Ieri 6 ° Vertice sloveno IPv6 è stato (come sempre) piena di presentazioni impressionante, questa volta proveniente direttamente da alcune delle leggende IPv6: controllare quelli di Eric Vyncke (e assicuratevi di leggere il suo libro Sicurezza IPv6 ),Randy Bush e di Mark Townsley . Il momento epico, però, era il "Ero annoiarsi" parte della presentazione di Eric (inizia intorno 0:50:00). Questo è (in poche parole) quello che ha fatto:
Era collegato ad un hotspot Wi-Fi pubblico e ha iniziato un equivalente di radvd . In pochi secondi, aveva più di 50 i vicini IPv6 - tutti in aeroporto utilizzando la stessa WiFi iniziato ad usare IPv6 dopo aver ascoltato un messaggio di RA da Eric.
Di per sé, non è una novità. Sappiamo che un ladro IPv6 "router" può causare il caos nella rete (è per questo che si dovrebbe sempre consentire RA custodisci nel tuo switch) - che è stata una delle principali preoccupazioni alcune persone avevano prima della Giornata Mondiale di IPv6. Tuttavia, in quel momento Eric potrebbe facilmente fare man-in-the-middle su tutto il traffico IPv6 - niente di andare a qualsiasi dual-stack web server sarebbe stato intercettato dalla sua postazione di lavoro.
A peggiorare le cose, avrebbe potuto utilizzare DHCPv6 per pubblicizzare l'indirizzo del server DNS, avviare un server DNS falso (alcuni ospiti preferiscono DNS IPv6 su IPv4 DNS) e creare falsi dual-stack risposte DNS attirare il traffico ancora di più. DNSsec impedire che (sì, tutti utilizzano questo) come sarebbe SSL (si sta usando Facebook e Twitter su SSL, non è vero?), Ma sarebbe ancora in grado di fare danni significativi.
Come ho detto, l'uomo-in-the-middle utilizzando falsi messaggi RA dovrebbe essere ben noto, ma ci sono alcune implicazioni di sicurezza di altri:
- Alcuni client IPsec non applicano tunnel politica divisa su entrambi i protocolli.Anche se la politica aziendale richiede che il client VPN di inviare tutto il traffico Internet al firewall centrale / IDS, il traffico IPv6 può ignorare che (facendo di te un punto di ingresso ideale nella rete aziendale);
- Unix basati su sistemi operativi in genere hanno due firewall diversi - iptables per IPv4 e ip6tables per IPv6. Se qualcuno ti dà inaspettato connettività IPv6, potresti essere aperti a Internet in generale meno che non abbiate configurato ip6tables .
Si potrebbe sostenere la situazione non è migliore nel mondo IPv4 - un sacco di hotspot sono totalmente protetti contro l'attacco ARP spoofing, ma almeno alcuni punti di accesso ti darà la possibilità di configurare DHCP guardia e DHCP / ARP ispezione. Non avendo esperienza wireless, ecco una domanda per gli esperti: quanti punti di accesso supporto RA guardia (ammesso che nemmeno cosa sia IPv6)? Si prega di condividere la vostra esperienza nei commenti.
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.