02.07.2013

На RIPE Labs вышла статья про основные аспекты безопасности в IPv6. Вот краткий перевод-конспект.

1. Атаки против IPv6-протокола.

1.1 Мультикаст

Используя несколько multicast-пакетов, атакующий может очень быстро провести разведку сети. Пингование адреса ff02::1 покажет несколько «живых» машин.

Некоторые скрипты в NMAP могут быть использованы для обнаружения всех IPv6-клиентов в сети, заставляя их сгенерировать новый (временный) IPv6-адрес через SLAAC. Соответствующие MLDP сообщения от клиентов покажут все ID интерфейсов.

1.2 Расширенные заголовки

Внутри расширенных заголовков могут быть отправлены скрытые данные, которые могут быть пропущены файерволом. Такие данные можно разместить, например, в Hop-by-Hop или в padN заголовках.

2. Атаки против ICMPv6

2.1. Если атакующий сможет подделать RA-пакет внутри сети, то все хосты обновят информацию о шлюзе по умолчанию. Затем исходящий трафик можно просматривать на таком шлюзе,  то есть атакующий сможет просматривать и даже модифицировать трафик.

2.2. Атакующий также может генерировать тысячи RA-пакетов, что быстро «подвешивает» ОС Microsoft Windows, поскольку начинается перегенерация SLAAC-адресов. Эта проблема известна давно, но до сих пор не решена.

2.3. Подмена ND-пакетов.

Когда атакующий подделывает NA-пакеты, он может перенаправить трафик от жертвы к себе и просматривать или модифицировать его перед отправкой дальше в той же самой подсети.

2.4. Обнаружение дубликатов адресов (DAD).

Можно сформировать DoS-атаку путем формирования ложных ответов на DAD-запросы для новых хостов. Новый узел будет считать, что адрес занят и никогда не сможет сформировать адрес для себя. Ситуация не может быть исправлена до завершения атаки.

3. Атаки против DHCPv6.

3.1. Исчерпание адресов

Если используется stateful DHCPv6, то атакующий может сформировать множество DHCP-запросов (аналогично в IPv4), а серверу придется хранить в памяти множество IPv6-адресов и DUID. Память сервера может переполниться.

3.2. Фальшивый DHCPv6-сервер.

Атакующий может запустить свой DHCPv6-сервер в локальной сети и раздавать поддельные значения адресов, скажем для DNS-сервера. Так можно перенаправить клиентские запросы, например, к другому веб-серверу.

4. Утилиты для анализа безопасности.

Заключение.

Люди, будьте бдительны!


Примечание к пункту 1.1:

Пробуем в «живом» сегменте с несколькими десятками IPv6-интерфейсов

ndc -a | wc -p
5
ping ff02::1
….
^C
ndc -a | wc -p
5

— то есть ничего не дало.

2.2 Скорее, имеется в виду, что она не решена в Windows, поскольку RA-Guard уже реализован во многих свитчах.

 


  *** Via IPv4 ***