonały grunt dla prób ataków.