Κακόβουλοι hackers στοχεύουν το IPv6

[SfH]

Πιθανούς κινδύνους κρύβει η μετάβαση στο IPv6 σύμφωνα με μερικούς ειδικούς, καθώς αρκετοί μηχανικοί και χρήστες δε γνωρίζουν ακόμα πώς να ασφαλίσουν τα δίκτυα και τους υπολογιστές τους αντίστοιχα από απειλές που χρησιμοποιούν το νέο πρωτόκολλο .

Ένα από τα πιθανά προβλήματα είναι ότι σχεδόν όλα τα σύγχρονα λειτουργικά συστήματα έχουν το IPv6 ενεργοποιημένο από τις εργοστασιακές τους ρυθμίσεις. Το IPv6 έχει τη δυνατότητα να αυτορρυθμίσει τις παραμέτρους του δικτύου ( StateLess Address AutoConfiguration ) και να βρει τους δρομολογητές που υπάρχουν σε ένα τοπικό δίκτυο. Έτσι, ένας κακόβουλος χρήστης θα μπορούσε να εξομοιώσει ένα δρομολογητή, μαζεύοντας όλη την IPv6 κίνηση πάνω του ακόμα κι αν το τοπικό δίκτυο δεν έχει IPv6 πρόσβαση στο διαδίκτυο, λέει ο Eric Vyncke, μηχανικός της Cisco και συγγραφέας του βιβλίου "IPv6 Security". Η λύση που προτείνει το IETF για αυτές και άλλες απειλές που στοχεύουν σε λειτουργίες του δευτέρου επιπέδου του μοντέλου OSI ( Open Systems Interconnection ) είναι το SeND ( SEcure Neighbor Discovery ), η πολυπλοκότητα του οποίου έχει αποτρέψει αρκετούς κατασκευαστές, όπως η Microsoft και η Apple από το να το υλοποιήσουν.

Σύμφωνα με τον Vyncke έχουν ήδη παρατηρηθεί κακόβουλες εφαρμογές που χρησιμοποιούν το IPv6 για να επικοινωνούν, συνήθως με τη χρήση μηχανισμών ενθυλάκωσης ( Tunneling ) του IPv6 μέσα σε IPv4 πακέτα. Αρκετοί firewalls αδυνατούν να δουν το περιεχόμενο των πακέτων σε τέτοιες περιπτώσεις.

O Vyncke προτείνει ως λύση το σχεδιασμό και την υλοποίηση dual-stack IPv4/IPv6 δικτύων μαζί με την υλοποίηση πολιτικών ασφαλείας για το κάθε πρωτόκολλο, καθώς η μη ύπαρξη IPv6 δικτύου συνήθως ισούται με μη ύπαρξη πολιτικής ασφαλείας για αυτό, ενώ θεωρεί σχεδόν αδύνατη τη μη ύπαρξη συσκευών με ενεργοποιημένο το IPv6 σε ένα λογικού μεγέθους εταιρικό δίκτυο.

Πηγή : Networkworld

[jimmy81]

Και τι μπορουμε να κανουμε οι "απλοι" χρηστες? Αν απενεργοποιησουμε την υποστηριξη IpV6 απο τα PC μας τουλαχιστον σωζουμε τιποτα?

[tsigarid]

Όσο το IPv6 δεν είναι απαραίτητο, είναι μάλλον περιττό.

[BlindG]

Περιττό?!


Aς μην (ξαναματα)ανακαλύπτουμε τον τροχό(ιοί/κακόβουλο λογισμικό) παρακαλώ.

[tsigarid]

Περιττό?!


Aς μην (ξαναματα)ανακαλύπτουμε τον τροχό(ιοί/κακόβουλο λογισμικό) παρακαλώ.

Δεν εννοώ αυτό ασφαλώς

Περιττό = δεν συνδέεσαι με IPv6 native υποχρεωτικά από τον provider σου (ακόμα).

[A_gamer]

Περιττό?!


Aς μην (ξαναματα)ανακαλύπτουμε τον τροχό(ιοί/κακόβουλο λογισμικό) παρακαλώ.

Ε, προς το παρόν εννοεί προφανώς.

[SfH]

Υπάρχουν αντίστοιχες επιθέσεις και στο ipv4, στο ipv6 απλά έχουν αλλάξει λίγο. Η διαφορά αυτή τη στιγμή είναι ότι, ( με τον κατάλληλο εξοπλισμό ) μπορείς να προστατέψεις ένα ipv4 δίκτυο αρκετά ευκολότερα από ότι ένα ipv6. Για ένα σπιτικό δίκτυο, εφόσον υπάρχει έλεγχος στο ποιες συσκευές συνδέονται στο δίκτυο, δεν πιστεύω ότι το ipv6 αποτελεί κάποιο μεγαλύτερο ρίσκο .

[Simpleton]

Δεν εννοώ αυτό ασφαλώς

Περιττό = δεν συνδέεσαι με IPv6 native υποχρεωτικά από τον provider σου (ακόμα).

Το IPv6 δεν είναι (μόνο) για να βγαίνεις στο διαδίκτυο. Και στο τοπικό σου δίκτυο, αν θέλεις να χρησιμοποιήσεις π.χ. κάποιες λειτουργίες των Windows (οικιακή ομάδα, «εύκολη σύνδεση» με το εργαλείο απομακρυσμένης βοήθειας και λογικά οτιδήποτε άλλο στηρίζεται στο PNRP), πρέπει να το τρέχεις.

[ios46]

Φυσικά και υπάρχουν και θα υπάρχουν τρύπες και θέματα ασφαλείας και στο IPv6 τα οποία περιλαμβάνουν γνωστά προβλήματα επιθέσεων προερχόμενα απο το IPv4. Στο IPv6 security βιβλίο το οποίο αναφέρεσαι υπάρχουν σειρά παραδειγμάτων απο επιθέσεις με διάφορα εργαλεία (scapy/thc κλπ) τα οποία στοχεύουν σε διάφορες αδυναμίες (ιδιαίτερα σε LAN περιβάλλον - MiTM, DoS, DHCP starvation, spoofing κλπ). Ρυθμίσεις firewall σε επιπέδο λειτουργικού συστήματος (Linux, MAC/BSD, Windows, Solaris ) περιλαμβάνονται επίσης (με αρκετή ανάλυση πχ όπως σε ip6tables). Πέραν τις αδυναμίες του IPv6 protocol παρουσιάζονται και αδυναμίες των λειτουργικών συστημάτων σε IPv6 (δες DoS - high cpu σε windows πχ, προβλήματα λόγω tunneling-teredo σε windows επίσης, automatic enabled ipv6 και πάει λέγοντας). To SeND έχει αδυναμίες επίσης και υπάρχει δυνατότητα παράκαμψης του (δες Van Hauser και THC-TOOLS). Σϊγουρα θα βγούν ακόμα περίσσοτερα στην πορεία καθώς η τάση είναι να πάμε προς το IPv6 με κάποιο τρόπο (dual-stack, dslite πχ) και η κατάσταση αυτή θα είναι (IPv4+IPv6) για πάρα πολύ καιρό από ότι δείχνουν τα πράγματα. Συνεπώς θα μάθουμε να ζούμε και με αυτό και τα προβλήματά του.