IPv6 et la sécurité : nouvelles du front

Depuis plusieurs années, Intrinsec s’intéresse à l’IPv6 et à l’impact de ce protocole sur la sécurité des systèmes d’information. Face aux demandes et pour anticiper celles à venir, nous intensifions notre travail dans ce domaine.

C’est pourquoi nous publierons régulièrement des articles traitant de l’actualité en rapport avec l’IPv6 et son impact sur la sécurité. Voici le premier de cette série d’articles.

Articles
 publiés

Fernando Gont a publié un article traitant de l’impact d’IPv6 sur les pare-feu : IPv6 firewall security: Fixing issues introduced by the new protocol. L’idée principale est qu’il est plus compliqué et couteux en ressources d’analyser un paquet IPv6 qu’IPv4. Cela est principalement dû au fait qu’il faut analyser tous les Extension Header avant de pouvoir obtenir des informations sur le protocole de couche 4 – transport. Les technologies de transition IPv4/IPv6 apportent aussi leur lot de complications. Par conséquent, il y a potentiellement plus de possibilités de déni de service et d’évasion sur les pare-feu.

Marc Heuse a mis à jour le diaporama qu’il avait présenté au IPv6-Kongress en mai dernier : IPv6: Vulnerabilities, Failures – and a Future ?. Il fait une rapide introduction à IPv6 puis un tour des attaques propres à IPv6 et enfin un retour sur l’attitude des vendeurs face aux vulnérabilités liées à IPv6.

Un article, intitulé Hackers target IPv6, faisant un point sur l’état du déploiement d’IPv6 à l’heure actuelle et l’impact sur la sécurité a aussi été publié.

Vulnérabilités découvertes

La vulnérabilité CVE-2011-2059 permet d’identifier la présence d’un routeur Cisco. Cette vulnérabilité a pour origine l’ajout d’une fonctionnalité surprenante :

« Back in 2003, a Cisco Technical Assistance Center (TAC) engineer made a very simple request: […] it would be nice to have a way to generate (within Cisco IOS itself) an IPv6 packet that, when received by a Cisco IOS device, would be punted to the CPU and out of the CEF path. This was indeed considered useful, and was hence implemented […] within Cisco IOS. » (source)

Outils

thc-ipv6 est une suite d’outils permettant de réaliser des attaques sur le protocole IPv6. Marc Heuse a annoncé que la prochaine version sera publiée entre mars et mai 2012. Il n’y aura plus qu’une seule version et non deux, l’une publique et l’autre privée, comme c’est le cas actuellement.

Image

Pour finir cet article avec une note d’humour (source) :

IPv6 keyboard