'Valse IPv6-router kan IPv6-verkeer afluisteren'

Dit artikel delen:

De voorkeur voor IPv6 die in Windows Vista en 7 is ingebakken, kan in bedrijfsnetwerken voor beveiligingsproblemen zorgen. Het maakt het voor kwaadwillenden mogelijk Windows Vista- en Windows 7-systemen via het netwerk af te luisteren.

Dat kan door een laptop of pc zo te configureren dat hij zichzelf aanbiedt als IPv6-router. Dat verleidt andere machines in het bedrijfsnetwerk ertoe om hun internetverkeer te versturen via deze router. Dat zegt netwerkspecialist Mente Heemstra bij de Rijksuniversiteit Groningen (RuG). 

De RuG startte in januari een pilot met IPv6 onder ruim duizend studenten. Volgens Heemstra valt Microsoft weinig te verwijten: 'De mogelijkheid om een machine als router in te richten, is een legitieme systeemfunctie. Het is heel handig, in bepaalde situaties zelfs noodzakelijk. Microsoft heeft de voorkeur voor IPv6 met de beste bedoelingen ingebakken, om het gebruik van het protocol te stimuleren.'

Een probleem is dat deze voorkeur de standaardinstelling is en het beveiligingsrisico hiervan nog relatief onbekend is. Bovendien wordt het risico met de dag groter: waar Vista nog impopulair was bij bedrijven, maakt het merendeel van de bedrijven de overstap naar Windows 7.

Ook bedrijven die niet zijn overgestapt op IPv6 lopen risico. Het enige wat een kwaadwillende nodig heeft, is toegang tot het bedrijfsnetwerk, bijvoorbeeld vanaf een draadloze Windows 7-laptop die zichzelf als IPv6-router aanbiedt. Windows 7 en Windows Vista bouwen vervolgens automatisch de benodigde tunnels die toegang tot het netwerk en daarop aangesloten systemen geven. Zelfs achter een firewall, zegt Heemstra.

Cisco-switches

Binnen de draadloze netwerken heeft de RuG het probleem ondervangen door het aanbod om als IPv6-router op te treden te blokkeren in de draadloze apparatuur. De clients ontdekken daardoor eventuele illegale IPv6-routers niet meer.

Maar binnen bedrade netwerken ligt de situatie bij de RuG wat ingewikkelder. De nieuwste Cisco-switches die de RuG gebruikt bieden niet langer de mogelijkheid illegale IPv6-routers onzichtbaar te maken op MAC-adresniveau. Heemstra: 'Met de introductie van ‘awareness' voor het IPv6-protocol heeft Cisco bij een aantal switches, vooral de non-routing switches, het risico juist vergroot. Het filteren op basis van MAC-adressen - de enige oplossing binnen het draadloze netwerk - is bij IPv6-aware switches alleen mogelijk voor non-IP-verkeer (versie 4 en 6). IPv6-verkeer filteren op MAC-adresniveau kan dus gewoon niet.' 

Een tijdelijke oplossing is het uitschakelen van het protocol. Maar daarmee wordt volgens Heemstra 'alleen uitstel bereikt.' Het volledig verwijderen van het IPv6-protocol op een Windows Vista- of Windows 7-systeem leidt tot een deels onbruikbaar systeem, omdat het protocol ook op systeemniveau wordt gebruikt.

Chinese routers

De RuG heeft al in de maand februari contact gezocht met Cisco. De netwerkleverancier heeft het verzoek om bepaalde features in te bouwen in een aantal switches afgewezen, maar heeft wel toegezegd overleg tussen de productgroep switching en de RuG te starten. Tot op heden is nog geen nader contact geweest. Daarnaast heeft de RuG gesproken met de IPv6 Task Force, die zich in opdracht van het ministerie van Economische Zaken Nederland bezig houdt met het stimuleren van en informeren over IPv6. 'Ik zou graag willen dat ze waarschuwen voor dit probleem.'

Volgens Heemstra is het probleem overigens niet uniek voor Cisco-switches. 'Omdat China voorop loopt in IPv6-gebruik, heb ik de specificaties van een aantal Chinese switches bekeken. Maar die hebben hetzelfde euvel. Dat komt waarschijnlijk doordat de Chinese overheid niet als prioriteit heeft haar burgers te beschermen tegen binnenlands afluistergevaar.'

Michel Schaalje, technisch directeur Cisco Nederland: 'De Cisco Catalyst 2960 fixed switch-lijn is een relatief eenvoudige serie switches, die over minder features en mogelijkheden beschikt dan Cisco's overige, zwaardere switches. Het is met deze switch echter wel degelijk mogelijk IPv6-verkeer te switchen. Wat met deze switch niet mogelijk is, is het filteren en manipuleren van IPv6-verkeer. De Cisco Catalyst 3560 en Cisco Catalyst 3750 fixed switches, en onze modulaire switches ondersteunen deze mogelijkheden wel.' Daarnaast laat de netwerkleverancier weten 'in nader overleg te treden met de klant om de diverse mogelijkheden verder te bespreken.'

Ingebakken voorkeur

Microsoft laat weten dat het beveiligingsprobleem 'niets met software te maken heeft, maar met de functionailteit van een router. Windows en elk ander besturingssysteem staan hier in principe buiten. Microsoft volgt de standaarden die voor IPv6 gelden, eenzelfde issue speelt dus bij elk device met ongeacht welk besturingsysteem dat IPv6 ondersteunt.' Daarnaast is er volgens Microsoft 'eenzelfde soort issue met IPv4'. Daarom 'zou een vergelijking op zijn minst op zijn plaats zijn.'

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Pas die kop dan even aan, want deze is misleidend.

Het zal wel weer een rondje zwartepieten worden maar hopelijk dat ze gauw met IPv6 Routers/Switches komen die dit euvel niet (meer) hebben.

Microsoft zal blij zijn met jullie hier onterecht geplaatste negatieve verhaal Computable - pas maar op dat je geen claim aan je broek krijgt!

"... Daarnaast is er volgens Microsoft 'eenzelfde soort issue met IPv4'. Daarom 'zou een vergelijking op zijn minst op zijn plaats zijn.' ..."

Kort samengevat: dit probleem hadden we al met IPv4, en IPv6 lost het niet voor ons op. Het zou mooi zijn als leveranciers voor zowel IPv4 als IPv6 een oplossing inbouwen, want we zullen de komende jaren beide protocollen hard nodig hebben.

Dat het probleem niet bij Microsoft ligt, daar moet ik Microsoft geheel gelijk in geven. Rogue IPv6 router advertisements zijn net zo schadelijk in je netwerk als rogue IPv4 DHCP server. Met rogue IPv4 dhcp server kunnen we allemaal omgaan en bestrijden we met de bijbehorende settings op de switches waarmee we deze netjes eruit filteren. Voor IPv6 is er iets vergelijkbaars. Zie http://tools.ietf.org/html/draft-chown-v6ops-rogue-ra-01

Waarom niet gewoon poortisolatie aan op laag 2. Vrijwel iedere switch en Wifi access point ondersteunt het. Iedere poort op de switch kan dan alleen nog met de uplink praten, niet meer met een andere poort. Dit kan ook cascaded in de hogere switches. Verder eventueel switches op laag 3 inperken zodat pc's uit verschillende segmenten elkaar over de routers heen ook niet kunnen bereiken.

Als je de aangesloten pc's niet beheert zoals bij studenten-notebooks kun je zonder poortisolatie op ieder moment ook met DHCP problemen krijgen. Dit probleem met IPv6 is maar een van de vele.

"Het filteren op basis van MAC-adressen - de enige oplossing binnen het draadloze netwerk "

Non-argument! Beveiliging op basis van MAC adres is een wassen neus, een peulenschil voor een beetje hacker. Gelukkig bestaan daar andere beveiligingen voor.

Dan houden we bedrade beveiliging over. Een hacker die de kans krijgt om een router in het netwerk te plaatsen heeft daarbuiten LEGIO mogelijkheden om de beveiliging(en) te breken. Daar is die router niet voor nodig. Fysieke toegang tot de infra is funest. Dus wederom een non-argument.

Per saldo is er dus in de basis niets veranderd. Dit artikel suggereert anders.

Het is een goede zaak dat er door Computable aandacht wordt besteed aan de toepassing/implementatie van IPv6 zoals onder de aandacht gebracht door Mente Heemstra van de RUG. De discussie is goed voor de ontwikkeling van kennis en toepassing en implementatie van IPv6, immers de slag moet nog gemaakt worden dat het op grote schaal toegepast gaat worden.

Een schuldvraag lijkt me hier niet zo relevant. Ik juich de discussie zoals de inhoudelijke bijdrages zoals van @Rob Koelmans toe!

IT's not a perfect World!

Het gaat erom dat Microsoft in zijn producten het IPv6-protocol leidend heeft gemaakt. Daarnaast worden verschillende tunnels, zonder het te vragen, opgezet om het protocol te faciliteren. En dit gebeurt (met name teredo) dwars door firewalls heen.

Het gaat dus niet om de onveiligheid van het IPv6-protocol op zich, maar veel meer om de combinatie IPv4 en IPv6 op hetzelfde systeem. Ik heb (met name in de draadloze netwerken) al systemen gezien die zichzelf als IPv6-router aanmelden en vervolgens het IPv6-verkeer door een eigen tunnel afhandelen. De gebruikers in kwestie hadden geen idee dat zij IPv6 gebruikten, laat staan dat zij zich bewust waren van het feit dat het systeem de actieve rol had waar op dat moment sprake van was. Een beetje Trojan kan hier gemakkelijk gebruik van maken.

En dat filteren op MAC-adressen een wassen neus is, ben ik niet met de schrijver eens: het blokkeren van de "all-station" multicast voor clients heeft als effect dat een rogue router zich niet meer als zodanig kan melden en derhalve geen verkeer naar zich toe kan trekken.

Natuurlijk zou ik het liefst een filter hebben dat expliciet de Router Announcements blokkeert, maar bij gebrek aan laag 3 filters (en bij onze access points gebrek aan IPv6 awareness) moet je wat.
Als je geen maatregelen treft is het op dit moment gewoon te makkelijk om misbruik te maken van IPv6.

Het idee van Rob Koelmans is overigens een idee wat mij buitengewoon aanspreekt: gelijkwaardige clients in een (draadloos of bedraad) netwerk communiceren uitsluitend via de uplinks met eventuele routers, niet met elkaar.
Voor onze client netwerken (werkplekken voor medewerkers en studenten) zou dat een goede oplossing zijn.

De volgende URL geeft voor Ciscoswitches ook nog wat mogelijkheden, ik weet natuurlijk niet of jullie switches dit aan kunnen. Vermoed van niet, aangezien je aangeeft geen laag 3 filters te kunnen bouwen op je switch voor IPv6.

http://www.networkworld.com/community/node/42804

Teredo tunnels zijn makkelijk aan je edge te blokken door alle verkeer met UDP DPORT=3544 te blokkeren.

Om nog even terug te komen op de RA guard waar J.H. Prins het over had: het voorstel hiervoor is inderdaad aangenomen, en Cisco heeft het al geïmplementeerd in een tweetal platforms (overigens als één van de weinigen) te weten de 6500 serie en de 3750. Maar doorgaans zijn dit niet de access switches die gebruikt worden (ze zijn snel, kwalitatief goed, maar voor de access wat ons betreft te duur).
En behalve RA guard heb je dus ook een DHCP voor IPv6 guard nodig. En met de default instellingen van een windows systeem zelfs een DNS guard.

@Mente: Op onze voorspraak heeft Housing Office op alle 9 locaties poortisolatie sinds een jaar of twee doorgevoerd. Niet alleen is het aantal storingsincidenten enorm teruggelopen, er is ook een voortdurende storm aan broadcasts weggevallen (op het Winschoterdiep). Daarvoor stonden eigenlijk alle 4 x 96 poorten van de 4 vleugels parallel te knipperen. Nu zie je activiteit van daadwerkelijk verkeer op de poortleds. Bij iedere nieuwe lichting buitenlandse studenten kon je voor die tijd weer dagenlang dhcp- en spanning tree problemen hebben.

De routers en switches (Enh. Image) van HP uit de A familie ondersteunen standaard security features om het probleem te ondervangen. Functies zoals ND detection, ND snooping en DHCPv6 snooping zorgen ervoor dat een man in the middel attack op IPv6 kan worden voorkomen.

Att: Mente Heemstra - If I understand your article and comments correctly, what you are suggesting is that:

1.) IF users have administrative access to their machines OR their machine has been exploited (you need admin rights or a security hole to set up IPv6 tunnel...)

2.) The corporate systems such as firewalls, routers, IDS etc. have been seriously misconfigured

THEN

The IPV6 _default_ settings (as implemented by Microsoft/Cisco) _can_ be used as an exploit (although you omit the specifics).

What bugs me though - isn't it applicable pretty much to _any_ software/ protocol under the same circumstances?

Are you talking here about corporate systems or home systems??? It sounds to me that you are little bit confused yourself.

Laco,

Let's put it like this: in a network with 30.000+ users and the possibility to attach any wireless device into this network you're liable to get an infected machine, possibly configured as an IPv6 router, into your network every now and again. If you have a default configured Vista or Windows 7 system, then IPv6 is configured AND preferred, so the traffic (even IPv4) of any trusting machine can be hijacked unless you take action.

And yes: if you take the right measures you can prevent the use of unwanted IPv6, but are you aware of the number of networks where the managers don't have a clue about the fact that they do indeed already have IPv6?
There are e.g. lots of schools where network management is being done by one of the teachers who's got some time to spare.

Like I stated: it's the combination of both protocols that creates the danger, in combination with the fact that lots of people don't even realize that IPv6 is already present inside their networks.

Older corporate systems are generally running XP. Vista has been skipped in most cases. Newer corporate systems will be running Windows 7, thereby introducing IPv6 into the network. Network managers need to realize that. There's no doing nothing where IPv6 is concerned. You might decide no to implement IPv6 inside your network or not to, but you are obliged to take action either way.

Mente-

Fair enough. But still - how is it different than any other software/ hardware under these circumstances?

I mean, why is this more special than hundreds of other software packages that can be exploited (and much more easily) under circumstances you describe?

You note: "managers don't have a clue about the fact that they do indeed already have IPv6" - again - why is this specific to IPv6? How many managers have a clue about anything really?

What "clue level" according to you a manager should have to prevent such situations?

They hire you and me to become their clue. And we usually do research before we design and/or deploy things.

If I would be in your shoes, I would turn off IPv6 with a simple script or a policy and move onto more interesting challenges.

But that is only me ;)

-Laco

Laco,

In the core of the situation my responsibility is in network administration, not systems administration.
And even if it were in systems administration, I still wouldn't have control over a large portion of the systems being present in 'my' network.

Apart from the general employee and student PC's, which are managed by my department, there's a large number of systems that are beyond our control. We supply the network, the IP addresses (automatic or fixed), and enough bandwidth for the employees and students to do their job.

At this moment we're running Windows XP on the student and employee PC's without IPv6. And even if we were to use IPv6 on these systems, it still wouldn't be preferred. So no problems with IPv6 there.

Why is it more special? That's easy: the network is my responsibility, not the applications running over it. Of course we try to do whatever we can, but keeping the systems safe and clean is primarily the job of our workstation administrators.

By the way: the managers I was talking about were the network managers. And I truly hope they try to avoid being clueless on any networking subject.

Finally, you may have guessed: I see implementing IPv6 as a true challenge, and an interesting one at that.

Indeed: that's me.

Mente.

@Laco:
As - by far - being THE biggest supplier of Operating Systems, Microsoft has much more obligation to have default security settings as safe as they can be. Notably, it's in Microsoft's own MCSE manuals where it states: 'always give as little rights as possible, always give the absolute MINIMAL rights which allow users to get the job done'. Only add rights when they are (newly) needed.
I don't see how Win7/Vista default IPv6 handling conforms to Microsoft's own policies in this regard. It is of no help whatsoever, to point fingers to other software which ALSO don't have the best default security settings possible. In fact, that would be something like "Hey - it's ok! Others do it wrong too!!". Especially, if you own 98% of the OS market, you NEED to have the default settings very secure. Better safe then sorry. Then, as implementation develops, you open up services, ports and other things only when they are needed and only when the applicable environment otherwise is secure.

"What "clue level" according to you a manager should have to prevent such situations?"
A manager, if responsible for the tech part, must have knowledge to open services, ports, etc. to get the job done. If the manager doesn't have such knowledge: then he doesn't get the job done - BUT: the network stays secure (which is the most important thing), and he/she needs to hire a more tech savvy person to open up things. So, the minimal "clue level" needed to get things rolling, should be enforced by the default security settings. I.e: if a manager has no clue, he just can't set it up (unsecure).

Default settings has always be a bad thing with Windows. They are much more targeted at "supporting more features" then targeted to "supporting more security". Combining this with Microsoft's excellent marketing, Windows got so much market share. Good, feature wise. Very bad, security wise.

@mm: your reply should not be @Laco, but @Microsoft.

@menthe: I agree that implementing IPv6 is a true challenge; but so is dribbling a football. Anyway, I got where you are coming from, my only point was that I don't see this as a security risk in terms presented, but rather an administration/design challenge (once that is simple to overcome). Just a different view, nothing more, nothing less.

Blijkbaar is er sprake van een foute interpretatie van uitspraken van mijn kant, ik had er helaas overheen gelezen.

Uit het artikel zou kunnen worden gelezen dat ik het uitschakelen van het IPv6 protocol ter bescherming van een systeem als (zij het tijdelijke) oplossing zie.
Dat is niet het geval: uitschakelen van het protocol (als het al zou lukken om het netwerkbreed te bewerkstelligen) leidt eigenlijk alleen maar tot uitstel van de wereldwijde implementatie van het protocol. En als er één ding is waarvan ik overtuigd ben, dan is het dat de invoering van IP versie 6 nu serieus moet worden aangepakt.

Dat betekent gezamenlijke inspanningen van vendors van netwerkapparatuur, vendors van antivirus, intrusion prevention en detection software en hardware, vendors van hardware en software firewalls, en van software ontwikkelaars. En natuurlijk acties binnen provider netwerken en bedrijfsnetwerken. En tenslotte faciliteren van het protocol naar de thuisgebruikers.

Het belangrijkste aandachtspunt uit het artikel blijft de bewustwording dat het protocol er hoe dan ook al is, en dat daarmee rekening gehouden dient te worden. Er is nog tijd om bekend te raken met het protocol, ook met de risico's, zodat we niet overhaast en derhalve met een hoog afbreukrisico het protocol moeten invoeren.

En het heeft geen zin om te gaan wijzen, zoals enkele anderen ook al hebben geconcludeerd, maar we moeten gezamenlijk een modus zien te vinden om een en ander gecontroleerd en veilig te realiseren.

Mente.

"maar we moeten gezamenlijk een modus zien te vinden om een en ander gecontroleerd en veilig te realiseren."

Tip:
Ga op de RuG met een aantal hardware specialisten ZELF de netwerk-router componenten ontwikkelen (en verkopen) zoals jij ze zelf wilt hebben (met bijv Cisco emulatie mode en IPV4,IPV6 compatibility modes)

Verwacht niet van partijen zoals Microsoft en Cisco (die bij elkaar de grootse marktaandelen hebben in netwerkcomponenten en operating systems) dat ze dit soort zaken gaan fixen.

Over zaken zoals IPV6 is heel lang, en heel diep nagedacht door diverse knappe koppen die maar uit zijn op 1 ding... Volledige traceerbaarheid van alle aan het internet aangesloten devices.. Ik vermoed zelfs dat de huidige IPV4 "adress schaarste" ook is ongecalculeerd in het ontwerp van dit IPV4 adres-schema. Hierdoor kunnen ze, binnen niet al te lange tijd, de vrije wereld, langzaam maar zeker over-dwingen naar IPV^ om hun doel te bereiken... "totale traceerbaarhied"

Kijk hier op Youtube waar we naartoe gaan:
"One mainframe to rule them all"
http://www.youtube.com/watch?v=JV5E0Tkiyxs

IPV6 is hier slechts een (netwerk)onderdeeltje van :-)

@Laco:
Well, let's hope Microsoft reads my opinion here too :).

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2010-06-21T09:55:00.000Z Jolein de Rooij
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.