IPv6 není bezpečný a nasazujte ho s rozmyslem, varuje expert

Martin Noska | 28.08.2012 | Bezpečnost, Internet a služby | 6 komentářů

Německý výzkumník a nezávislý bezpečnostní konzultant Marc Heuse, který se v uplynulé dekádě intenzivně věnoval bezpečnosti protokolu IPv6, tvrdí, že pro jeho nasazení v rámci interní infrastruktury firmy není zatím žádný rozumný důvod. Naopak podle něj tento protokol obsahuje z hlediska bezpečnosti řadu závažných nedostatků.

Heuse, který je známý ze svých vystoupení na řadě bezpečnostních konferencí, poskytl o svém postoji detailní informace redaktorům webu ZDNet, z nichž vám přinášíme výběr toho nejzajímavějšího. Kompletní text si můžete (v angličtině) přečíst v odkazu na zdroj pod článkem.

„Pokud by mi nějaký síťový inženýr řekl, abychom celou firemní síť přesunuli na protokol IPv6, okamžitě bych takového člověka vyhodil,“ tvrdí Heuse s tím, že by takový krok v případě velké firmy stál miliony a benefity by byly prakticky nulové. Základní otázka podle něj při takových úvahách vždy zní – v čem by takový krok udělal vaši firemní síť lepší? Mnoho argumentů pro kladnou odpověď v takovém případě pravděpodobně nenajdete a zkušenosti některých organizací naznačují, že jde o velmi náročnou práci (viz například starší článek Migrace firemní sítě na IPv6: Problémy a nástrahy).

IPv6: Spíše rizika než výhody?

Heuse varuje před tím, že IPv6 obsahuje chyby, které poskytují příležitost pro útoky typu man-in-the-middle, kdy se třetí osoba dostane mezi komunikaci jiných dvou účastníků, čehož následně může využít například pro odposlouchávání hesel (password sniffing) či pro odchytávání a měnění packetů (packet tampering). Nicméně v řadě zemí, zejména v Asii, organizace díky nedostatku IPv4 adres nemají příliš alternativ. Heuse proto říká, že společnosti by měly již letos postupně IPv6 nasazovat, ale jen pro nejnutnější případy a pouze pro veřejné internetové služby, které nabízí. S kompletním přechodem pak radí rozhodně počkat.

IPv6 se od svého předchůdce – protokolu IPv4 – liší mimo jiné tím, že jeho adresy jsou zhruba čtyřikrát delší, díky čemuž jich mohou existovat biliony, zatímco v případě IPv4 to byly „jen“ zhruba čtyři miliardy. To se sice hodí v případě přístrojů připojovaných přímo do internetu, ale už méně je to podle Marca Heuse vhodné pro interní firemní sítě, které tolik adres ani nepotřebují. Ba naopak to přináší zbytečné komplikace spojené se složitostí IPv6.

S tím, jak roste popularita protokolu IPv6, podle Heuseho slov konečně svítá naděje i na zlepšení jeho bezpečnosti a velcí hráči již v minulých letech pokusili o řadu změn k lepšímu. Nicméně hlavní nedostatky podle něj zůstaly a poměrně zásadním problémem je právě i zmíněná složitost a velká komplexnost nového protokolu.

Dědictví 90. let v protokolu IPv6

Důvodem existujících bezpečnostních nedostatků je podle německého experta skutečnost, že protokol IPv6 byl navrhován v polovině 90. let, kdy (virtuální) svět byl stále ještě poměrně bezpečným místem. Autoři tohoto protokolu počítali například s tím, že vše na lokální síti je důvěryhodné a nebo že pokud bude vše šifrováno, nemůže dojít k hacknutí. To se ale za poslední roky změnilo a ve světě internetové bezpečnosti dnes nic nelze považovat za jisté.

Marc Heuse tvrdí, že v protokolu IPv6 nalézá každý rok nové a nové chyby, a zejména pak upozorňuje na problém označovaný jako router advertisement spoofing (tedy podsunutí falešného packetu s konfiguračními parametry od směrovače). Ten jen podle něj důsledkem snahy návrhářů nového protokolu vzdálit se osvědčenému principu DHCP, který se používal pro přidělování IP adresy počítači v rámci sítě. Tento nový přístup je ale zatím stále nedomyšlený a napadnutelný. „Zatímco v případě DHCP přidělil server počítači konkrétní IPv4 adresu, u protokolu IPv6 směrovač vysílá do sítě informaci, že je zde síťový prostor a že z něj lze adresu vybrat. Nicméně pokud předstíráte, že jste router a vysíláte falešné packety router advertisement, ostatní v síti si o vás budou skutečně myslet, že jste opravdový router a tím se právě otevírá prostor ke zmíněným útokům typu man-in-the-middle,“ vysvětluje bezpečnostní expert.

Tento problém zatím nebyl nijak uspokojivě vyřešen a z hlediska podnikové bezpečnosti představuje vážné riziko.

Zatímco protokol IPv4 těžil z dvaceti let výzkumu v oblasti bezpečnosti a kritická místa v něm byla většinou úspěšně ošetřena, IPv6 je prakticky na samém začátku a až nyní je nasazován ve skutečně velkém měřítku, aby se stal atraktivní pro výzkum na poli bezpečnosti, dodává Marc Heuse. V řadě situaci ale může být už pozdě a firmy tak mohou být v reálné praxi na vlastní kůži vystaveny existujícím nedostatkům.

Zdroj: ZDNet.com

6 komentářů u článku “IPv6 není bezpečný a nasazujte ho s rozmyslem, varuje expert”

  1. KGB napsal:

    Všechny technologie mají chyby a nedostatky. To by pak nebylo možné nasadit vůbec nic :-(

    • Ondřej Surý napsal:

      Já myslím, že pan Marc Heuse se hlavně snaží být zajímavý, což mu přinese nové zakázky. Aneb nikdy nevěř na slovo konzultantům…natož bezpečnostním konzultantům.

  2. Secur napsal:

    Jsem z toho trochu zmatený – je teda v tom router advertisementu nějaká zneužitelná chyba nebo ne?

  3. EIS napsal:

    Ziadna chyba tam nie je. Panko sa len snazi byt zaujimavy to je vsetko.
    Proste DHCP sa pri IPv6 zrusilo a routre posielaju do siete hlasku aka sa pouziva subneta. Client si to pozrie, prihodi svoju MAC adresu a sup ma IPv6 adresu, masku aj gateway. A teda ak mu to niekto podhodi, tak ho donuti pouzivat svoj gateway.

    Ale toto iste sa da spravit aj pri IPv4 co sa tyka DHCP. Strcim do siete svoj DHCP server a ten bude oznamovat „moje“ udaje. Na switchoch sa to uz da ale riesit cez DHCP snooping. Kedy sa switchu povie ze DHCP server hlasky mozu chodit iba cez tento port a vsetky ostatne ked to spravia, tak automaticky zablokovat.

  4. Jan Malý napsal:

    Rozhodně v jedné věci má ten chlapík pravdu. Protokol IPv6 je šíleně složitý. Krása a přehlednost jednoduchých IPv4 adres se už nikdy nevrátí :-(

  5. bluemoon napsal:

    Tak ja s panem nesouhlasim skoro vubec a to z principu bezpecnosti(nikoliv v tom, ze IPv4 je dobry protokol)
    Virtualni svet v 90letech nebyl vubec bezpecnym mistem ale naopak deravy jak cednik.
    Dovedu si tvrdit, ze kdyby bylo v 90tych letech tolik sluzeb jako je dnes, nikdo by to nedovedl spravovat co se tyce bezpecnosti.
    Mit dnes uzavrenou lokalni sit znamena byt tak trochu mimo s prichodem cloudovych sluzeb. Nelze dnes uz nic rozdelovat na uzavrenou lokalni sit a otevrenou. Pro zachovani IPv4 by klidne stacilo pridat par nodu a cleneni koncovych bodu.
    K bezpecnosti IPv4 a jeho tvrzenim, ze IPv4 proslo dvacetiletym vyvojem a proto by mel byt protokol DHCP a DNS v siti bezpecny, tak to je samo o sobe hovadina.
    Jiz dnes si vsichni vzpomente, kolik bezpecnostnich prvku se musi do site, kde se prideluji IP adresy implementovat tolik dodatecnych prvku at uz hardwarovych nebo softwarovych, aby to teprve bezpecne bylo a zajistila se bezpecna komunikace na vsech vrstvach komunikace v sitich.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


čtyři − = nula

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz