Эксперты сообщают о резком увеличении количества сетевых атак, которые
используют известные уязвимости протокола IPv6, модель адресации нового
поколения, которая сейчас вводится по всему интернет-пространству. IPv6 является
заменой основного коммуникационного интернет –протокола, который известен как
IPv4.
Компания Salient Federal Solutions сообщает о реальных случаях сетевых атак с
использованием протокола IPv6, которые проводятся с применением возможностей
туннелирования, маршрутизации и широковещательной рассылки DNS-запросов.
Компания утверждает, что все эти угрозы могут быть устранены при помощи
использования технологии анализа пакетов (Deep Packet Inspection, DPI).
"Мы действительно наблюдаем эти атаки, но мы, к сожалению, не можем точно
сказать, где мы обнаружим их в следующий раз", - говорит Лиза Доннан,
руководитель Центра по Улучшению компьютерной безопасности компании Salient.
Фирма Salient Federal Solutions купила компанию Command Information,
специализирующуюся на IPv6, в марте.
Первая атака, которую выделяют эксперты, является результатом того, что
большая часть IPv6 трафика туннелируется через сети протокола IPv4, в частности
с использованием механизма Teredo, который присутствует в ОС Windows Vista и
Windows 7. Уязвимость, связанная с туннелированием трафика, была обнаружена 5
лет назад, но она по-прежнему эксплуатируется.
"Туннелирование протокола IPv6 дает хакерам возможность проникать в различные
сети", - говорит Джереми Дункан, директор и один из сетевых архитекторов
компании Salient Federal Systems.
Дункан, например, обеспокоен популярным клиентом uTorrent, который использует
P2P протокол BitTorrent для обмена большими файлами (музыкой и видео). uTorrent
отлично умеет работать с Teredo, что позволяет пользователям скрывать
Bittorrent-трафик от интернет-провайдеров, которые мониторят IPv4 сети на
наличие этого трафика. Также он упоминает, что пользователи Vuze, еще одного
пирингового приложения, легко могут переключиться на IPv6 вместо IPv4.
"Пользователи BitTorrent понимают, что при работе с протоколом IPv6 не
сталкиваются с ограничениями интернет-трафика. Это становится проблемой для
операторов сети. Они не смогут понизить скорость трафика, потому что не
отслеживают его", - говорится в сообщении.
Salient Federal также сообщает об атаках с IPv6 Type 0 Routing Header,
который позволяет оператору сети самостоятельно выбирать маршрут, по которому
будут передаваться данные. Компания Internet Engineering Task Force в 2007 году
предлагала отказаться от этой особенности протокола IPv6 из-за потенциальной
возможности использования этого функционала для проведения атак на отказ в
обслуживании.
Тем не менее, компания Salient Federal сообщает о сетевых атаках с Routing
Header Type 0 в IPv6 сетях, которые она мониторит. Например, компания Command
Information отследила атаку этого типа на один из ее собственных пограничных
роутеров, который уже не функционировал. Атака происходила из исследовательской
сети в Китае. Если бы атака была успешной, китайским хакерам удалось бы
рассылать вредоносный трафик со скомпрометированного роутера компании Command
Information на другие сетевые ресурсы.
"Системным администраторам надо отключить функцию самостоятельного выбора
маршрута, по которому будут передаваться данные, в своих маршрутизаторах", -
объясняет представитель компании Salient Federal. "Эта возможность была включена
по умолчанию во всех роутерах Cisco несколько лет назад. В новых маршрутизаторах
данная функция отключена, поэтому проблема существует только в отношении более
старых версий роутеров".
Еще одна угроза касается способа обработки широковещательных DNS-запросов
записей Quad A, которые используются в IPv6. Дункан говорит, что Quad A запросы
присутствуют в каждой сети, которую наблюдает компания, хотя многие из этих
сетей даже не поддерживают IPv6.
Наличие в сети Quad A запросов предполагает поддержку IPv6 некоторыми узлами
сети, которые в результате атаки, направленной на сам протокол, также могут
стать жертвами злоумышленников. Если в сети не используется IPv6, весьма
вероятно, что системный администратор не проводит мониторинг трафика IPv6
должным, углубленным, образом.
Дункан описывает IPv4 сети, рассылающие Quad-A записи как "ружье, которое
обязательно выстрелит".
"Если компания установила маршрутизатор с протоколом IPv6, но не использует в
сети сам протокол, хакерам станет известно, что в системном администрировании
есть недостатки", - рассказывает Дункан. "Они с легкостью могут атаковать
серверы электронной почты компании потоками спама, содержащего вирусы. Все, что
им необходимо, чтобы один из пользователей, имеющий повышенные привилегии,
открыл спам-сообщение с вредоносным ПО. А вредоносное ПО сможет уже открыть
туннель через файрвол".
Представитель компании Salient Federal утверждает, что до сих пор не было
обнаружено атак с использованием Quad-A уязвимости, но возможность подобных
сетевых атак полностью исключить нельзя, что подвергает значительному риску
серверы различных предприятий.
Компания также сообщает об угрозе, связанной с анонсированием ложных IPv6
маршрутов. В "диком" виде такие атаки пока не замечены, однако IETF так же
отмечала, что такая уязвимость может использоваться для DoS или MitM атак.
Рабочие станции с поддержкой IPv6 всегда следят за анонсами маршрутов в связи
с особенностями автоматической конфигурации IPv6. Эти рабочие станции могут
получить ложные данные из-за ошибок администратора или вследствие хакерской
атаки. Эта угроза представляет опасность для пользователей как проводных, так и
беспроводных сетей.
"Компаниям необходимо развернуть патчи типа Cisco RA Guard на своих роутерах
и свичах, но потом уже надо начать думать на уровне IPv6", - говорит Дункан.
"Необходимо думать и о глубоком анализе пакетов".
Компания Salient Federal рекомендует системным администраторам при установке
IPv6 в своих сетях обеспечить надлежащую степень защиты трафика при помощи
технологии Deep Packet Inspection, чтобы иметь возможность мониторить уязвимости
IPv6.
Представители компании заявляют, что необходимо научить системных
администраторов и разработчиков работать с IPv6 и усовершенствовать систему мер
безопасности в каждой конкретной компании, работающей с протоколом. Дункан
говорит, что сетевые менеджеры получают все больше сведений о IPv6, но они не
сфокусированы на соответствующих вопросах безопасности. "Нет столько внимания
проблемам безопасности IPv6, как в случае с IPv4".
Доннан отмечает, что ее беспокойство вызвано возможными атаками американских
компаний через IPv6 из Китая. "Там существует поддерживаемая государством
хакерская активность и они очень развивают тему IPv6".
Переход на протокол IPv6 со старой версии IPv4 продиктован в первую очередь
острой нехваткой интернет-адресов в рамках IPv4. Без возможности получать новые
адреса, мелкие интернет-провайдеры, например, не смогут выдавать их своим
абонентам. Также отсутствие свободного адресного пространства помешает созданию
новых доменных зон.
IPv4 использует 32-битную адресацию и может поддерживать 4.3 миллиарда
устройств, подключенных к интернету, в то время как IPv6 работает со 128-битной
адресацией и теоретически может поддерживать работу в сети значительно большего
количества устройств. IPv6 также предлагает альтернативу более быстрого и менее
дорогостоящего доступа в интернет.
