Ekspert efter '3' flytter til IPv6 og offentlige IP-numre: Smid din gamle Android-mobil ud

Illustration: ra2studio/Bigstock
Hvis man går rundt med en gammel Android-telefon er risikoen for at blive ramt af orm ekstrem høj.

Teleselskabet 3 er ifølge dem selv første danske mobiloperatør i Danmark, som flytter kunderne over på internetprotokollen IPv6.

IPv6 er efterfølgeren til den nuværende standard IPv4, som er den protokol, der har ansvaret for at bære internet-pakker rundt på netværket. IPv6 løser en række problemer ved IPv4, som for eksempel antallet af mulige IP-adresser, der mangedobles i den nye version.

Overfor Version2 understreger 3, at der ikke bliver problemer med steder på internettet, som ikke bruger protokollen.

»Der er ingen ændringer på IPv4. Når en kunde har IPv6 ved hjælp af 'Dual Stack' har de både en IPv4-Stack og en IPv6-Stack på deres device. Så de services og websites, der understøtter IPv6, benytter IPv6 og de services og websites, der kun understøtter IPv4 fungerer helt uafhængigt af IPv6,« skriver firmaets pressechef Thilde Danielsen i en email til Version2.

Telefonen eller enheden vil automatisk slå over fra IPv4 til IPv6, så man vil som kunde ikke kunne mærke forskel på hvilken IP-adresse, man er på.

I slutningen af november begyndte 3 at implementere og aktivere den nye protokol, og alle kunder kan forvente at være opgraderet i starten af 2018.

Sikkerhedsekspert til 3-kunder: Smid din gamle Android ud

Skiftet betyder også, at 3's kunder får offentlige IPv6-addresser og dermed ikke 'carrier grade NAT,' (network address translation), hvor alle kunder benytter samme offentlige IP-nummer.

»Det er best practice indenfor IPv6,« skriver Thilde Danielsen.

Det får sikkerhedsekspert Peter Kruse fra virksomheden CSIS til at opfordre 3-kunder med gamle Android-telefoner til at smide dem i skraldespanden:

»Mange har ikke forstået, at en smartphone er en computer. Om den befinder sig i hjemmet eller man går rundt med den i lommen er stort set det samme. Når man eksponerer telefonerne på det 'offentlige' internet, og ikke har en opdateret enhed, så åbnes der op på en helt anden måde for at en smartphone kan angribes.«

Det eksponerer telefonerne på en helt anden måde, end hvis de befandt sig bag en carrier grade NAT.

»Hvis der på et tidspunkt kommer en smartphone-orm, hvad alle går og venter på vil ske, rettet specifikt imod bestemte Android-telefoner, som ikke har fået opdateringer, fordi de er for gamle, så er man i den grad i risiko. Så kan man få en orm, der kan sammenlignes med udbrud som 'Conficker',« siger Peter Kruse med henvisning til Windows-ormen, der i 2008 ramte et stort antal pc'er.

Ifølge Peter Kruse er det primært Android-enheder, der er udsatte, da de har haft størst antal sårbarheder af typen 'remote code execution,' hvor kode kan afvikles på telefonen, blot angriberne er i kontakt med telefonen via netværk.

»Hvis man går rundt med en gammel Android-telefon, der ikke længere understøttes, og man anvender 3, så er risikoen for at man kan blive ramt af en sådan orm ekstrem høj. Min anbefaling er at man skiller sig af med telefonen, til fordel for en ny model,« siger Peter Kruse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (64)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Der er ingen profit i at angribe én gammel Android enhed.

Det kan der sagtens være, hvis man har udset sig personen. Man kunne også angribe mange, med henblik på at udvide sit botnet eller lave et man in the middle angreb på en netbank.

Dog er der rigtigt mange IPv6-adresser, så i praksis kan man ikke bare enummerere hele spektret, ligesom man kan med IPv4. Derfor er man nød til at kende adressen, hvis ikke en udbyder har et passende mønster i uddelingen af adresser, hvor man fx tildeler en blok og telefonen bruger den samme del af hver af de blokke.

Én ting er sikkert: Hvis det er muligt, skal vi nok se det ske.

Christian Halgreen

Nu er det jo altid godt med en undskyldning for at skifte sin mobil til den nyeste model.
Men hvis man har en ældre android, hvis man er på '3' net og hvis der er grund til bekymring for ikke at være bag et NAT, kunne man så ikke bare gå i telefonens indstillinger og fravælge IPv6?

Bjarne Nielsen

OK, tillad mig et naivt spørgsmål: hvad er det lige at CGN hjælper med?

Er det fordi, at uden, så kan man til enhver tid finde enhver åben port på enheden, mens det med CGN pga. NAT delen ikke er tilfældet?

(ja, netværk er ikke min stærke side :-) )

Yoel Caspersen Blogger

kunne man så ikke bare gå i telefonens indstillinger og fravælge IPv6?

Det er umiddelbart ikke en mulighed, medmindre telefonen er rooted.

Men uanset hvad er der nok mange gode grunde til at opgradere sin gamle Android til noget nyere. Selv om der ikke tilbydes IPv6 fra mobilnettet, er der ingen garanti for, at telefonen er isoleret fra andre brugere på samme mobilnet, og således kan den stadig være sårbar den dag i dag.

Det fremgår i øvrigt af artiklen, at kunderne slipper for CGN, men i stedet får IPv6. Det er ikke helt præcist - der vil stadig være CGN på IPv4. Det er kun på IPv6, at man slipper for CGN.

Yoel Caspersen Blogger

OK, tillad mig et naivt spørgsmål: hvad er det lige at CGN hjælper med?

Kort fortalt: Det giver mulighed for at lade flere brugere dele samme IP-adresse. Vha. en NAT-tabel, som er en midlertidig oversigt over igangværende forbindelser gennem CGN-routeren, holder routeren styr på, hvilke portnumre der anvendes af hvilke klienter.

Det betyder også, at de enkelte forbindelser skal initieres indefra, og brugere får i øvrigt ikke nogen indflydelse på det portnummer, som anvendes på ydersiden af CGN-routeren.

Derfor bryder CGN (og alle andre former for NAT'ing, inkl. den der sidder i WiFi-routeren derhjemme) end-to-end-princippet, der gør det muligt for devices på internettet at kommunikere direkte med hinanden.

Hvorfor skal man så lade flere brugere dele samme IP-adresse, når nu det kan give problemer?

Fordi der kun er lidt over 4 mia. tilgængelige IPv4-adresser, en stor del af dem går til spilde, og antallet af devices på internettet er stærkt stigende.

IPv6 indeholder et (voldsomt) større adresserum, og er derfor løsningen, så alle devices kan få deres egen offentlige IP-adresse.

Niels Buus

Det er helt korrekt. :-)

Formålet med CGN har aldrig været øget sikkerhed - det er bare et biprodukt. Formålet er at en internetudbyder kan nøjes med få IP-adresser , selvom de har mange kunder. Det har givet god mening de seneste 10 år, hvor IPv4-adresser nærmest har været en kostbar handelsvare.

Med det nye IPv6, så er der rigtig mange gange flere adresser at vælge i mellem, og så kan internetudbyderen nemt give en rigtig IP-adresse til hver enkelt kunde.

Men det betyder jo så også at man i princippet er modtagelig for uønsket indkommende trafik. Ligesom receptionister der sidder bag hovednummeret bliver udsat for telefonsælgere, mens dem der gemmer sig bag lokalnumrene går fri. :-)

Jacob Pind

Er så bare endnu en grund til at skift ens gamle android ud som aldirg har fået en os update , hver telefon få et /56 address hvor i den kan ligge, så en orm skulle afprøve et stor antal address før end den fandt den hvor telefonen faktisk var på.

Tror ikke vi har set nogen orm til telefoner som bevæged sig rundt den vej via remote code execution over services som lyttede på ip, hvad vi har set er være ting som spredt sig via social apps, email links m.m , er den slags først kommet ind på telefonen , er det da underordent om den køre ipv4 eller ipv6 , at sælge det defektnet med CGN mere sikkeret lyder mere som ren salgs gas.

Steffen Schumacher

Ved vi at 3 ikke har enabled statefull firewall for IPv6, hvilket vil gøre det ca lige så sikkert for ældre enheder som med CGNAT?
Men det er selvfølgelig sjovere hvis der er lidt drama og vi samtidig kan bashe en udbyder, så lad os da bare antage det ikke er tilfældet, og så er der jo også en berettigelse for at have sikkerhedskonsulenter..

Axel Nielsen

Hvis man alligevel nørder så meget at man er i stand til at oversætte budskabet fra Peter Kruse til "Køb en ny mobil før du bliver hacket fordi...", så er man nok også i stand til at roote og installere f.eks. Lineage.

Så sparer man da at smide penge ud på en ny telefon.

Den bedste måde at få "standardbrugeren" til at udskifte sin telefon, er ved at opdatere f.eks. Facebook app'en så den ikke kan køre på de ældre androidversioner...

Forbrugssamfund, SUK!

Gustav Brock

Mig bekendt er 3's net lige præcis det eneste, der ikke bruger CGNAT. Eller i hvert tilbyder 3 muligheden for at blive fri.

Jeg har da selv haft 3 kørende på vores 4G DrayTek-router og fik uden videre en almindelig IP-adresse og kunne dermed have haft en server kørende bagved.
Desværre er 3's net nærmest ubrugeligt til data i store dele af Nordsjælland. Ellers havde de haft en kunde mere.

Povl H. Pedersen

Motivet er oplagt. Det er alt fra uautoriserede opkald til overtakserede numre til at overtage din 2-FA device (SMS koder, Google Authenticator etc).
Man vil også kunne fiske brugernavn/password til mail og websider etc.

Thomas Larsen

Der er da netop alt mulig grund til at tro at 3 firewaller kunderne, ellers vil jeg mene at de gør det forkert. Det er simpelt at blokere trafik initieret udefra, det kræver ikke mange ressourcer i forhold til at CGNAT'e
Det burde 3 have klædt deres pressechef på til at sige.

Hvis enkelte kunder vil have mulighed for at stille services til rådighed på internettet via deres mobil device bør de kunne bede om at blive flyttet til et APN uden firewall og så må de så bare selv stå for sikkerheden.

Baldur Norddahl

Det er noget vrøvl at telefonen er mere udsat blot fordi 3 har implementeret IPv6. Og så advares der imod en orm der ikke eksisterer. Er det ikke lidt at råbe ulven kommer bare for sjov?

En sådan tænkt orm vil sandsynligvis primært sprede sig via IPv4. De fleste bruger wifi offloading, hvor telefonen kobler op på wifi netværket derhjemme eller på arbejdspladsen, studiet etc. Hermed er den bag ved firewall og NAT sammen med en masse andre enheder, der potentielt kan være smittet.

Ældre Android enheder supportere slet ikke IPv6 via 3's løsning. Så hvad er det der advares imod?

Det er ikke praktisk muligt at scanne sig frem til IPv6 adressen på telefonerne. Du skal kende IPv6 adressen i forvejen. Dit kendskab skal være nyt, da adresserne skifter hele tiden. Hvordan skal en orm opnå kendskab til andre telefoners IPv6 adresser? Modsat så er det intet problem for en orm at scanne sig frem til andre telefoners interne IPv4 adresser, både direkte hos en mobiloperatør bag dennes CGN og på wifi netværk.

En ondsindet webserver vil naturligvis kende IPv6 adressen i det øjeblik telefonen tilgår webserveren. Men den primære angrebsvektor fra ondsindende webservere er indhold der downloades. Hvis din telefon ikke er patchet, så er du sårbar overfor ondsindende webservere uanset hvilken IP protokol du benytter.

Jacob Pind

Fordi ipv6 er 2^128 mulige address og en /56 ud af det /64 som isp har fået sat til rådighed stadigvæk er ingenting, og fordi ved at faktisk give folk en en klat address kan man sæt sit netfornuftigt op.

Du kan nu oprette alle de subnets til forskellige ting du har brug for, og som jeg skrev i et /56 net kan du ikke bare lige find ud af hvilken address telefonen har, modsat ipv4 hvor det ikke tager mange øjeblik at scanne alle dange ip ranges of se hvor der er noget på en given port.

Steen Thomassen

“hver telefon få et /56 address”

Hvorfor ?
Telefonen skal bruge en ip, så giv den en
Det her lyder som IP4 fejlen igen


Et ISP får tildelt mindst /32 så der 24 bits til kunder med en /56 tildeling hver kunde...

Ellers kan til hver telefon godt være tilknyttet flere enheder og når min telefon er sat til hotspot så kan der godt være 3-4 pc'er med..... Og hvis der er virtuelle maskiner på en pc'er - så kan de også få officiel ip-adresser, når der er så mange adresser til rådelighed. Derudover er der en del 3 kunder som bruger en router beregnet på mobil bredbånd...

Jørgen Henningsen

Er der ingen profit i at angive ældre Android enheder? Hvordan mener du det hænger sammen?


Det var ikke det som jeg skrev. Min pointe er at Android er mange forskellige fabrikater, modeller og versioner. Man skal søge en masse adresser igennem for at finde én telefon med en svaghed som kan udnyttes, og som kører en app. hvor der måske er en profit gemt.
IT kriminelle er da ikke anderledes end andre kriminelle. De går efter de nemme penge.

Jens Jönsson

Modsat så er det intet problem for en orm at scanne sig frem til andre telefoners interne IPv4 adresser, både direkte hos en mobiloperatør bag dennes CGN og på wifi netværk.

Hvad skulle der være af problemer for en orm at scanne sig frem til IPv6 adresser ?
Er din telefon eksponeret på en offentlig IP-adresse, om den er v4 eller v6 er da et fedt, hvis den er sårbar.
Så bliver den inficeret og derefter kontakter den selv en server, hvorfra den så kan styres og benyttes til alskens gøjl og gejl.....

Henning Wangerin

hvor der måske er en profit gemt.

Hvem siger at det er dine data der er det mest værdifulde på din telefon?

Men hvis muligheden for at bruge din enhed som springbrædt er mere værd, er det det der bruges.

Hvis du lader Peter Pedo bruge din telefon (eller computer eller netværk) til at sløre sin identitet hår han henter børneporno, er det stadigvæk dig som får balladen i første omgang.

Du kan kun håbe på at der ikke er spor af det downloadede data på dine enheder eller endnu bedre at værktøjerne stadigvæk ligger stadigvæk på enheden, når du skal forklare Bent Betjent at det ikke er dig der har gjort det.

/Henning

Henning Wangerin

Der står en og ikke én i artiklen, det er meget stor forskel. Og jo, det er interessant, der findes mange ældre Android som ikke er opdateret.

Ja. Men et problem er netop at der ikke nødvendigvis findes nye erstatninger for de gamle telefoner. Helt personligt irriteres jeg næsten dagligt over at min gode gamle HTC Desire er for stor til mine lommer. Og Ja den er kun 119 x 60 x 11.9 mm men den er stadigvæk for stor.
Jeg har ikke brug for at løbe rundt med en tablet i lommen. Den bliver brugt til at ringe og sende smser fra, og to egne apps som jeg helst ikke vil undvære ;-)

Hvor findes der alternativer? Jeg har ikke kunnet finde et.

/Henning

Baldur Norddahl

Hvad skulle der være af problemer for en orm at scanne sig frem til IPv6 adresser ?

Jens, den burde du vide. Klienterne skifter jævnligt de sidste 64 bit i adressen til noget nyt tilfældigt. Lad os sige at du på en eller anden måde har fået de første 64 bit i adressen foræret og "kun" skal scanne dig til de sidste 64. Det betyder at du skal scanne 2^64 adresser.

2^64 = 1,8E19 adresser.

Tænk lige over hvor mange adresser det er.

Tænk lidt over hvad det implicerer. Den mindste pakke der kan sendes på ethernet er 64 bytes. Skal vi sende bare en enkelt ping pakke til 1,8E19 adresser, så skal der minimum sendes:

1,8E19 * 64 bytes = 1,2E21 bytes = 1 milliard terabytes!

Skal du finde ét device, så skal du i gennemsnit sende til halvdelen af adresserne før du er "heldig".

Og det er til at finde én telefon hvor du i forvejen kender hans IP adresse, og vi forudsætter at du blot skal gætte hvilken tilfældig 64 bit sidste halvdel telefonen er skiftet til nu.

Starter du i stedet fra bunden af og skal scanne en hel ISP, der som minimum har fået tildelt en /32, så skal du scanne 2^96 adresser = 7,9E28 adresser. Altså 10 milliarder så meget data. Bliver du færdig inden at solen brænder ud?

Vil du scanne hele den aktive del af IPv6 adresseområdet? Så taler vi 2^125 adressemuligheder. Jeg gider ikke engang regne ud hvor meget det er.

IPv6 kan ikke scannes. Så simpelt er det. Det er ligemeget om du er på det samme lokalnetværk. Det er ligemeget hvilke information du får foræret. Enten kender du IP adressen i forvejen via en anden metode end scanning. Alternativt så finder du den bare ikke.

Der er nogle få undtagelser:

1) Oprindeligt var det tænkt at de sidste 64 bit var baseret på computerens MAC adresse. Siden er man skiftet til privacy extensions, som randomiserer de sidste 64 bit i stedet. Men hvis du har en adresse baseret på MAC adressen, så er der reelt kun 2^48 muligheder der skal scannes, da en MAC adresse kun er på 48 bit. Og faktisk kan der skæres endnu mere ned på det, da MAC adresserne er tildelt systematisk, så der er mulighed for at optimere scanningen. Alligevel skal du sende flere pakker for blot at finde ét device end det kræver at scanne hele IPv4 adresseområdet.

Mig bekendt bruger Android ikke MAC adressen til IPv6 adresser.
Min computer har ikke en IPv6 adresse baseret på min MAC adresse.
Det er med andre ord på vej ud.

2) Routeren hos private har ofte en forudsigelig adresse. Eksempelvis har vores routere altid den første adresse i den serie som er tildelt til brugeren. Da vi har fået tildelt et /29 scope, så skal du kun scanne 2^19 adresser for at finde alle vores CPE'er. Det hjælper dig dog ikke til at finde adresser på devices hjemme hos vores kunder. Det er endnu nemmere at finde IPv4 adresserne på vores CPE'er, da vi kun har 2^13 IPv4 adresser.

3) Har du adgang til lokalnetværket, så findes der andre måder end scanning. Eksempelvis kan du sniffe netværkstrafikken og lytte efter broadcast. En Windows computer vil annoncere sin egen tilstedeværelse på lokalnettet via flere forskellige protokoller, herunder SMB.

Jørgen Henningsen

Der står en og ikke én i artiklen, det er meget stor forskel. Og jo, det er interessant, der findes mange ældre Android som ikke er opdateret.

Det ville være det samme som at sige at maskiner med XP ikke er interessante fordi de er gamle.


Det er netop det som er sagens kerne. Hvor mange mulige enheder kan man få fingrene i og hvor stor en andel af disse enheder er sårbare for et angreb gennem nettet? Desuden vil en del af dine angreb blive stoppet af at brugeren enten opdager din malware eller tilfældigvis alligevel udskifter telefonen. Jeg kunne da næsten håbe på at alle de IT kriminelle kaster sig over den fidus. Så gør de da minimal skade.

Bjarne Nielsen

Så taler vi 2^125 adressemuligheder. Jeg gider ikke engang regne ud hvor meget det er.

Lad mig hjælpe med en lille tommelfingerregel: 2^10 er ca. 10^3.

Så hvis man deler en eksponent til 2 med 10, så ved man ca. hvor mange gange man skal sætte 3 nuller efter tallet.

2^10 er ca. et tusind eller 1.000.
2^20 er ca. en million eller 1.000.000
2^30 er ca. en milliard eller 1.000.000.000
2^40 er ca. en billion eller 1.000.000.000.000
2^50 er ca. en billiard eller 1.000.000.000.000.000
2^60 er ... stort!

Det bliver mere og mere unøjagtigt, jo større eksponenten bliver, men kan godt bruges for at få en størrelsesorden.

2^16 ~= 2^6 * 10^3 = 64.000 (det korrekte tal er 65.536)
2^32 ~= 2^2 * 10^9 = 4 mia. (4,29 mia. er mere præcist)
2^64 ~= 2^4 * 10^18 = 16 trillioner (18,4 trillioner er mere præcist).

Derfor er 2^120 sådan cirka omkring 10^(120/10*3) eller 10^36. Vi er så 2^5 eller 32 gange fra 2^125, så det er nok et nøk over 3E37. I runde tal.

PS: faktisk er 2^125 omkring en halv gang større, 3E37 er tættere på 2^124,5, men for en størrelsesorden som kan regnes i hovedet, er det vist tæt nok på.

Jens Jönsson

Jens, den burde du vide.

Ja, men Baldur du bør også vide at med IT sikkerhed, så skal de slemme gutter nok finde en vej. Hvor der er vilje er der vej. Så længe gevinsten for de kriminelle er stor nok, så er alt muligt.
Se bare Wannacry, hvor mange der blev ramt. Det burde i realiteten have været fåtal...

F.eks. så skal botnettet bare være stort nok, så er det jo ingen problemer at sende milliarder af forespørgsler afsted...
Logfiler fra et par store websites, så er det igang med at scanne "aktive" enheder, som udgangspunkt.

Jeg forestiller mig f.eks. også hurtigt en Android App med indbygget malware....

At din enhed har en offentlig IP-adresse, om den er dynamisk eller ej, IPv4 eller IPv6 er på ingen måder hensigtsmæssigt, og slet ikke hvis softwaren på enheden er hullet som en si...

Netop Android enheder er jo som Windows maskiner. Det er ekstremt nemt at ramme mange enheder, ud fra den simple konstatering at der er ekstremt mange af dem....

https://www.macrumors.com/2017/05/17/2-billion-active-android-devices/

At scanne en masse IPv6 adresser, behøver ikke være en hindring for "the bad guyz"....

Baldur Norddahl

Ja, men Baldur du bør også vide at med IT sikkerhed, så skal de slemme gutter nok finde en vej.

Nej selv de slemme gutter kan ikke bryde naturlovene og de er også underlagt den samme matematik som os andre.

Eksempelvis kan de have et botnet der omfatter samtlige enheder i verden og alligevel kan de ikke scanne din telefon hurtigere end den kan modtage data. Hvor hurtigt kan din gamle Android modtage 1 milliard terabytes?

Ja der er andre måder eksempelvis logs, men så er det ikke en orm mere. De logs må samtidig ikke være ældre end et døgn.

Svend Nielsen

Jens, den burde du vide. Klienterne skifter jævnligt de sidste 64 bit i adressen til noget nyt tilfældigt

Baldur har fuldstændig ret. Det er en totalt umulig opgave at scanne sig frem til en IPV6 adresse.

Men det er så heller ikke den måde adressen eksponeres på. Det sker i de IPV6 servere som leverer data til telefonerne. En enkelt suspekt applikation på en sådan server (eller i telefonen), vil eksponere den anvendte IPV6 adresse. Og selv om adresserne (måske?) skifter med jævne mellemrum, er der stadig et tidsinterval, hvor netop den specifikke adresse står åben ud i det store net.... eller gør den?

Jeg er fuldstændig overbevist om, at 3 må have en form for firewall mellem den offentlige IPV6 og det interne net. Selv om en sådan ikke er strengt nødvendig for at kunne efterkomme myndighedskrav om at lukke for adgangen til bestemte hjemmesider, så er mit gæt at der er noget - om ikke andet for at kunne imødegå DoS angreb.

Hvis vi antager at 3 opfører sig fornuftigt, og har en state-styret adgang til IPV6, så adskiller IPV6 løsningen sig reelt ikke fra IPV4 - rent sikkerhedsmæssigt.

Svend Nielsen

Som det er i dag, følger den lokale IPv4 adresse med rundt når man roamer i andre lande (dvs. man har den samme nationale IPv4 adresse uanset hvor i verden man bruger mobilt bredbånd). Det er i hvert fald hovedreglen (... men jeg tør selvfølgelig ikke udelukke at der et eller andet sted i verden er en roamingpartner som gør noget andet).

Fidusen er, at man fortsat har adgang til de tjenester - primært streaming - som man har hjemme i Danmark.

Det kunne egentlig være interessant at vide, hvordan 3 håndterer dette i IPv6 sammenhæng. Og også interessant at DR f.eks. ikke understøtter IPv6 streaming. Måske det skyldes en sammenhæng med ovenstående?

Kjeld Flarup Christensen

Man må da gå ud fra at 3 har opsat en firewall op som ikke tillader indadgående trafik med mindre det er til en port som er åbnet indefra, det må der være det mest logiske at gøre.


Hvad er så grunden til at have en IPv6 adresse i første omgang? Så ville en CGN fungere ligeså godt, og alle services tilbyder alligevel IPv4

Grunden til at man skal have en IPv6 er at man kører nogle services som laver f.eks. RTP streaming herunder telefoni. Man kan godt lave tricket med at NAT åbner nogle porte, men det kan i visse tilfælde blive sat skakmat, og så kommer der ingen lyd.

Hvis IPv6 bliver generelt tilgængelig, så vil det piple frem med nye P2P tjenester, hvor tjenesten basalt set blot udveksler IPv6 adresser. De tjenester som vi bruger i dag, så som Skype, Viper, Teamviewer o.s.v. er nødt til at stille en IPv4 server til rådighed som kan afvikle trafikken, hvis der ikke kan laves hul imellem klienterne direkte. Det koster både kapacitet og båndbredde!

Men ja, man skal tænke på sikkerheden, fordi ALT software derude principielt er utestet med IPv6, og den som først stiller IPv6 til rådighed, får også æren af at opleve fejlene først!

Baldur Norddahl

Men det er så heller ikke den måde adressen eksponeres på. Det sker i de IPV6 servere som leverer data til telefonerne. En enkelt suspekt applikation på en sådan server (eller i telefonen), vil eksponere den anvendte IPV6 adresse

I artiklen advares specifikt imod en orm som fungerer ved scanning. Og det kommer bare ikke til at ske.

En app på telefonen har allerede adgang til telefonen...

En server kan port scanne telefonen. Det kunne eksempelvis være version2.dk der lige kører nmap på din ip adresse umiddelbart efter at du har læst dette indlæg. Det er reelt nok, men du er forvejen udsat i forhold til webservere. Den mest almindelige angrebsvektor er skadeligt indhold via JavaScript, noget plugin eller at downloade noget som brugeren kører. Eksempelvis var mange Android telefoner sårbare overfor mediefiler, som indholdt exploit kode. Og det virker uanset om du kører IPv4 eller IPv6, så hvorfor råbe ulv lige nu?

Kjeld Flarup Christensen
Baldur Norddahl

Jeg har for sjov kørt en nmap imod min telefon. Det er en Samsung S6 og jeg har IPv6 via 3:

n map -6 2a02:aa7:4602:xxx

Starting Nmap 7.01 ( https://nmap.org ) at 2017-12-23 12:40 CET
Nmap scan report for 2a02:aa7:4602:xxx
Host is up (0.029s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 2.41 seconds

Den telefon lytter ikke rigtigt på nogen porte og så bliver det svært at angribe på den måde. Måske CSIS lige skulle have testet det først, før at de råbte ulven kommer.

Baldur Norddahl

Scan af UDP gav følgende resultat:

Nmap scan report for 2a02:aa7:4602:xxx
Host is up (0.061s latency).
Not shown: 993 closed ports
PORT STATE SERVICE
135/udp filtered msrpc
136/udp filtered profile
137/udp filtered netbios-ns
138/udp filtered netbios-dgm
139/udp filtered netbios-ssn
445/udp filtered microsoft-ds
5353/udp open|filtered zeroconf

Forskellen på filtered og closed:

t elnet 2a02:aa7:4602:xxx
Trying 2a02:aa7:4602:xxx...
t elnet: Unable to connect to remote host: Connection refused

t elnet 2a02:aa7:4602:xxx 139
Trying 2a02:aa7:4602:xxx...
t elnet: Unable to connect to remote host: Permission denied

Jeg ved ikke hvad open|filtered på UDP 5353 betyder.

PS.: Hvorfor crasher version2.dk hvis man skriver nmap eller telnet som det første ord på en linje?

Ivo Santos

Hvad er så grunden til at have en IPv6 adresse i første omgang? Så ville en CGN fungere ligeså godt, og alle services tilbyder alligevel IPv4

Altså!, IPV6 er fremtiden og vi vil det eller ej, og havde det ikke været fordi at de danske teleselskaber havde hamstret ip adresser i lange baner, så havde de danske teleselskaber nok også skiftet til IPV6 for længst.

Men ja, man skal tænke på sikkerheden, fordi ALT software derude principielt er utestet med IPv6, og den som først stiller IPv6 til rådighed, får også æren af at opleve fejlene først!

Fordelen ved at blokere for indgående trafik er at det formentlig kan blokere for hacking af IOT enheder, mobil telefoner, pc'er og meget andet.

Som det er i dag så skal biler leve op til en hel del strenge regler for specielt sikkerhed, og faktisk er det formentlig ulovligt at sælge en 'Trabant' i sit originale design i Europa da den mangler en hel del på sikkerheds området, og det siger vel lidt om sikkerhed af transport midler. Omvendt, så stiller EU ikke ret mange krav, hvis nogen i det hele taget, til kvaliteten og sikkerheden af software i det hele taget, og det er nok også derfor vi blandt andet kan læse om botnet af alt fra IOT enheder til pc'er til hvad ved jeg.

Så længe at EU ikke stiller strenge krav til både kvalitet og sikkerhed af software så er det nok en god ide at teleselskaberne blokere for indgående trafik som standard, det er da trods alt bedre end ingenting.

Henning Wangerin

Ulempen er at der ikke kommer services på IPv6, hvilket er det som vil kunne drive skiftet til IPv6

En ting er indgående services, men hvor mange services kører dual-stack med foretrukken ipv6?

Så længe ipv6 ikke er udbredt er det nok begrænset hvad der laves af ipv6-only apps.

Men det er jo igen hønen-og-åget problematikken.

Uden på nogen måde at være representativ kan jeg da se at trafikken på mit hjemme-net får mere og mere trafik over ipv6. Jeg mangler bare at stofa får fingeren ug og leverer native ipv6 på mit fiber ;-)

/Henning

Ivo Santos

Ulempen er at der ikke kommer services på IPv6, hvilket er det som vil kunne drive skiftet til IPv6

Som et alternativt kan teleselskaberne ligeledes også tilbyde en selvbetjenings side, hvor man selv kan konfigurer ens egne firewall indstillinger, det kunne bland andet da jeg var kunde hos det tidligere 'Com X'.

Christian Halgreen

Uden på nogen måde at være representativ kan jeg da se at trafikken på mit hjemme-net får mere og mere trafik over ipv6. Jeg mangler bare at stofa får fingeren ug og leverer native ipv6 på mit fiber ;-)


Har jeg forstået dig rigtigt:
Du har et hjemmeneværk med dual-stack router, men kun IPv4 internetforbindelse eksternt, Så det du fortæller er at mere og mere lokal trafikudveksles mellem IPv6 enablede devices (PC, NAS m.v.)?

Christian Halgreen

Med hensyn til indgående services, så kører sådan noget som Bittorrent væsentligt bedre.

Hvis Bittorent kører bedre med dual stack skyldes det vel, at man så har forbindelse til seeds der er IPv4-only, IPv6 only og dual stacked.
Med IPv4 har man kun adgang til seeds, der er IPv4-only og dual stacked.
Men endnu er det vel meget få Bittorrent clienter, der kører IPv4 only?

Niels Baggesen

Du har et hjemmeneværk med dual-stack router, men kun IPv4 internetforbindelse eksternt, Så det du fortæller er at mere og mere lokal trafikudveksles mellem IPv6 enablede devices (PC, NAS m.v.)?

Jeg har et hjemmenetværk med en IPv6 tunnel via Hurricane Electric og ser det samme.

Efter at have åbnet for IPv6 på gæstenettet på Det Kgl. Bibliotek i Århus ser jeg at knap 25% af den udgående trafik umiddelbart er skiftet til IPv6. Google, Microsoft, Facebook, Akamai er de store dataleverandører.

/Niels

Baldur Norddahl

Hvis Bittorent kører bedre med dual stack skyldes det vel, at man så har forbindelse til seeds der er IPv4-only, IPv6 only og dual stacked.
Med IPv4 har man kun adgang til seeds, der er IPv4-only og dual stacked.
Men endnu er det vel meget få Bittorrent clienter, der kører IPv4 only?

Bittorrent fungerer bedre på IPv6 fordi der ikke er behov for at bruge "NAT Traversal", som ikke altid fungerer lige godt.

Det er et simpelt faktum at man får fat i flere seeds hvis man slår IPv6 til. Man må antage at de stort set alle sammen er dual stack. Derfor er konklusionen at der er tale om seeds der har adgang til IPv6 og hvor NAT traversal ikke fungerer for deres IPv4.

IPv6 only eksisterer ikke uden for et laboratorium. Men der er nogle mobiloperatører der kører IPv6 only med NAT64. Det burde teknisk set fungere præcis ligeså godt (eller dårligt) som en mobiloperatør der bruger NAT44. Alligevel er det nok en del af forklaringen.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize