IPv6: możliwe scenariusze ataku
- Józef Muszyński,
- IDG News Service,
- 05.09.2011, godz. 09:00
Eksperci od spraw bezpieczeństwa sygnalizują wzrost liczby ataków wykorzystujących znane luki w protokole IPv6.
Nowy protokół nie jest jednak wolny od luk bezpieczeństwa. Amerykańska firma Salient Federal Solutions przygotowała raport o zaobserwowanych atakach na IPv6, wykorzystujących tunelowanie ruchu, nagłówki routingu, rozgłaszanie DNS czy fałszywe ogloszenia routera (RA). Firma twierdzi, że wszystkie te zagrożenia można wyeliminować korzysrtając z narzędzi głębokiej inspekcji pakietów (DPI - Deep Packet Inspection) obsługujących IPv6, sprawdzających dane również w wyższych warstwach sieci.
Zobacz również:
Polecamy: IPv6: 8 problemów bezpieczeństwa
Najpoważniejszy typ ataku związany jest z tunelowaniem ruchu IPv6 w sieciach IPv4, zwłaszcza z użyciem mechanizmu Teredo, wbudowanego w Windows Vista i Windows 7. Luka w tunelowaniu IPv6 over IPv4 jest znana co najmniej od pięciu lat, ale ciągle jest jeszcze wykorzystywana. Zdaniem autorów raportu, tunelowanie ruchu IPv6 daje napastnikom zielone światło do penetrowania sieci.
Obawy specjalistów związane są też z uTorrent - bezpłatnym klientem dla protokołu P2P Bit Torrent, wykorzystującym m.in. tunelowanie Teredo, a używanym do udostępniania dużych plików (muzycznych, wideo). Społeczność BitTorrent odkryła, że tunelowanie IPv6 to sposób na ominięcie ograniczeń ruchu p2p w sieciach IPv4, stosowanych przez dostawców usług internetowych. Również użytkownicy Vuze - innej aplikacji BitTorrent - odkryli, że wykorzystując tunelowanie IPv6 w IPv4 unikają takiej kontroli. Jest to problem dla operatorów - jeżeli nie kontrolują ruchu IPv6 to nie mogą też kontrolować zatorów związanych z tym ruchem.
Zobacz: 6 mitów związanych z IPv4 i IPv6
Specjaliści Salient Federal obserwowali także ataki związane z nagłówkiem routingu IPv6, który pozwala operatorowi sieci na ustalenie listy routerów pośredniczących w przekazaniu pakietu. W roku 2007 IETF zaleciła wyłączanie tego mechanizmu w IPv6 z powodu jego podatności na ataki typu DoS. Pomimo tego pojawiają się ataki wykorzystujące ten nagłówek w produkcyjnych sieciach IPv6. Jeden z takich ataków Command Information (firma wykonująca badania na zlecenie Salient Federal Solutions) wykryła na jednym z własnych routerów brzegowych, na szczęście od dawna już wyłączonym z sieci produkcyjnej. Atak pochodził z Chin i mógł posłużyć do przesyłania złośliwych informacji z zaatakowanego routera do innych sieci. Jeszcze kilka lat temu mechanizm ten był uruchamiany domyślnie w routerach Cisco. W najnowszych jest domyślnie wyłączony.