Архив рубрики: Безопасность

29.10.2016

В этом месяце много писали про ботнет, состоящий из перепрошитых-взломанных ip-видеокамер. Выяснилось, что этот ботнет построен на прогрессивных технологиях и поддерживает IPv6. 🙂


  *** Via IPv4 ***  

27.07.2016

Let’s Encrypt обьявил о полной поддержке IPv6 в своих продуктах. С 26 июля 2016г. их сертификаты можно использовать с ipv6-only хостами.


  *** Via IPv6 ***  

15.11.2015

Есть такая бесплатная программа — ipscan, она же Angry IP Scanner.

В документации к ней сказано:
Until now, there are only a few ISPs worldwide supporting IPv6 and a relatively small number of early adopters, bridging their IPv6 networks to IPv4. Angry IP Scanner was designed with IPv6 in mind, but the present user interface supports IPv4 only, as it is currently more useful.

Вольный перевод с сохранением смысла:
«Сейчас только несколько провайдеров и совсем немного сетей на планете поддерживают IPv6. Angry IP Scanner был разработан с поддержкой IPv6, но в настоящее время поддерживает только IPv4, так как сейчас это нужнее.»
Есть альтернативное мнение: просто не дождешься (точнее — не доживешь…) до завершения завершения сканирования тех же /64. 🙂


  *** Via IPv6 ***  

11.03.2015

На сайте ISOC появился цикл статей про безопасность в IPv6: «IPv6 Security Myths«. Вот краткий перевод-конспект:

Миф первый: я не использую IPv6, и меня это не касается.

Реальность: ваше оборудование может использовать IPv6, вы просто про это не знаете.

 Миф второй: безопасность IPv6 заложена в саму архитектуру протокола и беспокоиться не о чем.

Реальность: протокол был разработан 15-20 лет назад, а за эти годы многое изменилось. Кстати, IPsec — тоже не новый протокол…

Миф третий: отсутствие NAT приводит к ухудшению безопасности.

Реальность: файервол с контролем состояния работает одинаково хорошо как с NAT, так и без NAT.

Миф четвертый: в подсети IPv6 столько адресов, что бесполезно сканировать.

Реальность: диапазон сканирования всегда можно сузить, например хосты с SLAAC вычисляются по ff:fe в середине младшей части адреса. А использование DHCP-сервера приводит к тому, что адреса раздаются последовательно.

Миф пятый: приватные адреса (приватные расширения) спасут от всего!

Реальность: поскольку они «короткоживущие», то это также усложнит и настройку-наладку сети в случае возникновения проблем.

Миф шестой: IPv6 слишком новый протокол, и злоумышленники еще не успели воспользоваться им.

Реальность: Инструменты (программы) для воздействия на сети уже доступны…

Миф седьмой: этот протокол — всего лишь 96 дополнительных бит и ничего нового.

Реальность: это совершенно новый формат. Но запись адресов отличается очень сильно, что может привести к ошибкам в настройке маршрутизации и фильтрации.

Миф восьмой: всё вокруг поддерживает IPv6.

Реальность: Скорее всего, нет! Надпись «Поддерживает IPv6» скорее всего означает, что на устройстве можно сконфигурировать IPv6 адрес. И всё…

Миф девятый: каких-либо материалов по безопасности в IPv6 нет.

Реальность: Они есть! (см.ссылки на сайте-первоисточнике).

 


Примечание: заметка отображается, как полученная по IPv4, хотя была отправлена из «чистого» IPv6-сегмента. Будем разбираться… 🙂


  *** Via IPv4 ***  

02.07.2013

На RIPE Labs вышла статья про основные аспекты безопасности в IPv6. Вот краткий перевод-конспект.

1. Атаки против IPv6-протокола.

1.1 Мультикаст

Используя несколько multicast-пакетов, атакующий может очень быстро провести разведку сети. Пингование адреса ff02::1 покажет несколько «живых» машин.

Некоторые скрипты в NMAP могут быть использованы для обнаружения всех IPv6-клиентов в сети, заставляя их сгенерировать новый (временный) IPv6-адрес через SLAAC. Соответствующие MLDP сообщения от клиентов покажут все ID интерфейсов.

1.2 Расширенные заголовки

Внутри расширенных заголовков могут быть отправлены скрытые данные, которые могут быть пропущены файерволом. Такие данные можно разместить, например, в Hop-by-Hop или в padN заголовках.

2. Атаки против ICMPv6

2.1. Если атакующий сможет подделать RA-пакет внутри сети, то все хосты обновят информацию о шлюзе по умолчанию. Затем исходящий трафик можно просматривать на таком шлюзе,  то есть атакующий сможет просматривать и даже модифицировать трафик.

2.2. Атакующий также может генерировать тысячи RA-пакетов, что быстро «подвешивает» ОС Microsoft Windows, поскольку начинается перегенерация SLAAC-адресов. Эта проблема известна давно, но до сих пор не решена.

2.3. Подмена ND-пакетов.

Когда атакующий подделывает NA-пакеты, он может перенаправить трафик от жертвы к себе и просматривать или модифицировать его перед отправкой дальше в той же самой подсети.

2.4. Обнаружение дубликатов адресов (DAD).

Можно сформировать DoS-атаку путем формирования ложных ответов на DAD-запросы для новых хостов. Новый узел будет считать, что адрес занят и никогда не сможет сформировать адрес для себя. Ситуация не может быть исправлена до завершения атаки.

3. Атаки против DHCPv6.

3.1. Исчерпание адресов

Если используется stateful DHCPv6, то атакующий может сформировать множество DHCP-запросов (аналогично в IPv4), а серверу придется хранить в памяти множество IPv6-адресов и DUID. Память сервера может переполниться.

3.2. Фальшивый DHCPv6-сервер.

Атакующий может запустить свой DHCPv6-сервер в локальной сети и раздавать поддельные значения адресов, скажем для DNS-сервера. Так можно перенаправить клиентские запросы, например, к другому веб-серверу.

4. Утилиты для анализа безопасности.

Заключение.

Люди, будьте бдительны!


Примечание к пункту 1.1:

Пробуем в «живом» сегменте с несколькими десятками IPv6-интерфейсов

ndc -a | wc -p
5
ping ff02::1
….
^C
ndc -a | wc -p
5

— то есть ничего не дало.

2.2 Скорее, имеется в виду, что она не решена в Windows, поскольку RA-Guard уже реализован во многих свитчах.

 


  *** Via IPv4 ***  

27.06.2013

Еще один инструмент для работы с IPv6 — SendIP. Фактически это трафик-генератор, позволяющий сформировать любой заголовок пакета. Для генерации можно подключать модули, которые формируют достаточно «продвинутые» пакеты, например имитируют BGP-обмен. Надеюсь, происхождение данного инструмента никого не смутит :-).


  *** Via IPv4 ***  

18.06.2013

Ну вот, прогресс добрался и до этого сайта! Вчера была зафиксирована первая (!) попытка разместить спам-запись с использованием протокола IPv6, источник был из 2607:9800::. Как показали логи, антиспам-фильтр справился успешно.  🙂


  *** Via IPv4 ***