IPv6

DHCP server sa stal v podstate neoddeliteľnou súčasťou IPv4 lokálnych sieti. Aká je situácia pri IPv6 LAN? Ako možno získať kontrolu nad LAN vyradením a podvrhnutím legitímneho DHCPv6 servera? DHCPv6 flood je pomerne zákerný útok, ktorý umožňuje útočníkovi po odstavení skutočného DHCP servera prideľovať vlastné sieťové parametre, a tak veľmi elegantne a účinne prevziať kontrolu nad celou sieťou.

Môže byť postupne silnejúci DDoS útok, ktorý zneužíva podvrhnutie IP adries efektívne zorganizovaný aj na IPv6 LAN? Primárnym cieľom je zahltiť cieľovú stanicu sieťovou prevádzkou natoľko, že nebude na danej sieti prístupná. Útočník zahájením počiatočného útoku s malým množstvom zdrojov môže docieliť nevyžiadanú produkciu obrovského množstva sieťových paketov ďalšími stanicami na sieti... Ako budú na túto udalosť reagovať operačné systémy?

Protokol IPv6 a jeho použitie na lokálnych sieťach prináša nové funkcionality a prvky, ktorých primárnou úlohou je zvýšiť efektivitu a bezpečnosť. Tieto mechanizmy však nie vždy slúžia pre účel, na ktorý boli primárne navrhnuté. Dôkazom je i problém zneužitia mechanizmu Duplicate Addresss Detection – DAD (Detekcia duplicitných adries). Tento mechanizmus môže viesť i k DoS útoku. Článok prakticky poukazuje v čom spočíva problém a aké hrozia riziká.

Útok zneužíva spôsob, akým niektoré operačné systémy akceptujú všetky ICMPv6 Router Advertisement (RA) pakety typu 134. Útočník tak môže IPv6 LAN sieť zaplaviť stovkami falošných RA paketov za sekundu. Na tento útok však nie sú náchylné všetky operačné systémy. Zraniteľnými sú primárne systémy Windows, naopak s útokom sa dokáže vysporiadať systém Linux.

Kontrolovať sieťovú prevádzku smerujúcu z lokálnej siete do vonkajšieho prostredia je cieľom mnohých útočníkov. Rovnako ako protokol IPv4 aj protokol IPv6 trpí na lokálnych sieťach závažnými bezpečnostnými úskaliami, ktoré si mnohí prevádzkovatelia neuvedomujú, alebo im nevenujú dostatočnú pozornosť. Tento článok poukáže na princípy útoku podvrhnutia legitímneho smerovača (Fake Router Advertisement) a popíše riziká, ktoré prináša.

V mojich predchádzajúcich článkoch sme často zmieňovali informáciu o tom, že protokol IPv6 nebude potrebovať pre preklad IP adresy na linkovú adresu sieťový protokol ARP. Tento fakt skutočne platí. Avšak mechanizmus mapovania IP adries na adresy linkovej vrstvy za použitia protokolu IPv6, trpí žiaľ taktiež bezpečnostnými medzerami umožňujúcimi potenciálne útoky typu Man in the middle (MITM).