Behalve in Windows Vista en 7 staat IPv6 ook standaard aan op MacOS X- en Linux-systemen. Het IPv6-beveiligingsprobleem dat netwerkspecialist Mente Heemstra van Rijksuniversiteit Groningen aankaartte, is dus niet beperkt tot Windows-systemen. Bovendien is het besturingssysteem zelf helemaal niet de oorzaak van het probleem. Dat zegt voorzitter Erik Huizer van IPv6 TaskForce Nederland.
'Heemstra wijst op een probleem dat zich kan voordoen als iemand op een subnet een valse IPv6-router introduceert en zo mogelijk IPv6-verkeer afluistert', legt Huizer uit. 'Overigens staat IPv6 ook standaard aan op MacOS X- en Linux-systemen en is het probleem dus niet beperkt tot Windows-systemen.'
Routertechnologie loopt achter
De oorzaak van het door Heemstra aangekaarte beveiligingsprobleem ligt volgens Huizer niet zo zeer in besturingssystemen, maar in de hardware. 'Waar Mente op wijst, is dat de implementatie van IPv6 in producten nog niet altijd automatisch op hetzelfde niveau (of beter) is dan de IPv4-equivalenten. Dat is het gevolg van de pas recent toenemende vraag naar IPv6. Gelukkig verbetert deze situatie nu snel. Het benoemen van dit soort operationele problemen helpt daarbij.'
'De onvermijdelijk langeretermijnoplossing is, dat leveranciers van netwerkapparatuur hiervoor oplossingen moeten implementeren', zo zegt Huizer. 'Daarmee is op de korte termijn echter niemand gediend.'
Diverse work-arounds mogelijk
Gelukkig zijn er volgens de voorzitter 'een paar work-arounds mogelijk. Diverse daarvan worden binnen de TF-maillijst (waarop iedereen van harte welkom is, ook Mente) en op de reactiepagina van op Computable besproken. Het monitoren van illegaal IPv6-verkeer is daar een voorbeeld van. Soms ligt de oplossing in een combinatie van IPv6- en IPv4-toepassingen. Er zijn ook internetstandaarden die dit soort misbruik onmogelijk maken (SEND, secure neighbor discovery) maar die zijn helaas (nog) niet in algemeen gebruik.'
Volgens Huizer wordt daarnaast 'binnen de Internet Engineering Task Force (IETF) gewerkt aan aanbevelingen om dit probleem te minimaliseren.' Geïnteresseerden vinden op deze site adviezen.
Volgens de voorzitter van de Erik Huizer van IPv6 TaskForce Nederland is 'het geconstateerde probleem van de valse IPv6-router vergelijkbaar met een valse IPv4-DHCP-server en ARP-poisoning op Ethernet-niveau. De aanval bij IPv6 is iets complexer.' De oplossing bij IPv4 en Ethernet zit in de huidige generatie high-end switches waar valse DHCP/ARP-berichten kunnen worden gefilterd. Voor IPv6 is met de apparatuur bij de RUG dit nog niet mogelijk, vandaar de waarschuwing van Mente.'
Niets ligt aan Windows, het is de schuld van de wereld
De default policy van Microsoft.
Deze keer ligt het echt niet aan Windows.
Maar ik vind de hele problematiek een storm in een glas water.
Als jan-en-allemaal zomaar aan je netwerk kan gaan zitten hobbyen, moet je niet naar je computer en/of netwerkbeveiliging kijken, maar naar je reguliere ‘fysieke’ beveiliging.
Er zijn heel veel bedrijven waar de security wanneer je eenmaal fysiek binnen bent NIET geod geregeld is. Ook met IPv4 kan je mbv een eigen Access Points het netwerk plat krijgen.
“‘Waar Mente op wijst, is dat de implementatie van IPv6 in producten nog niet altijd automatisch op hetzelfde niveau (of beter) is dan de IPv4-equivalenten. Dat is het gevolg van de pas recent toenemende vraag naar IPv6. ”
Dat is een foute constatering. De oorzaak is niet de pas recent toenemende vraag. De oorzaak is het toestaan van het verkopen van apparatuur die niet aan voldoende veiligheidseisen voldoet. Want ook als de vraag nog maar mondjesmaat zou zijn, zou ’t al veilig _moeten_ zijn. Dat mag helemaal niet een kwestie van ‘kunnen’ zijn. Er moeten gewoon harde eisen worden gesteld bij de fabricage, en bij overtreding van die eisen moeten er dan ook gewoon boetes komen en moet de apparatuur gratis vervangen of geupgrade worden. Wat betreft veiligheid mag je ’t in dezen zeker niet overlaten aan alleen marktwerking.
“Het monitoren van illegaal IPv6-verkeer is daar een voorbeeld van.”
?
Dit riekt meer naar symptoonbestrijding dan naar het _voorkomen_ van veiligheidsproblemen.
Als je systeem correct in elkaar zit, valt er helemaal geen illegaal IPv6-verkeer te monitoren. Uiteraard moet zulks al getest worden in de implementatiefase. Bij die implementatiefase moet dan de constatering volgen (als alles correct is ingesteld) dat zulk verkeer niet mogelijk is. Dan kan het systeem ‘los’, en is aparte monitoring om illegaal IPv6-verkeer proberen te vinden nooit meer nodig.
Verder ligt ’t wel degelijk aan Windows (al dan niet _alleen_ aan Windows), als ’t bij Windows standaard allemaal zo is ingesteld dat er misbruik van gemaakt kan worden. Simpelweg vanwege het feit dat het bekend was dat de benodigde apparatuur (zeker in de ontwerpfase van Win7) gewoon nog niet veilig genoeg was. Dus dan mag je daar als besturingssysteem zijnde ook niet de verantwoordelijkheid bewust neer leggen.
Of Linux en Apple ’t ook verkeerd doen, doet niet ter zake. Dat maakt ’t niet minder fout. Als Jantje iets fout doet, mag Pietje dat niet als argument gebruiken om ’t dan ook maar fout te mogen doen.
Als marktleider heb je bovendien extra verantwoordelijkheid. Afwimpelen omdat andere bedrijven ’t ook fout doen, is nooit sterk.
@Technicus:
De niet-uit-te-wissen trend is draadloos. Dan lig je als beheerder zijnde al direct op achterstand – want hoe blokkeer je illegale draadloze apparatuur zodanig dat je niet tegelijk ook de legale draadloze apparatuur blokkeert?
Op je interne netwerk zijn wel meer veiligheidsrisico’s aanwezig die je moet afdekken. Een extra DHCP server die je netwerk platgooit is makkelijker te implementeren dan IPv6. Goede detectie, daadkrachtige controle en snel reageren blijven nodig.
@MM:
Hoezo de trend is draadloos? Waarom leggen we in nieuwbouw dan nog steeds alles vol met kabels?