Behalve in Windows Vista en 7 staat IPv6 ook standaard aan op MacOS X- en Linux-systemen. Het IPv6-beveiligingsprobleem dat netwerkspecialist Mente Heemstra van Rijksuniversiteit Groningen aankaartte, is dus niet beperkt tot Windows-systemen. Bovendien is het besturingssysteem zelf helemaal niet de oorzaak van het probleem. Dat zegt voorzitter Erik Huizer van IPv6 TaskForce Nederland.
‘Heemstra wijst op een probleem dat zich kan voordoen als iemand op een subnet een valse IPv6-router introduceert en zo mogelijk IPv6-verkeer afluistert’, legt Huizer uit. ‘Overigens staat IPv6 ook standaard aan op MacOS X- en Linux-systemen en is het probleem dus niet beperkt tot Windows-systemen.’
Routertechnologie loopt achter
De oorzaak van het door Heemstra aangekaarte beveiligingsprobleem ligt volgens Huizer niet zo zeer in besturingssystemen, maar in de hardware. ‘Waar Mente op wijst, is dat de implementatie van IPv6 in producten nog niet altijd automatisch op hetzelfde niveau (of beter) is dan de IPv4-equivalenten. Dat is het gevolg van de pas recent toenemende vraag naar IPv6. Gelukkig verbetert deze situatie nu snel. Het benoemen van dit soort operationele problemen helpt daarbij.’
‘De onvermijdelijk langeretermijnoplossing is, dat leveranciers van netwerkapparatuur hiervoor oplossingen moeten implementeren’, zo zegt Huizer. ‘Daarmee is op de korte termijn echter niemand gediend.’
Diverse work-arounds mogelijk
Gelukkig zijn er volgens de voorzitter ‘een paar work-arounds mogelijk. Diverse daarvan worden binnen de TF-maillijst (waarop iedereen van harte welkom is, ook Mente) en op de reactiepagina van op Computable besproken. Het monitoren van illegaal IPv6-verkeer is daar een voorbeeld van. Soms ligt de oplossing in een combinatie van IPv6- en IPv4-toepassingen. Er zijn ook internetstandaarden die dit soort misbruik onmogelijk maken (SEND, secure neighbor discovery) maar die zijn helaas (nog) niet in algemeen gebruik.’
Volgens Huizer wordt daarnaast ‘binnen de Internet Engineering Task Force (IETF) gewerkt aan aanbevelingen om dit probleem te minimaliseren.’ Geïnteresseerden vinden op deze site adviezen.
Volgens de voorzitter van de Erik Huizer van IPv6 TaskForce Nederland is ‘het geconstateerde probleem van de valse IPv6-router vergelijkbaar met een valse IPv4-DHCP-server en ARP-poisoning op Ethernet-niveau. De aanval bij IPv6 is iets complexer.’ De oplossing bij IPv4 en Ethernet zit in de huidige generatie high-end switches waar valse DHCP/ARP-berichten kunnen worden gefilterd. Voor IPv6 is met de apparatuur bij de RUG dit nog niet mogelijk, vandaar de waarschuwing van Mente.’
