[AfrICANN-discuss] Hackers target IPv6

Joseph Mandjolo josemandjolo at ocpt.cd
Mon Dec 5 14:48:53 SAST 2011


Hackers target IPv6

Les entreprises ont besoin d'être conscient de la vulnérabilité cachée IPv6

Par Susan Perschke, Network World
28 novembre 2011 06:10 HE

Si votre stratégie IPv6 est de retarder la mise en œuvre aussi longtemps
que vous le pouvez, vous devez toujours répondre aux préoccupations de
sécurité IPv6 dès maintenant.

Si vous envisagez de déployer l'IPv6 dans une configuration dual-stack avec
IPv4, vous n'êtes toujours pas décroché quand il s'agit de sécurité. Et si
vous pensez que vous pouvez simplement désactiver l'IPv6, cela ne va pas
voler non plus.

La plus grande menace imminente de sécurité réside dans le fait que les
réseaux d'entreprise ont déjà des tonnes d'appareils compatibles IPv6, y
compris tous les appareils fonctionnant sous Windows Vista ou Windows 7,
Mac OS / X, tous les périphériques sous Linux et BSD.

Et contrairement à son prédécesseur, le protocole DHCP pour IPv4, IPv6 sans
état ne nécessite pas de configuration manuelle. Cette auto-configuration
sans fonction, activée par défaut dans la plupart des systèmes
d'exploitation, signifie que «IPv6 appareils sont simplement en attente
d'un annonce de routeur simple de s'identifier sur le réseau», explique
Eric Vyncke, Distinguished Engineer chez Cisco Systems Systèmes et co -auteur
du livre «La sécurité IPv6."

Il avertit que «IPv4 uniquement les routeurs et les commutateurs ne
reconnaissent pas ou répondre aux annonces dispositif d'IPv6, mais un
routeur IPv6 voyous pouvaient envoyer et d'interpréter ce trafic."

L'auto-configuration permet à tout appareil compatible IPv6 pour
communiquer avec d'autres périphériques réseau et les services IPv6 sur le
même LAN. Pour ce faire, l'appareil annonce sa présence et se trouve via
l'IPv6 Neighbor Discovery Protocol (NPD).

Mais elle n'était pas maîtrisée, NPD peut être un peu trop de bon
voisinage, éventuellement exposer les dispositifs d'attaquants désireux de
glaner des informations sur ce qui se passe à l'intérieur du réseau, ou
même en tenant l'appareil lui-même pour être repris et transformé en un
"zombie".

Vyncke affirme que la menace est réelle. "Nous avons observé dans le monde
entier que les robots sont d'accroître leur utilisation de l'IPv6 comme un
canal caché pour communiquer avec leurs botmaster». Parmi ses nombreux
déguisements, IPv6 logiciels malveillants peuvent prendre la forme d'une
charge utile malveillante encapsulé dans un ou plusieurs messages IPv4. Sans
mesures de sécurité IPv6 spécifiques telles que l'inspection approfondie
des paquets, ce type de charge utile peut passer à travers le périmètre
IPv4 et défenses DMZ inaperçue.

ENVOYER (Secure Neighbor Discovery) est la solution IETF pour Layer-2
menaces telles que IPv6 voyous RA et l'usurpation du NPD, qui équivalent à
IPv4 menaces appelé DHCP voyous et de l'ARP spoofing. Certains fournisseurs
OS soutien envoient, tandis que d'autres, notamment Microsoft et Apple,
n'en ont pas.

Cisco et l'IETF est en train de mettre en œuvre les mécanismes de sécurité
de même pour IPv6 qui sont actuellement utilisés pour protéger contre ces
menaces IPv4.

L'IETF a un. Groupe de travail SAVI (validation d'adresse source) et Cisco
met en œuvre un plan en trois phases visant à moderniser son IOS qui a
débuté en 2010 et seront entièrement mises en œuvre par quelque part en
2012, selon le type de commutateur

Vyncke note que certains des risques les plus communs de sécurité IPv6 sont
accidentellement créé par une mauvaise configuration de l'utilisateur final
périphérique sur le réseau, et que la configuration appropriée et de
mesures de sécurité IPv6 permettrait d'éliminer nombre de ces risques.

"La réponse à ce type de problème est de déployer l'IPv6 natif, et de
protéger le trafic IPv6 au même niveau et contre les mêmes types de menaces
que vous avez déjà de défendre en IPv4», explique Vyncke.

Le mythe IPSec

Il ya une perception commune que l'IPv6 est nativement plus sécurisé que
IPv4, car en charge IPSec est obligatoire dans IPv6. «C'est un mythe qui a
besoin d'être démystifié», dit Vyncke.

Il souligne que, outre les difficultés pratiques liées à la mise en œuvre à
grande échelle du protocole IPSec, le contenu de IPSec encapsulé le trafic
devient invisible pour périphériques (routeurs / commutateurs / firewalls),
interférant ainsi avec leurs fonctions de sécurité importantes.

Pour cette raison, Vyncke, qui est également un membre actif de l'IETF et
l'auteur de la RFC 3585, rapporte qu'un groupe de travail IETF envisage une
modification qui ferait en charge IPSec «recommandé» plutôt que
«nécessaire» dans les implémentations d'IPv6.

En ce qui concerne IPv6 invalidante, Vyncke dit que c'est une mauvaise idée
pour deux raisons. One, Microsoft a déclaré que la désactivation de l'IPv6
sur Windows 2008 constitue une configuration non prise en charge. Et Vyncke
dit essayer de désactiver l'IPv6 est une tête-de-sable-stratégie qui
retarde l'inévitable et pourrait faire de la sécurité pire parce que les
périphériques compatibles IPv6 vont être apparaître sur le réseau qu'il le
veuille ou non.

Renforcer la dynamique

Les menaces de sécurité côté, il ya une analyse de rentabilisation
croissante pour IPv6 qui devient plus difficile de balayer sous le tapis. Les
banques et les courtiers en ligne font déjà face au défi de perdre la
communication avec les clients internationaux dont les réseaux ne
supportent plus l'IPv4.

Des entreprises comme Telefonica et T-Mobile IPv6 sont embrassant dans une
grande manière, surtout pour leurs bases européennes. Et le gouvernement
américain, qui n'a cessé de migrer vers l'IPv6, réclame à grands cris pour
les prestataires et fournisseurs à fournir des produits plus IPv6 et des
services.

«Vous ne voulez jamais être dans une position où vous ne pouvez pas
interagir avec vos clients», affirme Keith Stewart, directeur des produits
Brocade Communications Systems livraison Applications. Néanmoins, le
partage de l'opinion la plus répandue parmi les fournisseurs de réseau,
Stewart voit une migration progressive vers IPv6.

"Une mise à niveau de gros à travers l'Internet IPv6 n'est ni pratique ni
efficace», dit Stewart. «Les clients ont besoin d'une approche équilibrée
et pratique." Il note que les fournisseurs de services, qui consomment
adresses plus vite que n'importe qui d'autre, sont en première ligne pour
les mises à niveau IPv6, suivie par les hébergeurs de contenu (Google et
Facebook), et enfin les utilisateurs finaux, dont la maison routeurs sont
encore 99%, basé sur IPV4.

Lorsque Brocade nécessaire pour passer à l'IPv6, il a fallu les
équilibreurs de charge existants et tourné sur la traduction IPv6 pour les
services au public, la préservation de la connectivité IPv4 sur le réseau
interne. "La pile du public est le plus important. Choisissez un petit
projet où vous pouvez faire une analyse de rentabilisation pour communiquer
avec les clients IPv6. Lors de la construction hors de votre prochaine
série de services, la demande que ce double pile capable ou traduction
capables d'anciens IPv4 architectures . Cela vous permet de bâtir une
entreprise orientée ROI que vos équipes acquérir une compétence avec IPv6.
Toute transition devrait être conçu pour être transparent pour
l'utilisateur final », dit Stewart.

Juniper Networks rapporte que jusqu'à présent, la majorité de ses clients
demandant des services IPv6 sont des secteurs de l'éducation et du
gouvernement, plus précisément laboratoires de recherche universitaires et
les unités gouvernementales qui cherchent à se conformer aux mandats
fédéraux IPv6.

Juniper prévoit une activité accrue d'IPv6 pour 2012, notamment chez les
fournisseurs de services. «IPv4 épuisement des adresses devient un problème
important pour nos clients du monde entier», explique Alain Durand,
directeur du génie logiciel, plate-forme et la Division des systèmes CTO du
groupe. Même ainsi, Durand s'attend à ce que la plupart des déploiements
IPv6 seront plus petits projets mis en œuvre avec le protocole IPv6 comme
un «add-on» (dual-stack) pour IPv4 existante services au public. «Pour
faire face à la pénurie croissante d'adresses IPv4, les clients ont
toujours la possibilité d'ajouter une autre couche de NAT", explique Durand.

Bien qu'il n'y ait aucun moyen de prédire avec certitude combien de temps
exactement il faudra attendre toutes les adresses IPv4 sont épuisés, les
statistiques quotidiennes compilées par Geoff Huston, chief scientist chez
APNIC, sont fréquemment citées comme une source fiable. Modèle de Huston,
qui est basé sur les sources de données publiques tirées de données
publiées par l'IANA et les Registres Internet Régionaux, prédit
l'épuisement complet de tous les autres adresses IPv4 non attribuées en
2014.

Cependant, il est important de noter que le modèle de Huston ne tient pas
compte des adresses qui peuvent être détenus par des organisations privées
pour un usage futur ou de la vente. Par exemple, il ne serait pas facteur
de plus de 600.000 adresses IPv4 récemment acquis par Microsoft en vertu de
son acquisition d'actifs faillite de Nortel. Bien qu'il soit prudent de
supposer que IPv4 suffisante adresses seront disponibles à court terme,
beaucoup prédisent coûts augmenter à mesure que diminue l'offre.

Sans établir les meilleures pratiques pour l'IPv6, les gestionnaires de
réseau de nombreux ont été réticents à agir. Mais avec l'augmentation des
menaces de sécurité et les préoccupations concernant la perte de
communication avec les clients qui sont déjà migrer vers IPv6 uniquement
les systèmes, en attendant que d'autres vont d'abord et ne rien faire en
attendant la position n'est pas la «position neutre» qu'il n'y paraît.

La phase de planification est un bon temps pour établir ou rétablir des
liens avec un vendeur de réseau de confiance qui peut fournir
l'architecture et les conseils de sécurité, avec des solutions évolutives
pour un large éventail d'options de migration.

Perschke est co-propriétaire de deux sociétés de services informatiques
spécialisée dans l'hébergement web, SaaS (nuage) le développement
d'applications et la modélisation et l'intégration de SGBDR. Susan a
également la responsabilité exécutive pour la gestion des risques et la
sécurité du réseau au centre de ses entreprises »de données. Elle peut être
atteint à susan at arcseven.com.

Avec nos meilleures salutations

-- 
*Joseph MANDJOLO MUSH*
*Chef de Service Qualités des Services
Assistant Technique et Maintenance
projet gestion nom de domaine .CD*
*SCPT/DRC*
*Mobile: +243 9 98 42 91 25
            +243 89 80 86 263
B.P. 1130 Kinshasa 1
e-mail: josemandjolo at ocpt.cd
          josemandjolo at hotmail.com*
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.afrinic.net/pipermail/africann/attachments/20111205/10d8a586/attachment-0001.htm


More information about the AfrICANN mailing list