Beveilig IPv6, ook in IPv4-netwerken

door

IPv6 Launch Day

door

Analyse - IPv6 kan een securityrisico zijn voor bedrijven, ook als ze het niet gebruiken. Hackers lopen voorop met kennis van IPv6-kennis, wat default aan kan staan in netwerkapparatuur en pc's.

Hackers en crackers hebben een voorsprong op organisaties als het gaat om kennis van en ervaring met IPv6. De volgende versie van het universeel gebruikte internet protocol (IP) is wereldwijd nog maar weinig in gebruik. Terwijl bedrijven en organisaties zich langzaamaan oriënteren op IPv6, zijn digitale inbrekers veel meer gemotiveerd om het netwerkprotocol uit te vogelen en te benutten.

Bewust uitschakelen

IPv6 vormt een riciso, zelfs als een bedrijf of bijvoorbeeld overheidsinstantie niet van plan is IPv6 op korte termijn in gebruik te nemen. Het netwerkprotocol moet dan bewust uitgeschakeld worden, waarschuwt Jonathon Berry van het Australische overheidsorgaan Government Communications Security Bureau (GCSB) op een security-conferentie, waar Computerworld Nieuw-Zeeland verslag van doet.

Eerder is al gebleken dat IPv6 een beveiligingsgevaar is op pc's met Windows Vista of 7, én op Macs. Terwijl er down under nu wordt gewaarschuwd voor het risico van 'onbewaakt' IPv6 zijn er voor de bekende hackertool Metasploit speciale IPv6-modules gemaakt. Deze zijn toegevoegd aan de nieuwste versie van die securitytool.

Scans uitvoeren

Hiermee kunnen aanvallers scans uitvoeren om zwakke plekken te vinden. Anderzijds kunnen beheerders de tool gebruiken om kwetsbaarheden in hun eigen systemen op te sporen om die te fixen. Metasploit-maker HD Moore biedt eind deze maand ook een gratis webinar over IPv6-beveiliging.

Marketing manager Christian Kirsch van Metasploit waarschuwt dat IPv6 een bedrijfsnetwerk ongemerkt open kan stellen, terwijl er op IPv4-niveau juist maatregelen zijn genomen. "De meeste apparaten die je de afgelopen vijf jaar hebt uitgerold, zijn IPv6-ready, of zelfs IPv6-enabled." Hij noemt praktijkvoorbeelden zoals misconfiguraties, uit de pas lopende functies van apparatuur van verschillende leveranciers, en het algeheel ontbreken van security-detectie op IPv6-niveau.

Ook Berry van het Australische security-overheidsbureau GCSB adviseert beheerders om zich te verdiepen in IPv6, ook als ze het niet gebruiken. Dat hoort volgens hem bij een goede bescherming (hardening) van het netwerk: het uitschakelen van diensten en functionaliteit die je niet nodig hebt.

IPv6 als ingang

Op het seminar 'Practical IPv6 for Government' gaven diverse sprekers aan dat het maar al te makkelijk is om IPv6-apparaten en -adressen te verkrijgen op een netwerk. Dit vormt effectief een backdoor om digitale inbraak te kunnen plegen, tenzij er specifiek tegenmaatregelen zijn genomen om dit soort netwerkverkeer te blokkeren.

Bijkomend probleem is dat veel leveranciers van it-apparatuur IPv6 op verschillende manieren hebben geïmplementeerd. Berry van het GCSB spreekt van "relatief onvolwassen" implementaties, die weer voor kwetsbaarheden kunnen zorgen.

Hackers zijn druk doende de zwakke plekken in IPv4 te onderzoeken om te zien hoe die zijn te 'vertalen' naar IPv6. Daarnaast kan het nieuwere internetprotocol ook dienst doen als verhulling: om IPv4-aanvalsverkeer ongezien binnen te brengen op een netwerk.

Voorzichtig aan

GCSB adviseert organisaties die IPv6 wel willen implementeren te beginnen met de niet of minder kritieke delen van hun systemen. "Doe daarmee ervaring op en leer ervan. Als je daar eenmaal ervaren en comfortabel mee bent, kun je IPv6-implementatie overwegen op meer kritieke diensten", zegt consultant Berry.

Lees meer over:

hackers, ipv6, crackers, metasploit

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.