De voorkeur voor IPv6 die in Windows Vista en 7 is ingebakken, kan in bedrijfsnetwerken voor beveiligingsproblemen zorgen. Het maakt het voor kwaadwillenden mogelijk Windows Vista- en Windows 7-systemen via het netwerk af te luisteren.
Dat kan door een laptop of pc zo te configureren dat hij zichzelf aanbiedt als IPv6-router. Dat verleidt andere machines in het bedrijfsnetwerk ertoe om hun internetverkeer te versturen via deze router. Dat zegt netwerkspecialist Mente Heemstra van de Rijksuniversiteit Groningen (RuG).
De RuG startte in januari een pilot met IPv6 onder ruim duizend studenten. Volgens Heemstra valt Microsoft weinig te verwijten: ‘De mogelijkheid om een machine als router in te richten, is een legitieme systeemfunctie. Het is heel handig, in bepaalde situaties zelfs noodzakelijk. Microsoft heeft de voorkeur voor IPv6 met de beste bedoelingen ingebakken, om het gebruik van het protocol te stimuleren.’
Een probleem is dat deze voorkeur de standaardinstelling is en het beveiligingsrisico hiervan nog relatief onbekend is. Bovendien wordt het risico met de dag groter: terwijl Vista nog impopulair was bij bedrijven, maakt het merendeel van de bedrijven de overstap naar Windows 7.
Ook bedrijven die niet zijn overgestapt op IPv6 lopen risico. Het enige wat een kwaadwillende nodig heeft, is toegang tot het bedrijfsnetwerk, bijvoorbeeld vanaf een draadloze Windows 7-laptop die zichzelf als IPv6-router aanbiedt. Windows 7 en Windows Vista bouwen vervolgens automatisch de benodigde tunnels op die toegang toegang tot een netwerk en daarop aangesloten systemen geven. Zelfs achter een firewall, zegt Heemstra.
Cisco-switches
Binnen de draadloze netwerken heeft de RuG het probleem ondervangen door het aanbod om als IPv6-router op te treden te blokkeren in de draadloze apparatuur. De clients ontdekken daardoor eventuele illegale IPv6-routers niet meer.
Maar binnen bedrade netwerken ligt de situatie bij de RuG wat ingewikkelder. De nieuwste Cisco-switches die de RuG gebruikt bieden niet langer de mogelijkheid illegale IPv6-routers onzichtbaar te maken op MAC-adresniveau. Heemstra: ‘Met de introductie van ‘awareness’ voor het IPv6-protocol heeft Cisco bij een aantal switches, vooral de non-routing switches, het risico juist vergroot. Het filteren op basis van MAC-adressen – de enige oplossing binnen het draadloze netwerk – is bij IPv6-aware switches alleen mogelijk voor non-ip-verkeer (versie 4 en 6). IPv6-verkeer filteren op MAC-adresniveau kan dus gewoon niet.’
Een tijdelijke oplossing is het uitschakelen van het protocol. Het volledig verwijderen van het IPv6-protocol op een Windows Vista- of Windows 7-systeem leidt tot een deels onbruikbaar systeem, omdat het protocol ook op systeemniveau wordt gebruikt.
Chinese routers
De RuG heeft al in de maand februari contact gezocht met Cisco. De netwerkleverancier heeft het verzoek om bepaalde features in te bouwen in een aantal switches afgewezen, maar heeft wel toegezegd overleg tussen de productgroep switching en de RuG te starten. Tot op heden is nog geen nader contact geweest. Daarnaast heeft de RuG gesproken met de IPv6 Task Force, die zich in opdracht van het ministerie van Economische Zaken Nederland bezig houdt met het stimuleren van en informeren over IPv6. ‘Ik zou graag willen dat ze waarschuwen voor dit probleem.’
Volgens Heemstra is het probleem overigens niet uniek voor Cisco-switches. ‘Omdat China voorop loopt in IPv6-gebruik, heb ik de specificaties van een aantal Chinese switches bekeken. Maar die hebben hetzelfde euvel. Dat komt waarschijnlijk doordat de Chinese overheid niet als prioriteit heeft haar burgers te beschermen tegen binnenlands afluistergevaar.’
Michel Schaalje, technisch directeur Cisco Nederland: ‘De Cisco Catalyst 2960 fixed switch-lijn is een relatief eenvoudige serie switches, die over minder features en mogelijkheden beschikt dan Cisco’s overige, zwaardere switches. Het is met deze switch echter wel degelijk mogelijk IPv6-verkeer te switchen. Wat met deze switch niet mogelijk is, is het filteren en manipuleren van IPv6-verkeer. De Cisco Catalyst 3560 en Cisco Catalyst 3750 fixed switches, en onze modulaire switches ondersteunen deze mogelijkheden wel.’ Daarnaast laat de netwerkleverancier weten ‘in nader overleg te treden met de klant om de diverse mogelijkheden verder te bespreken.’
Ingebakken voorkeur
Microsoft laat weten dat het beveiligingsprobleem ‘niets met software te maken heeft, maar met de functionailteit van een router. Windows en elk ander besturingssysteem staan hier in principe buiten. Microsoft volgt de standaarden die voor IPv6 gelden, eenzelfde issue speelt dus bij elk device met ongeacht welk besturingsysteem dat IPv6 ondersteunt.’ Daarnaast is er volgens Microsoft ‘eenzelfde soort issue met IPv4’. Daarom ‘zou een vergelijking op zijn minst op zijn plaats zijn.’
Heemstra bestrijdt dat het probleem niets met Microsoft te maken zou hebben: voor zover hij weet zijn Windows Vista en Windows 7 de enige besturingssystemen met een ingebakken voorkeur voor IPv6. Dat maakt Windows Vista- en Windows 7-machines ook als enige vatbaar voor het automatisch internetverkeer te versturen via een pc die zich aanbiedt als IPv6-router.
