Het aantal IPv6-gerelateerde aanvallen van cybercriminelen is vooralsnog beperkt gebleven, maar de dreiging is serieus, zo wordt gesteld. “Als dit protocol meer in zwang raakt, zal het aantal aanvallen zonder twijfel groeien”, aldus Greg Brown, senior director bij McAfee. “Doordat IPv6 nu nog niet wijdverspreid wordt toegepast is de schade die door cybercriminelen met behulp van het protocol wordt toegebracht beperkt gebleven”.

Meer aanvallen

Ook andere experts bevestigen dat het aantal IPv6-aanvallen zal toenemen. Volgens Jason Schiller, netwerkspecialist bij Verizon Business, zijn er nog maar weinig denial-of-service aanvallen op basis van IPv6 geregistreerd, omdat de meeste doelwitten van hackers dat protocol niet gebruiken. Hij voegt daar wel aan toe dat hij “een behoorlijk groot aantal” gevallen heeft gezien waarbij IPv6 werd gebruikt bij het opzetten van een botnet.

Zwakke plekken en bugs

Volgens Schiller worden de meeste veiligheidsrisico’s in IPv6 veroorzaakt door bugs in de code, door zwakke punten in het protocol en door een niet al te beste implementatie. Hij stelt dat dit met name het gevolg is van het feit dat de netwerksector nog lang niet zo vertrouwd is met IPv6 als met voorganger IPv4, waar ongeveer dertig jaar mee is gewerkt. Schiller meent dat mensen nog niet voldoende gewend zijn geraakt aan het nieuwe protocol: “Het is niet vreemd als je het nieuwe protocol gebruikt zonder te beseffen dat je firewall niet is ingesteld op IPv6-dataverkeer. Ook als je wel weet dat dit moet gebeuren, maar vergeet om je filters opnieuw in te stellen, wordt al het verkeer blindelings doorgelaten. Gebruikers moeten hierover bij zichzelf bewustzijn kweken. Ze zouden de beveiligingsstructuur van IPv4 in hun achterhoofd moeten houden en dat hele pakket als het ware over moeten zetten naar het nieuwe protocol.”

Om je op weg te helpen met een veiliger gebruik van IPv6, noemen we hier de veiligheidsproblemen waar netwerkleveranciers het meest door hun klanten op worden gewezen:

1. IPv6-dataverkeer

Bedrijven die niet met IPv6 werken en ook niet van plan zijn er binnenkort mee aan de slag te gaan, zouden hun firewalls zo moeten instellen dat op hun netwerk geen inkomend of uitgaand IPv6-dataverkeer mogelijk is. Volgens de meeste deskundigen zal een dergelijke maatregel voor de meeste bedrijven slechts tijdelijk acceptabel zijn. Steeds meer internetverkeer wordt immers gebaseerd op het nieuwe protocol en organisaties zien er tegenop dat klanten of zakenpartners die met IPv6 werken worden geblokkeerd op hun netwerk. Tot het moment waarop het nieuwe protocol echt gemeengoed is, kunnen netwerkbeheerders problemen dus nog voorkomen zonder dat het ten koste gaat van hun bedrijfsvoering. “Netwerkbeheerders moeten nagaan of hun beveiligingssysteem of firewall IPv6-verkeer doorlaat, en deze ‘lekken’ vervolgens dichten”, aldus Tim LeMaster, manager bij netwerkleverancier Juniper.

2. IPv6-tunnels

Er zijn drie typen IPv6-tunnels – Teredo, 6to4 en het ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) – waarbij het mogelijk is om IPv6-packets in te kapselen in IPv4-packets. Die ingekapselde packets kunnen vervolgens zonder belemmering binnenkomen op een netwerk dat is beveiligd met firewalls en NAT (Network Address Translation)-toepassingen die het oude protocol accepteren. Daarom moeten netwerkbeheerders een scherp oog houden op packet-systemen die via tunnels werken, zodat ze weet hebben van de inhoud ervan. Volgens Greg Brown van McAfee zouden bedrijven weliswaar op de eerste plaats over firewalls en IPS’s (Intrusion-Prevention Systems) moeten beschikken die IPv6 ondersteunen, maar is het los daarvan noodzakelijk om volledige controle te houden over wat er via tunnels binnenkomt. Naar eigen zeggen heeft hij “traditionele IPv4-aanvallen” gezien waarbij gebruik werd gemaakt van IPv6-tunnels, om zo netwerken binnen te dringen waarbij het tunnelverkeer niet werd gecontroleerd.

3. IPv6-apparaten

De automatische configuratiemogelijkheden van IPv6 maken het voor cybercriminelen mogelijk om technieken te ontwikkelen waarbij IP-adressen worden toegewezen aan alle op een netwerk aangesloten apparaten. “Iemand met slechte bedoelingen kan bijvoorbeeld een router zo configureren dat hij IPv6-adressen aan je netwerk toewijst, zelfs zonder dat jij ervan weet”, zo legt Tim LeMaster van Juniper uit. Eric Vyncke, ontwikkelaar bij Cisco, voegt daar aan toe dat een hacker zelfs in staat is om een netwerkapparaat zo te configureren dat het zich als IPv6-router gedraagt. “Al het verkeer kan vervolgens langs de ‘kwaadaardige’ router worden geleid, zodat criminelen de data kunnen navlooien op interessante gegevens, of er op een andere manier mee kunnen rommelen”, aldus Vyncke.

4. Type 0 routing header

Deze beruchte kwetsbaarheid van IPv6 maakt denial-of-service-aanvallen mogelijk doordat hij hackers de kans biedt om de route van dataverkeer over internet te manipuleren. Het nieuwe protocol maakt het mogelijk om in de header aan te geven welke route de verstuurde data moet volgen. In theorie is dit een handige feature voor hackers, want zo kan veel data naar een bepaald deel van het netwerk worden gestuurd om er vervolgens te worden onderschept, aldus Greg Brown. Volgens hem is tot nu toe nog niet gebleken dat er gebruik van wordt gemaakt, maar “het is zeker denkbaar dat deze mogelijkheid in te toekomst door kwaadwillenden wordt toegepast”.

5. Ingebouwde ICMP en multicast

In tegenstelling tot IPv4 beschikt IPv6 zowel over een ingebouwd Internet Control Message Protocol (ICMP) als over multicast, en beide zijn kenmerkend voor de manier waarop het protocol werkt. In IPv4 konden netwerkbeheerders ICMP en multicast-verkeer volledig blokkeren, zodat werd voorkomen dat aanvallen via deze kanalen plaatsvonden. Maar bij IPv6 werkt dat anders; daarbij moeten filters van routers en firewalls worden gefinetuned om bepaald ICMP- en multicastverkeer al dan niet toe te staan. Zoals Jason Schiller van Verizon het verwoordt: “In IPv6 moet ICMP en multicast expliciet worden geconfigureerd”.

Bron: Techworld