Work-arounds zijn mogelijk
'IPv6-veiligheidsprobleem ligt niet aan Windows'
Netwerkapparatuur moet worden verbeterd
Behalve in Windows Vista en 7 staat IPv6 ook standaard aan op MacOS X- en Linux-systemen. Het IPv6-beveiligingsprobleem dat netwerkspecialist Mente Heemstra van Rijksuniversiteit Groningen aankaartte, is dus niet beperkt tot Windows-systemen. Bovendien is het besturingssysteem zelf helemaal niet de oorzaak van het probleem. Dat zegt voorzitter Erik Huizer van IPv6 TaskForce Nederland.
'Heemstra wijst op een probleem dat zich kan voordoen als iemand op een subnet een valse IPv6-router introduceert en zo mogelijk IPv6-verkeer afluistert', legt Huizer uit. 'Overigens staat IPv6 ook standaard aan op MacOS X- en Linux-systemen en is het probleem dus niet beperkt tot Windows-systemen.'
Routertechnologie loopt achter
De oorzaak van het door Heemstra aangekaarte beveiligingsprobleem ligt volgens Huizer niet zo zeer in besturingssystemen, maar in de hardware. 'Waar Mente op wijst, is dat de implementatie van IPv6 in producten nog niet altijd automatisch op hetzelfde niveau (of beter) is dan de IPv4-equivalenten. Dat is het gevolg van de pas recent toenemende vraag naar IPv6. Gelukkig verbetert deze situatie nu snel. Het benoemen van dit soort operationele problemen helpt daarbij.'
'De onvermijdelijk langeretermijnoplossing is, dat leveranciers van netwerkapparatuur hiervoor oplossingen moeten implementeren', zo zegt Huizer. 'Daarmee is op de korte termijn echter niemand gediend.'
Diverse work-arounds mogelijk
Gelukkig zijn er volgens de voorzitter 'een paar work-arounds mogelijk. Diverse daarvan worden binnen de TF-maillijst (waarop iedereen van harte welkom is, ook Mente) en op de reactiepagina van op Computable besproken. Het monitoren van illegaal IPv6-verkeer is daar een voorbeeld van. Soms ligt de oplossing in een combinatie van IPv6- en IPv4-toepassingen. Er zijn ook internetstandaarden die dit soort misbruik onmogelijk maken (SEND, secure neighbor discovery) maar die zijn helaas (nog) niet in algemeen gebruik.'
Volgens Huizer wordt daarnaast 'binnen de Internet Engineering Task Force (IETF) gewerkt aan aanbevelingen om dit probleem te minimaliseren.' Geïnteresseerden vinden op deze site adviezen.
Volgens de voorzitter van de Erik Huizer van IPv6 TaskForce Nederland is 'het geconstateerde probleem van de valse IPv6-router vergelijkbaar met een valse IPv4-DHCP-server en ARP-poisoning op Ethernet-niveau. De aanval bij IPv6 is iets complexer.' De oplossing bij IPv4 en Ethernet zit in de huidige generatie high-end switches waar valse DHCP/ARP-berichten kunnen worden gefilterd. Voor IPv6 is met de apparatuur bij de RUG dit nog niet mogelijk, vandaar de waarschuwing van Mente.'
Technicus, 23-06-2010 10:21
Maar ik vind de hele problematiek een storm in een glas water.
Als jan-en-allemaal zomaar aan je netwerk kan gaan zitten hobbyen, moet je niet naar je computer en/of netwerkbeveiliging kijken, maar naar je reguliere 'fysieke' beveiliging.
Aad, 23-06-2010 12:44
mm, 23-06-2010 14:24
Dat is een foute constatering. De oorzaak is niet de pas recent toenemende vraag. De oorzaak is het toestaan van het verkopen van apparatuur die niet aan voldoende veiligheidseisen voldoet. Want ook als de vraag nog maar mondjesmaat zou zijn, zou 't al veilig _moeten_ zijn. Dat mag helemaal niet een kwestie van 'kunnen' zijn. Er moeten gewoon harde eisen worden gesteld bij de fabricage, en bij overtreding van die eisen moeten er dan ook gewoon boetes komen en moet de apparatuur gratis vervangen of geupgrade worden. Wat betreft veiligheid mag je 't in dezen zeker niet overlaten aan alleen marktwerking.
"Het monitoren van illegaal IPv6-verkeer is daar een voorbeeld van."
?
Dit riekt meer naar symptoonbestrijding dan naar het _voorkomen_ van veiligheidsproblemen.
Als je systeem correct in elkaar zit, valt er helemaal geen illegaal IPv6-verkeer te monitoren. Uiteraard moet zulks al getest worden in de implementatiefase. Bij die implementatiefase moet dan de constatering volgen (als alles correct is ingesteld) dat zulk verkeer niet mogelijk is. Dan kan het systeem 'los', en is aparte monitoring om illegaal IPv6-verkeer proberen te vinden nooit meer nodig.
Verder ligt 't wel degelijk aan Windows (al dan niet _alleen_ aan Windows), als 't bij Windows standaard allemaal zo is ingesteld dat er misbruik van gemaakt kan worden. Simpelweg vanwege het feit dat het bekend was dat de benodigde apparatuur (zeker in de ontwerpfase van Win7) gewoon nog niet veilig genoeg was. Dus dan mag je daar als besturingssysteem zijnde ook niet de verantwoordelijkheid bewust neer leggen.
Of Linux en Apple 't ook verkeerd doen, doet niet ter zake. Dat maakt 't niet minder fout. Als Jantje iets fout doet, mag Pietje dat niet als argument gebruiken om 't dan ook maar fout te mogen doen.
Als marktleider heb je bovendien extra verantwoordelijkheid. Afwimpelen omdat andere bedrijven 't ook fout doen, is nooit sterk.
@Technicus:
De niet-uit-te-wissen trend is draadloos. Dan lig je als beheerder zijnde al direct op achterstand - want hoe blokkeer je illegale draadloze apparatuur zodanig dat je niet tegelijk ook de legale draadloze apparatuur blokkeert?
Peter, 23-06-2010 18:06
@MM:
Hoezo de trend is draadloos? Waarom leggen we in nieuwbouw dan nog steeds alles vol met kabels?
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 Misys en Temenos willen fuseren
10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan
08-02 Nokia verplaatst smartphoneproductie naar India
30-01 LeaseWeb gebruikt besturingssysteem CloudLinux
30-01 13 besmette apps ontdekt in Android Marketplace
30-01 Peak-IT brengt ROI-rapport voor Windows 7
25-01 Verkoop iPhone, iPad en Mac breekt alle records
25-01 VMware ziet omzet en winst in 2011 toenemen
25-01 Scense Live Profiles beheert gebruikersprofielen
23-01 'Microsoft vecht zich met Nokia Lumia 900 terug'
23-01 Uitval Unix-server is oorzaak Wegener-storing
20-01 Microsoft verkoopt minder Windows
|
|
26-07-10 IPv6 Taskforce start inschrijving IPv6 Awards
07-07-10 20 procent van BIT-klanten stapt over op IPv6
06-07-10 IPv6 is niet veiliger dan IPv4
28-06-10 Netwerkbeheerder is niet voorbereid op IPv6
05-07-10 IPv6 vereist strengere netwerkmonitoring
25-06-10 BIT geeft klanten gratis IPv6-router
23-06-10 'Implementatie van IPv6 is onvermijdelijk'
21-06-10 'Valse IPv6-router kan IPv6-verkeer afluisteren'
Het herschrijven van de regels van het patch-beheer
De meeste organisaties slagen er niet in patches bijtijds uit te rollen, waardoor ze continu beveiligingsrisico’s......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 153 | 6.4 | |
 | 2 | 119 | 6.6 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
De default policy van Microsoft.