Уязвимости в IPv6

Вместо введения

IPv6 со временем приобретает всё большую популярность, тем самым даёт повод задуматься: «А безопасен ли он?». В этой статье я хочу рассказать о наиболее опасных с точки зрения безопасности аспектах этого протокола.


Автонастройка

В связи с расширением доступного адресного пространства протокол начал наиболее активно использовать DNS. Кроме того, наличие локального адреса, не требующего настройки, дает хакеру ряд дополнительных возможностей. Из-за этой функции намного понижается уровень безопасности вкупе с анонимностью, ведь по сути при конфигурирование для работы в сети протокол передаёт всю информацию, что намного упрощает отправку подложный DNS-ответ. Таким образом, хакеру достаточно установить с клиентом ассоциацию и прослушать трафик который передаётся по установленному соединению, после чего он может напрямую соединяться с сетевыми службами клиента, что представляет огромную угрозу утечки информации. В таком случае никакой способы шифрования и использование сгенерированных ключей для программ создающих шифрованное соединение( таких как OpenVPN и подобных ей ).


Spoofing и ICMP Redirect

Практически любому специалисту по сетевой безопасности в наше время известен такой тип атак как манипулирования значениями в ARP-таблице другого узла путём отправки ложных сообщений ARP-Response или ARP-Request. Из версии 6 протокол ARP был полностью исключён, но ему на смену пришёл ICMPv6 Neighbor Solicitation( работает на запрос ) и Neighbor Advertisement( работает на ответ ). Так же как и в 4 версии протокола сообщения не проходят аутентификацию , следовательно хакер точно так же как и в подложном DNS-ответе посылает ложный ответ, может модифицировать таблицу с данными о компьютерах, с которыми разрешено или установлено соединение.
Как факт, при использование IPv6 возможна довольно простая и не требующая мощных ресурсов компьютера DoS-атака. Суть заключается в том, что по стандарту RFC 2462 узел не может использовать адрес, если он уже используется в сети. Таким образом, компьютер злоумышленника может просто отвечать на все запросы подключающегося к сети компьютера о том, что все возможные адреса сети в данный момент заняты.
Теперь про ICMP Redirct. Как ранее было сказано, протокол очень активно использует ICMPv6. Одна из задач, решаемых этим ICMP, это обмен маршрутной информацией с серверами и другими компьютерами сети. ICMPv6 используется для автоматического назначения адреса и настройки сети. Поскольку аутентификация сообщений NDP обычно не используется, злоумышленник имеет возможность подделывать сообщения для выполнения ряда атак. Например:

1. Внедрение ложных шлюзов для клиентов ( аналог ложного DHCP-сервера ) и маршрутизаторов, путём отправки ответов на запросы клиентского компьютера.

2. Реализация DoS атак путём снижения MTU в сети ( минимум 1260 ), внедрения ложного маршрута, изменения маски сети, снижения ограничения на количество ретрансляций пакета.


Защита

Для решения проблем в использовании нового протокола нужно использовать разноуровневую систему защиты. Одни из самых главных опасностей — это подложные DNS или ICMP-ответы. Для защиты от подмены DNS нельзя допускать обмена клиента с DNS-сервером по UDP, полностью переключившись на использование TCP. Да, это будет немного медленнее, но вероятность хакерской атаки уменьшится в несколько раз. Как факт, неплохо было бы включить поддержку обязательного использование цифровой подписи, тем самым практически полностью лишившись проблем с безопасностью у DNS.

С Spoofing'ом и ICMP Redirect'ом бороться немного сложнее, но можно. Для лишения возможности злоумышленника провести DoS-атаку нужно в настройках сервера жёстко прописать значения MTU и MRU. Включить фильтрацию потока данных IPv6 на всех маршрутизаторах( желательно ) и фаирволлах, серверах( обязательно ).Проверьте, что реализованные в ОС механизмы самонастройки изменяют Идентификаторы Интерфейса( Interface Identifiers ). В противном случае, используйте механизмы присвоения IPv6 адресов. Включите на маршрутизаторах и обязательно на серверах фильтрацию различных туннелий ( 6to4, 6over4, ISATAP, Teredo ).