“Als je je netwerk niet monitort op IPv6-verkeer, wordt de IPv6 pathway een gemakkelijke route voor aanvallen”, zegt Tim LeMaster, hoofd system engineering van de federal groep van Juniper. “Wat netwerkbeheerders niet begrijpen is dat ze een gebruiker kunnen hebben die IPv6 op zijn machine draait, waarna iemand kwaadaardig verkeer naar die host kan sturen zonder dat ze het weten.”

Veel netwerkbeheerders zien dat verkeer niet, omdat hun firewalls zich niet bewust zijn van IPv6-verkeer en omdat ze geen intrusion detection systemen hebben, of netwerk beheertools. Bovendien wordt IPv6-verkeer getunneld over IPv4 connecties en dan lijken het gewone IPv4 pakketten, tenzij de organisatie beveiligingsmaatregelen heeft getroffen waarmee het verkeer in tunnels kan controleren.

Het zit wel op je netwerk

Over minstens de helft van de netwerken gaat IPv6 verkeer waar de beheerders niet van weten. Maar hackers weten dat wel”, zegt Yanick Pouffary, technology director van de Noord-Amerikaanse IPv6 Task Force. “Je kunt IPv6 niet negeren. Je zult minstens stappen moeten ondernemen om je domein te beveiliging. Je hebt firewalls nodig die zowel IPv4 als IPv6 begrijpen. Je hebt netwerk beheertools nodig die zowel IPv4 als IPv6 begrijpen.”

“Al denk je niet aan IPv6, het zit wel op je netwerk”, zo stemt Dave West, hoofd system engineering van Cisco daarmee in. “Je hoeft IPv6 niet te zien als belangrijk voor je business, maar je draait het toch op je netwerk, of je het nou leuk vindt of niet.”

Niet goed begrepen

IPv6 is de langverwachte upgrade van het internet communicatieprotocol IPv4. IPv6 heeft veel meer adressen, ingebouwde beveiliging en verbeterde ondersteuning voor streaming media en peer2peer applicaties. IPv6 is al meer dan 10 jaar beschikbaar, maar het wordt maar langzaamaan geïmplementeerd. Maar nu verwacht men dat de IPv4 adressen tegen 2011 op zullen zijn, dus wordt de druk om met IPv6 aan de slag te gaan steeds groter.

De dreigingen die uitgaat van IPv6 wordt niet goed begrepen, maar ze komen tegenwoordig wel prominenter op de agenda te staan. Zo werden de IPv6-gebaseerde aanvallen in juni nog besproken op een bijeenkomst van het Amerikaanse National Security Telecommunications Advisory Committee, een industriegroep die het Witte Huis adviseert over beveiliging.

“We zien best wel veel command en control verkeer over IPv6”, zegt Jason Schiller, senior Internet network engineer van Verizon. “Hackers maken gebruik van IPv6 om onder de radar te blijven. We zien veel botnetwerken waarvan het command en control over IPv6 gaat. We zien ook veel illegale filesharing dat gebruik maakt van IPv6 voor peer2peer communicatie.”

Geen noodzaak voor een upgrade

Ongeleid IPv6 verkeer is een opkomend gevaar voor netwerkbeheerders. Het grootste risico geldt organisaties die hebben besloten om nog even te wachten met IPv6, omdat ze geen noodzaak zien voor de upgrade. En laten de meeste bedrijven nou juist in die categorie zitten.

IPv6 komt op je netwerk doordat de meeste besturingssystemen – onder andere Windows Vista, Windows Server 2008, Mac OS X, Linux en Solaris – IPv6 standaard aan hebben staan. Netwerkbeheerders moeten het zelf uitzetten op elk apparaat dat ze installeren in hun netwerk. Anders kunnen deze apparaten het IPv6-verkeer toch versturen en ontvangen.

Mensen die er kijk op hebben zeggen dat de meeste netwerkbeheerders waarschijnlijk zullen vergeten om de settings op een aantal desktops, servers of mobiele apparaten op hun netwerk te veranderen. Bovendien hebben de meeste organisaties alleen firewalls en beheertools die zijn toegerust voor IPv4-verkeer. Het IPv6-verkeer wordt dus geen strobreed in de weg gelegd.

“De meest voorkomende IPv6-gebaseerde aanval gaat via apparaten aan de rand van je netwerk die dual stack zijn, wat betekent dat ze IPv4 en IPv6 naast elkaar draaien. Als je alleen een IPv4 firewall hebt, dan kun je IPv6 hebben draaien tussen je netwerk en de aanvaller”, zegt Klein. “De aanvaller gaat recht door je verdediging heen via IPv6 en daarna ligt je netwerk helemaal voor hem open.”

De tunnels van IPv6 over IPv4 zijn al helemaal gevaarlijk. De enige manier waarop netwerkbeheerders IPv6-apparaten kunnen ontdekken, is door zelf IPv6 te draaien. En zelfs dan is het nog moeilijk om de IPv6-tunnels te ontdekken. “Misschien ben je in staat om de drie toptunnels te vinden, maar niet alle sub-tunnels”, zegt Klein. “Je kunt IPv6 tunnelen over http over IPv4. Hoe denk je dat je dat gaat vinden?”

Klein zegt dat hij gemiddeld twee keer per maand wordt gebeld door organisaties die last hebben van dit IPv6-verkeer. “Een van onze Honeypots is een botnet tegengekomen dat alleen IPv6-verkeer gebruikt bij zijn aanvallen”, zegt hij. “Het verborg zichzelf als IPv4 door onze router en ondertussen was het bezig met het aanvallen en controleren van een botnet in het Verre Oosten.”

Blokkeren of implementeren

De experts zijn het er niet over eens of netwerkbeheerders IPv6-verkeer moeten blokkeren. De meesten zeggen dat het verkeer moet worden geblokkeerd als een organisatie nog niet is voorbereid op IPv6. Daarvoor moeten dan wel routers, firewalls en intrusion-prevention en intrusion-detection systemen worden gebruikt die weet hebben van IPv6.

Maar het blokkeren van IPv6 is een maatregel die je niet lang kunt volhouden, omdat een groeiend aantal klanten en zakenpartners IPv6 zullen gaan ondersteunen. Een betere oplossing voor de lange termijn is beginnen met het implementeren van IPv6, zodat je beter zicht krijgt op het verkeer en zodat je meer ervaring krijgt met het protocol.

IPv6 komt er aan, zeggen de experts. De beste manier om er mee om te gaan is de uitdaging aan te gaan en dat op een zo veilig mogelijke manier te doen.

Bron: Techworld