Kan IPv6 banke hul i din sikkerhed?

Er du klar til IPv6? Hvis ikke, bør du overveje om det ikke var på tide, at du og din organisation blev det. Selvom du ikke er klar til at erstatte IPv4, bør dit kontrolmiljø være opdateret, sådan at f.eks. firewall og IDS/IPS kan opdage og filtrere uautoriseret brug af IPv6.

Om 2010 bliver året hvor IPv6 for alvor slår igennem i DK, er jeg ikke overbevist om, men jeg ved at nogle organisationer er begyndt at understøtte standarden. Og selvom vi i Danmark ikke er klar endnu, så er IPv6 en realitet i mange andre lande og dermed en del af Internettet. Nyere maskiner understøtte både IPv4 og IPv6, og flere nyere operativsystemer har IPv6 aktiveret som standard. Hvis din perimeter ikke er i stand til at filtrere IPv6 kan dette betyde, at du som f.eks. Baldur Norddahl får en direkte Internet eksponeret maskine i dit netværk.

Jeg har set lidt nærmere på den guide NIST publicerede i draft d. 22. Feb. 2010 (Guidelines for the Secure Deployment of IPv6), der har til hensigt at vejlede organisationer, der planlægger at anvende IPv6 eller blot ønsker en bedre forståelse af standarden. Jeg vil blot nævne nogle af de risici, der fremhæves i guiden:

  • Hackerne anvender allerede IPv6
  • Uautoriseret aktivering af IPv6 kan give adgang til IPv4 net uden om eksisterende IPv4 kontroller
  • Fejl grundet kompleksiteten ved at anvende en dobbelt (IPv4/IPv6) infrastruktur
  • Manglende modenhed ? både mht. praktisk erfaring og sikkerhedsløsninger

Hvis du har erfaringer med andre problemstillinger, erfaringer med transition til IPv6, eller generelt oplevet sårbarheder relateret til IPv6, må du meget gerne dele disse. Ellers er der blot tilbage at spørge; er du og din organisation klar til IPv6?

/msh

PS: I må desuden gerne svare på afstemningen på forsiden - så vi alle kan få en ide om hvor langt vi er i DK..

Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Baldur Norddahl

tun6to4 Link encap:IPv6-in-IPv4 inet6 addr: 2002:4f62:c33e::1/64 Scope:Global RX bytes:692642579 (692.6 MB) TX bytes:3620474989 (3.6 GB)

Det er fra en 6to4 gateway jeg har sat op for bolignettet i Farum Midtpunkt, hvor der er omkring 600 aktive tilslutninger. Serveren blev genstartet for 7 dage siden.

3,6 GB er ikke specielt meget for 7 dages trafik i vores net. Men det er der.

Jeg har kørt lidt tcpdump på det, og det ser ud til mest at være peer to peer trafik.

Alle nyere operativsystemer bruger automatisk en IPv6 router hvis der er en tilgængelig på nettet. Det betyder at en angriber kan sætte en IPv6 router op og pludselig få rederigeret en masse trafik via hans computer. Mange er måske opmærksomme på "fremmede" DHCP servere, men opdager næppe en IPv6 route annoncering.

  • 0
  • 0
#2 Henrik Kramselund Jereminsen Blogger

men jeg har også arbejdet med IPv6 siden midten af 1990'erne :-)

Pt. har jeg været med til at sikre at alle led i kæden hos en stor hostingudbyder er 100% klar til IPv6 og vi er faktisk i fuld gang med at rulle det ud i produktion.

Så ja, vores netværk er fra managementkortene på Dell serverne, henover Juniper routere og firewalls og hele vejen til vores 10G internetforbindelser klar til IPv6 :-)

og jo, lad være med at haste IPv6 ind, men start straks med at konfigurere det i testsetups!

Sikkerhedsmæssigt er der nogle ting som er skræmmende - blandt andet at niveauet for kommercielle firewalls på filtrering af IPv6 er ringe! og på Windows lader det til at man nemt risikerer at der er helt åbent for IPv6.

Desværre ender det nok med et par fantastiske overskrifter der gør at folk tror de skal slå IPv6 fra - ærgeligt.

Men kom forbi Open Source Days og vores stand på C2 - så kan du prøve en IPv6 port scan :-)

  • 0
  • 0
#3 Jens Fallesen

Den generelle melding hos engelske ISP'er, der leverer til erhvervslivet, er meget klar: IPv6 er vældig efterspurgt.

I hvert fald så længe vi taler krav i forbindelse med udbyd, tilbud osv. Fra i hvert fald to–tre ISP'er forlyder det, at mindst 95 % af alle potentielle kunder har IPv6 stående på listen over krav.

Ser man så på, hvem der rent faktisk beder om at få det aktiveret på deres forbindelser, er det pt. ikke en gang 5 %.

De tal er der nok ikke noget specielt overraskende i, men det er dog et positivt tegn, at kunderne er klar over, at de skal efterspørge det, og at de fleste udbydere af samme grund også leverer varen.

  • 0
  • 0
#6 Jens Fallesen

Ved du om billedet er anderledes her i DK? Måske er modenhedsniveauet for danske firmaer anderledes, hvorfor de måske ikke efterspørger det.

Desværre nej. Jeg har været stort set uden kontakt med den danske SP-branche i 1½ år.

Det var mit indtryk, at efterspørgslen den gang var meget begrænset, men jeg ville forvente, at det havde ændret sig siden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere