Kan angripe IPv4 gjennom IPv6

ISS advarer at hackere kan utnytte IPv6 til å angripe IPv4-nett, og anbefaler å være føre var.

29. nov. 2005 - 12:45

Versjon 6 av Internett-protokollen, populært kalt IPv6, har vært i på vei i mange år allerede. Selv om det er langt igjen før den erstatter dagens IPv4, er den stadig mer utbredt, særlig fordi det meste av dagens nettutstyr og infrastrukturprogramvare er klargjort for også å håndtere IPv6. Det finnes videre en rekke overgangsordninger som gjør det mulig for de to å sameksistere.

I sin kvartalsrapport X-Force Threat Insight Quarterly for tredje kvartal i år, tar sikkerhetsselskapet Internet Security Systems (ISS) opp utfordringen som sameksistens mellom IPv4 og IPv6 stiller i forhold til IT-sikkerheten.

Hovedhensikten med IPv6 er å øke tallet på disponible IP-adresser til fire milliarder ganger flere enn i IPv4, og samtidig gjøre det enklere å administrere adresseområdene. Dette gir en rekke fordeler som også bedrer sikkerheten – blant annet ved å gjøre det praktisk talt umulig å skanne adresseområder effektivt.

Hovedkonklusjonen i kvartalsrapporten til ISS er at overgangsordningene mellom IPv6 og IPv4 er godt kjent i internasjonale hackermiljøene, og at de kan brukes til å angripe nettverk der systemadministratorer ikke har satt seg tilstrekkelig godt inn i hva ordningene innebærer.

ISS peker for eksempel på at isolerte IPv6-steder kan opprette tunneler inn i IPv4-nett, selv om IPv4-nettet ikke er satt opp med tanke på støtte til IPv6. Dersom sikkerhetsinfrastrukturen i IPv4-nettet ikke er satt opp med tanke på å overvåke eller hindre IPv6-baserte angrep, er det i praksis forsvarsløst overfor et distribuert tjenestenektangrep fra IPv6-stedet. Ifølge ISS, er få snokvarslere satt opp slik at de kan følge med på IPv6-trafikk.

Nettverkutstyr som er tilpasset IPv6 kommer som regel innstilt med denne tilpasningen enten påslått, eller eksternt påslagbar nærmest uten eksplisitt kontroll, advarer ISS. Følgelig vil IPv6-kyndige hackere forholdsvis enkelt kunne bane seg vei inn i IPv4-nett, uten å bli oppdaget. Da vil de kunne legge opp en IPv6-bakdør som heller ikke vil oppdages med mindre sikkerhetssystemet er eksplisitt innrettet på IPv6.

Derfor er det, ifølge ISS, «kritisk at administratorer tar seg tid til å forstå og legge opp støtte» for IPv6. Kvartalsrapporten kommer med en rekke anbefalinger for hvordan dette bør gjøres, slik at IPv6, i stedet for å utgjøre en trussel, bidrar til å øke vernet slik meningen faktisk er.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.