De voorkeur voor IPv6 die in Windows Vista en 7 is ingebakken, kan in bedrijfsnetwerken voor beveiligingsproblemen zorgen. Het maakt het voor kwaadwillenden mogelijk Windows Vista- en Windows 7-systemen via het netwerk af te luisteren.
Dat kan door een laptop of pc zo te configureren dat hij zichzelf aanbiedt als IPv6-router. Dat verleidt andere machines in het bedrijfsnetwerk ertoe om hun internetverkeer te versturen via deze router. Dat zegt netwerkspecialist Mente Heemstra bij de Rijksuniversiteit Groningen (RuG).
De RuG startte in januari een pilot met IPv6 onder ruim duizend studenten. Volgens Heemstra valt Microsoft weinig te verwijten: 'De mogelijkheid om een machine als router in te richten, is een legitieme systeemfunctie. Het is heel handig, in bepaalde situaties zelfs noodzakelijk. Microsoft heeft de voorkeur voor IPv6 met de beste bedoelingen ingebakken, om het gebruik van het protocol te stimuleren.'
Een probleem is dat deze voorkeur de standaardinstelling is en het beveiligingsrisico hiervan nog relatief onbekend is. Bovendien wordt het risico met de dag groter: waar Vista nog impopulair was bij bedrijven, maakt het merendeel van de bedrijven de overstap naar Windows 7.
Ook bedrijven die niet zijn overgestapt op IPv6 lopen risico. Het enige wat een kwaadwillende nodig heeft, is toegang tot het bedrijfsnetwerk, bijvoorbeeld vanaf een draadloze Windows 7-laptop die zichzelf als IPv6-router aanbiedt. Windows 7 en Windows Vista bouwen vervolgens automatisch de benodigde tunnels die toegang tot het netwerk en daarop aangesloten systemen geven. Zelfs achter een firewall, zegt Heemstra.
Cisco-switches
Binnen de draadloze netwerken heeft de RuG het probleem ondervangen door het aanbod om als IPv6-router op te treden te blokkeren in de draadloze apparatuur. De clients ontdekken daardoor eventuele illegale IPv6-routers niet meer.
Maar binnen bedrade netwerken ligt de situatie bij de RuG wat ingewikkelder. De nieuwste Cisco-switches die de RuG gebruikt bieden niet langer de mogelijkheid illegale IPv6-routers onzichtbaar te maken op MAC-adresniveau. Heemstra: 'Met de introductie van ‘awareness' voor het IPv6-protocol heeft Cisco bij een aantal switches, vooral de non-routing switches, het risico juist vergroot. Het filteren op basis van MAC-adressen – de enige oplossing binnen het draadloze netwerk – is bij IPv6-aware switches alleen mogelijk voor non-IP-verkeer (versie 4 en 6). IPv6-verkeer filteren op MAC-adresniveau kan dus gewoon niet.'
Een tijdelijke oplossing is het uitschakelen van het protocol. Maar daarmee wordt volgens Heemstra 'alleen uitstel bereikt.' Het volledig verwijderen van het IPv6-protocol op een Windows Vista- of Windows 7-systeem leidt tot een deels onbruikbaar systeem, omdat het protocol ook op systeemniveau wordt gebruikt.
Chinese routers
De RuG heeft al in de maand februari contact gezocht met Cisco. De netwerkleverancier heeft het verzoek om bepaalde features in te bouwen in een aantal switches afgewezen, maar heeft wel toegezegd overleg tussen de productgroep switching en de RuG te starten. Tot op heden is nog geen nader contact geweest. Daarnaast heeft de RuG gesproken met de IPv6 Task Force, die zich in opdracht van het ministerie van Economische Zaken Nederland bezig houdt met het stimuleren van en informeren over IPv6. 'Ik zou graag willen dat ze waarschuwen voor dit probleem.'
Volgens Heemstra is het probleem overigens niet uniek voor Cisco-switches. 'Omdat China voorop loopt in IPv6-gebruik, heb ik de specificaties van een aantal Chinese switches bekeken. Maar die hebben hetzelfde euvel. Dat komt waarschijnlijk doordat de Chinese overheid niet als prioriteit heeft haar burgers te beschermen tegen binnenlands afluistergevaar.'
Michel Schaalje, technisch directeur Cisco Nederland: 'De Cisco Catalyst 2960 fixed switch-lijn is een relatief eenvoudige serie switches, die over minder features en mogelijkheden beschikt dan Cisco's overige, zwaardere switches. Het is met deze switch echter wel degelijk mogelijk IPv6-verkeer te switchen. Wat met deze switch niet mogelijk is, is het filteren en manipuleren van IPv6-verkeer. De Cisco Catalyst 3560 en Cisco Catalyst 3750 fixed switches, en onze modulaire switches ondersteunen deze mogelijkheden wel.' Daarnaast laat de netwerkleverancier weten 'in nader overleg te treden met de klant om de diverse mogelijkheden verder te bespreken.'
Ingebakken voorkeur
Microsoft laat weten dat het beveiligingsprobleem 'niets met software te maken heeft, maar met de functionailteit van een router. Windows en elk ander besturingssysteem staan hier in principe buiten. Microsoft volgt de standaarden die voor IPv6 gelden, eenzelfde issue speelt dus bij elk device met ongeacht welk besturingsysteem dat IPv6 ondersteunt.' Daarnaast is er volgens Microsoft 'eenzelfde soort issue met IPv4'. Daarom 'zou een vergelijking op zijn minst op zijn plaats zijn.'
Om nog even terug te komen op de RA guard waar J.H. Prins het over had: het voorstel hiervoor is inderdaad aangenomen, en Cisco heeft het al geïmplementeerd in een tweetal platforms (overigens als één van de weinigen) te weten de 6500 serie en de 3750. Maar doorgaans zijn dit niet de access switches die gebruikt worden (ze zijn snel, kwalitatief goed, maar voor de access wat ons betreft te duur).
En behalve RA guard heb je dus ook een DHCP voor IPv6 guard nodig. En met de default instellingen van een windows systeem zelfs een DNS guard.
@Mente: Op onze voorspraak heeft Housing Office op alle 9 locaties poortisolatie sinds een jaar of twee doorgevoerd. Niet alleen is het aantal storingsincidenten enorm teruggelopen, er is ook een voortdurende storm aan broadcasts weggevallen (op het Winschoterdiep). Daarvoor stonden eigenlijk alle 4 x 96 poorten van de 4 vleugels parallel te knipperen. Nu zie je activiteit van daadwerkelijk verkeer op de poortleds. Bij iedere nieuwe lichting buitenlandse studenten kon je voor die tijd weer dagenlang dhcp- en spanning tree problemen hebben.
De routers en switches (Enh. Image) van HP uit de A familie ondersteunen standaard security features om het probleem te ondervangen. Functies zoals ND detection, ND snooping en DHCPv6 snooping zorgen ervoor dat een man in the middel attack op IPv6 kan worden voorkomen.
Att: Mente Heemstra – If I understand your article and comments correctly, what you are suggesting is that:
1.) IF users have administrative access to their machines OR their machine has been exploited (you need admin rights or a security hole to set up IPv6 tunnel…)
2.) The corporate systems such as firewalls, routers, IDS etc. have been seriously misconfigured
THEN
The IPV6 _default_ settings (as implemented by Microsoft/Cisco) _can_ be used as an exploit (although you omit the specifics).
What bugs me though – isn’t it applicable pretty much to _any_ software/ protocol under the same circumstances?
Are you talking here about corporate systems or home systems??? It sounds to me that you are little bit confused yourself.
Laco,
Let’s put it like this: in a network with 30.000+ users and the possibility to attach any wireless device into this network you’re liable to get an infected machine, possibly configured as an IPv6 router, into your network every now and again. If you have a default configured Vista or Windows 7 system, then IPv6 is configured AND preferred, so the traffic (even IPv4) of any trusting machine can be hijacked unless you take action.
And yes: if you take the right measures you can prevent the use of unwanted IPv6, but are you aware of the number of networks where the managers don’t have a clue about the fact that they do indeed already have IPv6?
There are e.g. lots of schools where network management is being done by one of the teachers who’s got some time to spare.
Like I stated: it’s the combination of both protocols that creates the danger, in combination with the fact that lots of people don’t even realize that IPv6 is already present inside their networks.
Older corporate systems are generally running XP. Vista has been skipped in most cases. Newer corporate systems will be running Windows 7, thereby introducing IPv6 into the network. Network managers need to realize that. There’s no doing nothing where IPv6 is concerned. You might decide no to implement IPv6 inside your network or not to, but you are obliged to take action either way.
Mente-
Fair enough. But still – how is it different than any other software/ hardware under these circumstances?
I mean, why is this more special than hundreds of other software packages that can be exploited (and much more easily) under circumstances you describe?
You note: “managers don’t have a clue about the fact that they do indeed already have IPv6” – again – why is this specific to IPv6? How many managers have a clue about anything really?
What “clue level” according to you a manager should have to prevent such situations?
They hire you and me to become their clue. And we usually do research before we design and/or deploy things.
If I would be in your shoes, I would turn off IPv6 with a simple script or a policy and move onto more interesting challenges.
But that is only me 😉
-Laco
Laco,
In the core of the situation my responsibility is in network administration, not systems administration.
And even if it were in systems administration, I still wouldn’t have control over a large portion of the systems being present in ‘my’ network.
Apart from the general employee and student PC’s, which are managed by my department, there’s a large number of systems that are beyond our control. We supply the network, the IP addresses (automatic or fixed), and enough bandwidth for the employees and students to do their job.
At this moment we’re running Windows XP on the student and employee PC’s without IPv6. And even if we were to use IPv6 on these systems, it still wouldn’t be preferred. So no problems with IPv6 there.
Why is it more special? That’s easy: the network is my responsibility, not the applications running over it. Of course we try to do whatever we can, but keeping the systems safe and clean is primarily the job of our workstation administrators.
By the way: the managers I was talking about were the network managers. And I truly hope they try to avoid being clueless on any networking subject.
Finally, you may have guessed: I see implementing IPv6 as a true challenge, and an interesting one at that.
Indeed: that’s me.
Mente.
@Laco:
As – by far – being THE biggest supplier of Operating Systems, Microsoft has much more obligation to have default security settings as safe as they can be. Notably, it’s in Microsoft’s own MCSE manuals where it states: ‘always give as little rights as possible, always give the absolute MINIMAL rights which allow users to get the job done’. Only add rights when they are (newly) needed.
I don’t see how Win7/Vista default IPv6 handling conforms to Microsoft’s own policies in this regard. It is of no help whatsoever, to point fingers to other software which ALSO don’t have the best default security settings possible. In fact, that would be something like “Hey – it’s ok! Others do it wrong too!!”. Especially, if you own 98% of the OS market, you NEED to have the default settings very secure. Better safe then sorry. Then, as implementation develops, you open up services, ports and other things only when they are needed and only when the applicable environment otherwise is secure.
“What “clue level” according to you a manager should have to prevent such situations?”
A manager, if responsible for the tech part, must have knowledge to open services, ports, etc. to get the job done. If the manager doesn’t have such knowledge: then he doesn’t get the job done – BUT: the network stays secure (which is the most important thing), and he/she needs to hire a more tech savvy person to open up things. So, the minimal “clue level” needed to get things rolling, should be enforced by the default security settings. I.e: if a manager has no clue, he just can’t set it up (unsecure).
Default settings has always be a bad thing with Windows. They are much more targeted at “supporting more features” then targeted to “supporting more security”. Combining this with Microsoft’s excellent marketing, Windows got so much market share. Good, feature wise. Very bad, security wise.
@mm: your reply should not be @Laco, but @Microsoft.
@menthe: I agree that implementing IPv6 is a true challenge; but so is dribbling a football. Anyway, I got where you are coming from, my only point was that I don’t see this as a security risk in terms presented, but rather an administration/design challenge (once that is simple to overcome). Just a different view, nothing more, nothing less.
Blijkbaar is er sprake van een foute interpretatie van uitspraken van mijn kant, ik had er helaas overheen gelezen.
Uit het artikel zou kunnen worden gelezen dat ik het uitschakelen van het IPv6 protocol ter bescherming van een systeem als (zij het tijdelijke) oplossing zie.
Dat is niet het geval: uitschakelen van het protocol (als het al zou lukken om het netwerkbreed te bewerkstelligen) leidt eigenlijk alleen maar tot uitstel van de wereldwijde implementatie van het protocol. En als er één ding is waarvan ik overtuigd ben, dan is het dat de invoering van IP versie 6 nu serieus moet worden aangepakt.
Dat betekent gezamenlijke inspanningen van vendors van netwerkapparatuur, vendors van antivirus, intrusion prevention en detection software en hardware, vendors van hardware en software firewalls, en van software ontwikkelaars. En natuurlijk acties binnen provider netwerken en bedrijfsnetwerken. En tenslotte faciliteren van het protocol naar de thuisgebruikers.
Het belangrijkste aandachtspunt uit het artikel blijft de bewustwording dat het protocol er hoe dan ook al is, en dat daarmee rekening gehouden dient te worden. Er is nog tijd om bekend te raken met het protocol, ook met de risico’s, zodat we niet overhaast en derhalve met een hoog afbreukrisico het protocol moeten invoeren.
En het heeft geen zin om te gaan wijzen, zoals enkele anderen ook al hebben geconcludeerd, maar we moeten gezamenlijk een modus zien te vinden om een en ander gecontroleerd en veilig te realiseren.
Mente.