IPv6 et la sécurité : nouvelles du front – janvier

Cet article est un résumé de l’actualité liée à IPv6 et la sécurité, dans le même esprit que celui publié le mois dernier.

Articles publiés

Rafa Sanchez publie une série d’articles intitulée « Hacking  IPv6 » traitant d’attaques réalisables sur le protocole IPv6. Trois articles sur les six de la série ont été publiés jusqu’à présent. Les articles ne présentent pas de nouvelles méthodes d’attaques mais les exemples sont détaillés et clairs.
Xavier Mertens a développé un outil pour détecter des rogues routeurs : rrhunter. Il a publié un article intitulé « rrhunter: Detecting Rogue IPv6 Routers » sur son blog détaillant l’intérêt d’une attaque « rogue routeur » et comment détecter une telle attaque.

Conférences

Fernando Gont a publié les slides de sa présentation intitulée « Hacking IPv6 Networks » utilisées lors de la conférence DEEPSEC en novembre dernier. Il y fait des rappels rapides sur l’IPv6 et un tour plutôt complet des vulnérabilités et attaques liées à IPv6 (il y a 214 slides). Le support de la présentation est très intéressant.

RFC

La RFC 6434, « IPv6 Node Requirements », a été publiée en décembre et met à jour la RFC 4294 qui datait de 2006. Cette RFC définit les éléments nécessaires à implémenter dans une pile IPv6. Concernant la sécurité, une pile IPv6 ne doit désormais plus obligatoirement supporter IPsec pour être conforme avec les RFC :
• RFC 4294 : « Security Architecture for the Internet Protocol [RFC-4301] MUST be supported. »
• RFC 6434 : « Security Architecture for the Internet Protocol » [RFC4301] SHOULD be supported by all IPv6 nodes. »

Vulnérabilités

Une vulnérabilité, CVE-2011-4868,  dans le serveur dhcpd de ISC BIND a été corrigée. Cette vulnérabilité permet de causer un déni de service en faisant planter le processus. Elle est due à une mauvaise gestion de Dynamic DNS avec des adresses IPv6 dans le mécanisme de log.