IPv6 koszmarem branży zabezpieczeń?

ipv6-v2.jpgNowy schemat i metodologia adresowania są radykalnie inne od IPv4, a ich adaptacja sprawi ból głowy podczas wprowadzania. Zasięg wdrożenia jest gargantualny. Czas na zignorowanie IPv6 dawno przeminął.

Jeżeli nie wprowadzi się obsługi IPv6 to wciąż on u nas będzie obecny. Nie będzie się go kontrolowało, rozpoznawało, zarządzało, a wciąż będzie adresowalny globalnie i w pełni routowalny. Dużo taniej i prościej jest obsługiwać IPv6 niż zapobiegać.

Czemu mnie to dotyczy?

Ponad 350 mln komputerów z domyślnie włączonym IPv6 sprzedanych, do tego urządzenia typu dekodery telewizji satelitarnej, różne sensory (na Windows CE/Linusie) i ponad 100 mln komórek oraz smartphonów.

Większość z nich ma automatyczne tunelowanie włączone (Vista i Windows 7, Mac, Windows CE), pozwalające omijać NAT oraz obecnie skonfigurowane firewalle. Zapewniając połączenie p2p nawet jeżeli oba komputery są za NAT IPv4. Na przykład przez wprowadzony przez Microsoft Toredo.

Nie wszystkie firewalle są skonfigurowane aby blokować protokół 41 (enkapsulacja pakietów IPv6 w pakietach IPv4). IPv4 firewalle nie widzą tuneli TCP/UDP (Toredo, SIT). Firewalle IPv6 nie widzą protokołu 41 (lub UDP) na IPv4. Teredo, TSP, AYIYA i OpenVPN (UDP) może ominąć firewalle.

Rynek underground już zaadaptował nową technologię do własnych celów (IPv6: IRC, FTP, Web, backdory, omijanie firewalli, p2p przez NAT).

A to wszystko tylko na dobry początek ;)

Jak powiedział Chris Nickerson: "Gdy raz wejdę na godzinę to już nigdy się mnie nie pozbędą... ciekawe jak zobaczą polecenia dla mojego trojana ukryte w zwyczajnych poleceniach ruchu HTTP na IPv6"

Wszyscy wiedzą, że adresy IPv4 się kończą, a IPv6 jest rozwiązaniem. Ale nie każdy zdaje sobie sprawę, że IPv6 nie jest tylko IPv4 z większą adresacją.

Cytując wypowiedź Sama Bowne jego prezentacji na DEFCON:

Cytat:
IPv6 jest koszmarem dla branży bezpieczeństwa

Czy na pewno? Może po prostu koszmarem dla nieprzystosowanych/nieprzygotowanych? Na ramach tego newsa, który i tak będzie przydługi postaram się streścić kilka aspektów IPv6 dla bezpieczeństwa.

Jak wiecie IPv6 jest z nami od 1996 roku. Od tego czasu opierając się na doświadczeniach z IPv4 wyeliminowano wiele błędów. Niewątpliwie wiele z nich się powtórzy, a dodatkowo IPv6 dostarczy nam równie wiele nowych problemów, a przy okazji zmieni nasz sposób myślenia o zabezpieczeniu sieci/danych. IPv6 jest większym zestawem narzędzi zarówno do ataku jak i obrony.

IPv6 nie wymaga przygotowanej infrastruktury sieciowej/konfiguracji i zabezpieczeń/routingu aby funkcjonować (ping -6 ipv6.google.com). Ale wtedy prawdopodobnie to nie my będziemy go kontrolować :)

Nowy komputer Windows (7, 2008, Vista), Linux, Mac ma domyślnie włączony IPv6 i preferuje je nad IPv4. Nie zapewniając wsparcia dla IPv6 (i nie monitorując) w naszej sieci sprawiamy, że pierwszy router, który się tam pojawi prawdopodobnie będzie mógł przejąć połączenie wszystkich nowszych systemów (ogłoszczenie prioryteryzowanym routingu), a następnie je przekazać na IPv4 tak aby nikt nie zauważył (po co arp spoofing jak jest ICMPv6).

Nie monitorując IPv6 nie wiemy co się tam dzieje (błogosławiona ignorancja). IPv6 przewiduje jak sobie radzić nawet w wypadku braku infrastruktury IPv6 i potrafi przesłać swoje dane w pakietach IPv4 omijając NAT i firewalle (Toredo -Windows, Meredo - Linux/MAC - ciekawsze niż DNS rebinding?).

Co więcej osoby, które będą wdrażały IPv6 będą musiały wyłączyć niekompatybilne IDS, firewalle oraz zabezpieczenia. Co prawdopodobnie nie pomoże w bezpieczeństwie. IPv6 zmienia sposób wykonania niektórych metodologii.Na przykład.

Podstawowa metodologia włamania zakłada kilka faz:

a) Zidentyfikowanie celu,
b) Zdobycie dostępu,
c) Uzyskanie powłoki,
d) Podniesienie uprawnień,
e) Wyczyszczenie śladów,
f) Zabezpieczenie komunikacji,

Dzięki IPv6 niektóre etapy tego modelu wymagają powtórnego opracowania.

Skanowanie staje się niepraktyczne zarówno dla atakującego jak i broniącego. Może to ułatwić ukrycie backdoorów (przewaga atakującego)oraz uniemożliwić znalezienie celów (przewaga broniącego). Na przykład usługi (www, smtp, ftp ,ssh) mogą być rozbite na wiele adresów IP, a skanowanie jednej podklasy IPv6 zajmuje więcej niż całego IPv4 (przewaga dla broniącego).Niemożliwość skanowania czyni ataki robaków typu slammer, blaster niepraktycznymi. Poszukiwanie otwartych mailserwerów dla spamu znacznie upośledzone. Ale są inne metody...

Jako narzędzie ukrycia włamania mogą posłużyć obslugiwane przez protokół zaszyfrowane tunele. Ponad 25 udokumentowanych sposobów tunelowania to zdecydowanie większa płaszczyzna dla błędów lub uniknięcia wykrycia. Dodatkowy routing globalny może wystawić na zewnątrz komputery (za NAT i firewallami) z prywatnych sieci IPv4. Ruch IPv6 może być wykryty tylko jeśli się go szuka. Wiele IDS nie wykrywa IPv6. Boty i malware mogą się połączyć do wielu adresów, łatwo ustawić IPv6 nie zakłócając IPv4 ale ich równoczesna obsługa może prowadzić do problemów.

Dostarcza też kilku wyzwań związanych z zachowaniem anonimowości przez zwykłych użytkowników...

Czy IPv6 jest koszmarem czy tylko ewolucją? Myślę, że czas pokaże ale... Nie jesteśmy gotowi. Czasu brak. Trzeba popracować nad zawiłością przekazywania zagadnienia, brakiem wskazówek, brakiem polityki bezpieczeństwa oraz brakiem szkoleń i narzędzi związanych z tym protokołem.

Kilka wskazówek jak się zabezpieczać.

A.Natywny ruch IPv6 powinien być obsługiwany wewnątrz sieci korporacyjnych/firmowych.
B.Wszystkie protokoły tuneli powinny być rozpoznane i przerwane na firewallu, routerze, granicy podsieci lub obwodzie bezpieczeństwa. Tunele powinny być zabronione z wewnątrz sieci firmowych/korporacyjnych.
C.NIDS wycofać wszelką encapsulacje i przekazywać bezpośrednio natywny ruch IPv6. Szukać zaszyfrowanej encapsulacji.
D.6to4 auto tunele powinny być ograniczone do zewnętrznych stron/klientów. Dostarczyć zewnętrzną bramę do wsparcia protokołów tuneli.
E.Ogłoszenia routerów powinny być monitorowane pod względem anomalii.Prefixy powinny być monitorowane na wypadek nieoczekiwanhych zmian. Niezwykłe ogłoszenia routerów powinny być badane. IDS/IPS powinny wykrywać wrogie routery/ogłoszenia routerów, prefixy, badanie okolicy (ICMPv6)

Więcej na:
http://hack.pl/filmy/hacking-ipv6-joe-klein.html
http://www.ipv6.ie/
http://samsclass.info/defcon.html
http://lipowski.org/sieci-komputerowe/firewall-hacking-atak-na-firewall-ipv6/

Odpowiedz

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
Realizacja: SIPLEX Studio