De voorkeur voor IPv6 die in Windows Vista en 7 is ingebakken, kan in bedrijfsnetwerken voor beveiligingsproblemen zorgen. Het maakt het voor kwaadwillenden mogelijk Windows Vista- en Windows 7-systemen via het netwerk af te luisteren.
Dat kan door een laptop of pc zo te configureren dat hij zichzelf aanbiedt als IPv6-router. Dat verleidt andere machines in het bedrijfsnetwerk ertoe om hun internetverkeer te versturen via deze router. Dat zegt netwerkspecialist Mente Heemstra bij de Rijksuniversiteit Groningen (RuG).
De RuG startte in januari een pilot met IPv6 onder ruim duizend studenten. Volgens Heemstra valt Microsoft weinig te verwijten: 'De mogelijkheid om een machine als router in te richten, is een legitieme systeemfunctie. Het is heel handig, in bepaalde situaties zelfs noodzakelijk. Microsoft heeft de voorkeur voor IPv6 met de beste bedoelingen ingebakken, om het gebruik van het protocol te stimuleren.'
Een probleem is dat deze voorkeur de standaardinstelling is en het beveiligingsrisico hiervan nog relatief onbekend is. Bovendien wordt het risico met de dag groter: waar Vista nog impopulair was bij bedrijven, maakt het merendeel van de bedrijven de overstap naar Windows 7.
Ook bedrijven die niet zijn overgestapt op IPv6 lopen risico. Het enige wat een kwaadwillende nodig heeft, is toegang tot het bedrijfsnetwerk, bijvoorbeeld vanaf een draadloze Windows 7-laptop die zichzelf als IPv6-router aanbiedt. Windows 7 en Windows Vista bouwen vervolgens automatisch de benodigde tunnels die toegang tot het netwerk en daarop aangesloten systemen geven. Zelfs achter een firewall, zegt Heemstra.
Cisco-switches
Binnen de draadloze netwerken heeft de RuG het probleem ondervangen door het aanbod om als IPv6-router op te treden te blokkeren in de draadloze apparatuur. De clients ontdekken daardoor eventuele illegale IPv6-routers niet meer.
Maar binnen bedrade netwerken ligt de situatie bij de RuG wat ingewikkelder. De nieuwste Cisco-switches die de RuG gebruikt bieden niet langer de mogelijkheid illegale IPv6-routers onzichtbaar te maken op MAC-adresniveau. Heemstra: 'Met de introductie van ‘awareness' voor het IPv6-protocol heeft Cisco bij een aantal switches, vooral de non-routing switches, het risico juist vergroot. Het filteren op basis van MAC-adressen – de enige oplossing binnen het draadloze netwerk – is bij IPv6-aware switches alleen mogelijk voor non-IP-verkeer (versie 4 en 6). IPv6-verkeer filteren op MAC-adresniveau kan dus gewoon niet.'
Een tijdelijke oplossing is het uitschakelen van het protocol. Maar daarmee wordt volgens Heemstra 'alleen uitstel bereikt.' Het volledig verwijderen van het IPv6-protocol op een Windows Vista- of Windows 7-systeem leidt tot een deels onbruikbaar systeem, omdat het protocol ook op systeemniveau wordt gebruikt.
Chinese routers
De RuG heeft al in de maand februari contact gezocht met Cisco. De netwerkleverancier heeft het verzoek om bepaalde features in te bouwen in een aantal switches afgewezen, maar heeft wel toegezegd overleg tussen de productgroep switching en de RuG te starten. Tot op heden is nog geen nader contact geweest. Daarnaast heeft de RuG gesproken met de IPv6 Task Force, die zich in opdracht van het ministerie van Economische Zaken Nederland bezig houdt met het stimuleren van en informeren over IPv6. 'Ik zou graag willen dat ze waarschuwen voor dit probleem.'
Volgens Heemstra is het probleem overigens niet uniek voor Cisco-switches. 'Omdat China voorop loopt in IPv6-gebruik, heb ik de specificaties van een aantal Chinese switches bekeken. Maar die hebben hetzelfde euvel. Dat komt waarschijnlijk doordat de Chinese overheid niet als prioriteit heeft haar burgers te beschermen tegen binnenlands afluistergevaar.'
Michel Schaalje, technisch directeur Cisco Nederland: 'De Cisco Catalyst 2960 fixed switch-lijn is een relatief eenvoudige serie switches, die over minder features en mogelijkheden beschikt dan Cisco's overige, zwaardere switches. Het is met deze switch echter wel degelijk mogelijk IPv6-verkeer te switchen. Wat met deze switch niet mogelijk is, is het filteren en manipuleren van IPv6-verkeer. De Cisco Catalyst 3560 en Cisco Catalyst 3750 fixed switches, en onze modulaire switches ondersteunen deze mogelijkheden wel.' Daarnaast laat de netwerkleverancier weten 'in nader overleg te treden met de klant om de diverse mogelijkheden verder te bespreken.'
Ingebakken voorkeur
Microsoft laat weten dat het beveiligingsprobleem 'niets met software te maken heeft, maar met de functionailteit van een router. Windows en elk ander besturingssysteem staan hier in principe buiten. Microsoft volgt de standaarden die voor IPv6 gelden, eenzelfde issue speelt dus bij elk device met ongeacht welk besturingsysteem dat IPv6 ondersteunt.' Daarnaast is er volgens Microsoft 'eenzelfde soort issue met IPv4'. Daarom 'zou een vergelijking op zijn minst op zijn plaats zijn.'
Pas die kop dan even aan, want deze is misleidend.
Het zal wel weer een rondje zwartepieten worden maar hopelijk dat ze gauw met IPv6 Routers/Switches komen die dit euvel niet (meer) hebben.
Microsoft zal blij zijn met jullie hier onterecht geplaatste negatieve verhaal Computable – pas maar op dat je geen claim aan je broek krijgt!
“… Daarnaast is er volgens Microsoft ‘eenzelfde soort issue met IPv4’. Daarom ‘zou een vergelijking op zijn minst op zijn plaats zijn.’ …”
Kort samengevat: dit probleem hadden we al met IPv4, en IPv6 lost het niet voor ons op. Het zou mooi zijn als leveranciers voor zowel IPv4 als IPv6 een oplossing inbouwen, want we zullen de komende jaren beide protocollen hard nodig hebben.
Dat het probleem niet bij Microsoft ligt, daar moet ik Microsoft geheel gelijk in geven. Rogue IPv6 router advertisements zijn net zo schadelijk in je netwerk als rogue IPv4 DHCP server. Met rogue IPv4 dhcp server kunnen we allemaal omgaan en bestrijden we met de bijbehorende settings op de switches waarmee we deze netjes eruit filteren. Voor IPv6 is er iets vergelijkbaars. Zie http://tools.ietf.org/html/draft-chown-v6ops-rogue-ra-01
Waarom niet gewoon poortisolatie aan op laag 2. Vrijwel iedere switch en Wifi access point ondersteunt het. Iedere poort op de switch kan dan alleen nog met de uplink praten, niet meer met een andere poort. Dit kan ook cascaded in de hogere switches. Verder eventueel switches op laag 3 inperken zodat pc’s uit verschillende segmenten elkaar over de routers heen ook niet kunnen bereiken.
Als je de aangesloten pc’s niet beheert zoals bij studenten-notebooks kun je zonder poortisolatie op ieder moment ook met DHCP problemen krijgen. Dit probleem met IPv6 is maar een van de vele.
“Het filteren op basis van MAC-adressen – de enige oplossing binnen het draadloze netwerk ”
Non-argument! Beveiliging op basis van MAC adres is een wassen neus, een peulenschil voor een beetje hacker. Gelukkig bestaan daar andere beveiligingen voor.
Dan houden we bedrade beveiliging over. Een hacker die de kans krijgt om een router in het netwerk te plaatsen heeft daarbuiten LEGIO mogelijkheden om de beveiliging(en) te breken. Daar is die router niet voor nodig. Fysieke toegang tot de infra is funest. Dus wederom een non-argument.
Per saldo is er dus in de basis niets veranderd. Dit artikel suggereert anders.
Het is een goede zaak dat er door Computable aandacht wordt besteed aan de toepassing/implementatie van IPv6 zoals onder de aandacht gebracht door Mente Heemstra van de RUG. De discussie is goed voor de ontwikkeling van kennis en toepassing en implementatie van IPv6, immers de slag moet nog gemaakt worden dat het op grote schaal toegepast gaat worden.
Een schuldvraag lijkt me hier niet zo relevant. Ik juich de discussie zoals de inhoudelijke bijdrages zoals van @Rob Koelmans toe!
IT’s not a perfect World!
Het gaat erom dat Microsoft in zijn producten het IPv6-protocol leidend heeft gemaakt. Daarnaast worden verschillende tunnels, zonder het te vragen, opgezet om het protocol te faciliteren. En dit gebeurt (met name teredo) dwars door firewalls heen.
Het gaat dus niet om de onveiligheid van het IPv6-protocol op zich, maar veel meer om de combinatie IPv4 en IPv6 op hetzelfde systeem. Ik heb (met name in de draadloze netwerken) al systemen gezien die zichzelf als IPv6-router aanmelden en vervolgens het IPv6-verkeer door een eigen tunnel afhandelen. De gebruikers in kwestie hadden geen idee dat zij IPv6 gebruikten, laat staan dat zij zich bewust waren van het feit dat het systeem de actieve rol had waar op dat moment sprake van was. Een beetje Trojan kan hier gemakkelijk gebruik van maken.
En dat filteren op MAC-adressen een wassen neus is, ben ik niet met de schrijver eens: het blokkeren van de “all-station” multicast voor clients heeft als effect dat een rogue router zich niet meer als zodanig kan melden en derhalve geen verkeer naar zich toe kan trekken.
Natuurlijk zou ik het liefst een filter hebben dat expliciet de Router Announcements blokkeert, maar bij gebrek aan laag 3 filters (en bij onze access points gebrek aan IPv6 awareness) moet je wat.
Als je geen maatregelen treft is het op dit moment gewoon te makkelijk om misbruik te maken van IPv6.
Het idee van Rob Koelmans is overigens een idee wat mij buitengewoon aanspreekt: gelijkwaardige clients in een (draadloos of bedraad) netwerk communiceren uitsluitend via de uplinks met eventuele routers, niet met elkaar.
Voor onze client netwerken (werkplekken voor medewerkers en studenten) zou dat een goede oplossing zijn.
De volgende URL geeft voor Ciscoswitches ook nog wat mogelijkheden, ik weet natuurlijk niet of jullie switches dit aan kunnen. Vermoed van niet, aangezien je aangeeft geen laag 3 filters te kunnen bouwen op je switch voor IPv6.
http://www.networkworld.com/community/node/42804
Teredo tunnels zijn makkelijk aan je edge te blokken door alle verkeer met UDP DPORT=3544 te blokkeren.