IPv6 et la sécurité : nouvelles du front – avril

Articles publiés Eric Vyncke a publié un article dans lequel il présente des méthodes pour bloquer les tunnels IPv6 : « Can we block all IPv6 tunnels in our enterprise network? ». Il commence par un rappel en disant que les tunnels peuvent être utilisés pour contourner les mécanismes de filtrage et qu’il y a des rumeurs comme quoi des botnet sutiliseraient de tels tunnels. Principalement basées sur les technologies Cisco, voici ses propositions pour bloquer les tunnels IPv6 :

  •  Pour les tunnels 6to4 et ISATAP, il suffit de bloquer le protocole 41 avec une ACL (Access Control List)
  • Pour les tunnels Teredo, basés sur UDP, la technologie FPM (Flexible Pattern Matching) peut être utilisée, car elle permet de créer des règles de filtrage suffisamment précises (analyse du contenu du datagramme UDP)
  • Enfin, il est aussi possible de désactiver ces tunnels sur les postes de travail en modifiant la configuration de Windows (http://support.microsoft.com/kb/929852)

Un article intitulé « Example::IPv6:firewall:ruleset » a été publié par Ferry. C’est un exemple de configuration de pare-feu Cisco pour les flux IPv6. Il peut être utilisé comme base de travail lors de la mise en place d’un tel pare-feu. Keith O’Brien a écrit un script permettant de tester une pile IPv6 et de savoir si elle est vulnérable à certaines attaques (six tests permettant de tester six attaques sont effectués par le script).

 

Conférences

Fernando Gont a donné une conférence à Hackito Ergo Sum : « Recent Advances in IPv6 Security » où il y présente ses dernières recherches dans le domaine de la sécurité d’IPv6, présentées en six parties :

  • « IPv6 Addressing » : Actuellement, les mécanismes permettant de générer une adresse IPv6 ne sont pas optimaux : soit ils facilitent les scans de réseau, soit ils rendent plus difficile l’administration du SI. Fernando Gont propose donc une nouvelle méthode pour générer une adresse. Celle-ci changerait à chaque fois qu’un hôte changerait de réseau.
  • « IPv6 Fragmentation & Reassembly » : Le présentateur a effectué des tests pour savoir si les systèmes d’exploitation utilisent des fragments ID prédictibles ou s’ils traitent correctement les atomic fragments. Le résultat est que la plupart des systèmes d’exploitation n’acceptent pas les overlapping fragments mais certains ne traitent pas correctement les atomic fragments. Le draft draft-ietf-6man-ipv6-atomic-fragments indique comment une pile IPv6 devrait traiter ces atomic fragment.
  • « IPv6 First Hop Security » : Dans le draft draft-gont-6man-nd-extension-headers, Fernando Gont propose d’interdire la fragmentation avec les messages Neighbor Discovery. Cela permettrait d’avoir des mécanismes efficaces de surveillance de ce type de message. Il a aussi participé à la rédaction du draft draft-gont-6man-ra-guard-implementation qui donne des conseils pour filtrer efficacement les messages Router Advertisment.
  • « IPv6 Firewalling » : Le draft draft-gont-6man-oversized-header-chain propose des solutions facilitant le filtrage des paquets IPv6.
  • « Mitigation to some Denial of Service attacks » : Le draft draft-gont-6man-ipv6-smurf-amplifier proposant une méthode permettant de limiter les risques d’attaques du type Smurf.