Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
Windows User Group - Slovak Republic
prihlásenie
meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí
jún 2018 júl 2018 august 2018
po ut st št pi so ne
25 26 27 28 29 30 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5
dnes 23.07.2018 dnes 23.07.2018

kto je online?
počet anonymných užívateľov: 2
počet prihlásených užívateľov: 1
teraz je online:
Bing [Bot]

Top 10 najčítanejšie
1.Vytvorenie USB boot jed...
2.Oprava MBR sektoru bez ...
3.Windows 7 download
4.HTPC alebo ako si posta...
5.Konzole pro zotavení v...
6.Windows 7 RC v slovenč...
7.Inštalujte Windows z U...
8.Platené vs Zadarmo
9.Panika menom Conficker
10.Windows 7 RC download -...

Windows User Group - Slovak Republic

IPv6 - možné bezpečnostné riziká
Windows User Group - Slovak Republic
Bezpečnosť > bezpečnosť

IPv6 - možné bezpečnostné riziká

Windows User Group - Slovak Republic

Prechod na IPv6 alebo súbeh IPv4A IPv6 prináša niekoľko rizík.


Ako som písal v jednom staršom blogu, problém je už v samotnej aplikácií protokolu IPv6 v operačných systémoch.

Kde implementácia v operačných systémoch vyzerá zhruba takto:
Microsoft Windows používa číselnú identifikáciu zóny: fe80::3%1
BSD používa číselnú identifikáciu zóny: fe80::3%pcn0
Linux používa číselnú identifikáciu zóny: fe80::3%eth0.

 

To značí problém s komunikáciou pri multiplatformových LAN. Dnes sa však skôr zameriam na možné riziká v bezpečnosti.

A to v oblasti, ktorá môže byť zneužitá útočníkom.

Jedným z problémov je koexistencia IPv6 a IPv4 v sieti (či už ide o segment LAN, WAN). Dôvod je ako sa konvertuje z jedného protokolu do druhého. Celý proces prekladu prebieha pomocou technológie Man in The Middle (prostredník) kde sa pakety rozbaľujú a následne prebaľujú.

 

Ďaľším kameňom je používanie technológie 6to4 alebo 6RD, príbuzné technológie, ktoré umožňujú paketom IPv6 vstupovať do sietí s IPv4. Samozrejme bez nutnej konfigurácie tunelovania cez proxy. Tento spôsob dáva možnosti použiť rôzne discovery útoky (spoofing, reflection attack a podobne). (pekný popis implementácie 6rd od Junipers v PDF)

 

Ako jedna z možností pre zmenšenie rizík je nasadenie DNSSEX (DNS Security Extension) ktorý plne podporuje IPv6 a umožňuje zároveň paritu s IPv4.

 

Ďaľším s problémov je využitie Extension Headers na DDoS útoky. pripomeniem žepakety u oboch protokolov sú v podstate nekompatibilné IPv4 má hlavičku a náklad, kdežto IPv6 tvorí kompletný paket hlavička + rozširujúca hlavička (extension header) + náklad.

 

Ako vidieť pakety sú rozdielne a hlavička paketu IPv6 je rozšíriteľná sadou Extension Headers.

Pokiaľ používate firewall alebo proxy, tak Vám tok dát z väčším množstvom paketov mohol spôsobiť pád daných služieb.

V kombinácií väčšieho počtu paketov a využitia Neighbor discovery (prehľadávania okolitých počítačov) dostáva potencionálny útočník do ruky podstatne zaujímavejší nástroj ako bol ARP spoofing z IPv4 (iked v podstate Neighbor discovery funguje rovnako ako ARP až na to, že je možné využívať napríklad službu Duplicate Adress Detection (detekciu zdvojených adries).

 

Taktiež v súčasnosti nie je úplne dotiahnutá implementácia IPSec v protokole IPv6 (i ked je daná funkcia v IPv6 povinná). Spôsob nevhodnej implementácie umožnuje odchytávať a otvárať jednotlivé pakety.

 

Takže ako vidieť nie je problém iba s postavením siete na IPv6 ale i z jeho prevádzkou a to by sa u tak starej veci nemalo diať. Snáď sa to zlepší ako sa rozšíri používanie IPv6 vo firmách a jeho postupne nasadenie namiesto IPv4.

 

PS: Tento blog mal iba upozorniť a nie rozviesť problematické oblasti pri používaní IPv6. Totiž jeho použitiu sa už asi nevyhneme keďže došli IPv4 adresy.
Pre tých, ktorých konkrétnejšie zaujali dané citlivé miesta, odporúčam google.

Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Redhawk | piatok 19. augusta 2011 00:17 | Prečítané: 4939 x | neohodnotené |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

 
Windows User Group - Slovak Republic
vyhľadávanie

partneri
SecTec - Think secure

Počítačová škola GOPAS

2 % od Vás pre WUG
2 % od Vás pre WUG

sponzori






Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 Windows User Group Slovensko

Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak Republic