Articles publiés
Yoann Queret a écrit un article dans son blog où il y fait un « petit tour d’horizon de la prise en charge de l’IPv6 » dans la nouvelle version d’Ubuntu, la version 12.04 LTS. Une importante modification est apportée à la pile IPv6 puisque la RFC 4941 est désormais prise en compte par défaut. Ainsi, les adresses IPv6 ne sont plus générées à partir de l’adresse MAC, mais aléatoirement.
Fernando Gont a rédigé un draft intitulé « Security Implications of IPv6 on IPv4 networks ». Il y explique rapidement les risques apportés par le support natif d’IPv6 et par les mécanismes d’encapsulation v4/v6. Il détaille surtout comment filtrer les tunnels 6to4, ISATAP, Teredo et 6over4. Ses explications restent théoriques et ne sont liées à aucune technologie.
Conférences
Une conférence sur IPv6, organisée par IKT-Norge, a eu lieu à Oslo les 24 et 25 avril. Certaines présentations ont abordé le sujet de la sécurité avec IPv6.
Henrik Strøm, Head of IT Security et CERT manager chez Telenor, a présenté « IPv6 – Attacker’s perspective ». Il résume en quelques diapositives les risques liés à IPv6 ainsi que les contremesures qui peuvent être prises. Voici ses conclusions :
- IPv6 peut être sécurisé, mais il est nécessaire d’y travailler
- La sécurité n’est ni incluse, ni activée par défaut
- Il y a beaucoup de problèmes de sécurité auxquels il faut faire face
- Il devient encore plus important de surveiller les journaux et d’analyser le trafic réseau
- Les grands segments réseau sont toujours une mauvaise idée
- IPv6 peut être utilisé par un attaquant même si les utilisateurs et applications légitimes ne l’utilisent pas
Eric Vyncke, CTO/Consulting Engineering et Distinguished Engineer chez Cisco, a effectué deux présentations. La première est intitulée « IPv6 security; myths and realities ». Il présente les différentes attaques sur IPv6, ainsi que les technologies Cisco permettant d’y remédier. Il conclut avec les éléments suivants :
- Il n’y a rien de vraiment nouveau avec IPv6
- Le manque d’expérience avec IPv6 pourrait réduire le niveau de sécurité pendant un moment, des formations sont indispensables
- Il est possible de maintenir le niveau de sécurité (le trafic IPv6 peut être contrôlé comme le trafic IPv4)
- Il faut réserver l’utilisation d’IPsec à certaines situations
Sa deuxième présentation est intitulée « Layer-2 insecurities of IPv6 ». Les attaques affectant un réseau local (niveau 2) y sont présentées ainsi que les méthodes, Cisco principalement, pour s’en prémunir : rogue RA, SeND, CGA, RA-Guard, NDP spoofing, etc. Voici les éléments de la conclusion :
- Sans sécurité au niveau 2, il n’y a pas de sécurité aux niveaux supérieurs
- La principale menace est les rogues RA
- Il existe des méthodes de protection (isolation des hôtes, SeND et techniques SAVI-based)
- Pour se prémunir contre le remplissage des Neighbor Cache, il faut utiliser une bonne implémentation ou une configuration particulière associée à des ACL
- Des solutions implémentant ces techniques existent
Lors de la conférence ATHCON 2012, George Kargiotakis a effectué une présentation intitulée « Are you ready for IPv6 insecurities ? ». Après un rappel sur IPv6 , il présente les attaques possibles. Voici une partie du plan de la présentation :
- IPv6 Security Considerations
- IPv6 Security Hype
- IPv6 Common Local Attacks
- Fragmentation Issues
- Remote Network Scanning
- Local Network Scanning
- IDS / Firewalling
- OS Support
- IPv6 Migration Security
- Scanning IPv6 Internet
Point intéressant, George Kargiotakis a effectué un test montrant que la plupart des FAI ont les services Telnet ou SSH de leurs routeurs accessibles en IPv6, mais pas en IPv4. 40 % des routeurs testés ont un de ces services accessible en IPv6, contre 10 % en IPv4.
Vulnérabilités
Une vulnérabilité (CVSS Base Score 2,6) affectant les produits Mozilla (Firefox, Thunderbid et SeaMonkey) et permettant de contourner certains contrôles d’accès a été découverte : MFSA2012-28, CVE-2012-0475. Cette vulnérabilité est cependant difficile à exploiter : il faut qu’une requête de type cross-site XHR ou WebSocket soit ouverte sur un port Web non standard sur un serveur Web utilisant une adresse IPv6 d’une forme particulière (deux champs consécutifs de seize bits doivent être à zéro).
Une autre vulnérabilité (CVSS Base Score 7,1) affectant les produits Cisco IOS 15.1 et 15.2 a été publiée : CVE-2012-1324. Cette vulnérabilité permet de crasher un équipement en envoyant un paquet IPv6, si l’équipement possède une configuration particulière.
Une vulnérabilité (CVSS Base Score 6,8) affectant Windows Server 2008 R2 et Windows 7 a été publiée : MS12-032, CVE-2012-0179. Cette vulnérabilité permet d’élever ses privilèges en exploitant un problème lors de l’affectation d’une adresse IPv6. Un échec de l’exploitation de cette vulnérabilité fait crasher l’équipement.