IPv6 et la sécurité : nouvelles du front – décembre

Articles publiés

Jérôme Durand, Consultant Routing & Switching, a publié un article sur le blog Cisco Réseaux : J’ai testé pour vous: IPv6 First Hop Security. Après une description du lab mis en place pour l’article, l’auteur présente les fonctions First Hop Security de Cisco tout en donnant des exemples de configuration et des scénarios permettant de tester ces configurations. L’article aborde de façon claire les technologies First Hop Security que sont IPv6 RA Guard, IPv6 DHCP Guard, IPv6 Binding Identity Guard et IPv6 Source Guard.

WatchGuard a rendu publiques ses prévisions 2013 sur la sécurité. On y retrouve IPv6 : WatchGuard prédit une hausse des attaques liées à IPv6 et que le manque de prise en compte d’IPv6 va ouvrir des portes aux attaquants.

Fernando Gont a publié 2 documents traitant de la sécurité de NDP :

Le premier est un draft de l’IETF et aborde de manière très complète (62 pages) les possibilités d’attaques en exploitant des fonctionnalités de NDP. Ce document ne s’intéresse qu’à l’aspect théorique, tandis que le deuxième présente des exemples pratiques permettant de mettre en œuvres les attaques. Les exemples sont basés sur la suite d’outils IPv6 Toolkit.

Michael Messner, Senior IT Security Consultant chez Integralis Deutschland GmbH, a écrit un article dans lequel il détaille un scénario de test d’intrusion dans un environnement IPv6 : IPv6 Pen Testing. Il utilise uniquement l’outil Metasploit et déroule le scénario suivant : scan d’hôtes (modules ipv6_multicast_ping et ipv6_neighbor), scan de ports (module tcp), recherche de vulnérabilité (module telnet_encrypt_overflow) et exploitation de vulnérabilité (module telnet_encrypt_keyid). Même si toutes les phases du scénario ne sont pas spécifiques à IPv6, l’article est intéressant et montre que Metasploit est fonctionnel dans un environnement IPv6.

 

Conférences

Lors de la conférence gogoNET LIVE! 3, Joe Klein, Cyber Security Principal Architect chez QinetiQ, a effectué une présentation : IPv4 vs. IPv6 The Shifting Security Paradigm. Il commence par présenter quelques généralités sur la cyber sécurité et les modèles de défense puis compare les modèles de confiance entre IPv4 (confiance dans les réseaux) et IPv6 (confiance dans les nœuds). Il aborde ensuite le sujet de la découverte de nœuds en IPv6 et finit par recenser 15 possibilités mises à disposition par IPv6 pour sécuriser un réseau.

 

Outils

Un outil, encore au stade de PoC, a été publié par Daniel Garcia et Rafael Sanchez : topera. Il permet d’effectuer des scans de ports qui ne sont pas détectés par le NIDS Snort.

Le nouveau noyau Linux le 3.7 supporte désormais le NAT avec IPv6. Bien que l’utilisation du NAT est généralement déconseillée, c’est un mécanisme qui pourrait être utile lors de tests d’intrusion. Par exemple, certaines attaques ne permettent d’intercepter les flux réseau que dans un seul sens (Rogue RA et ICMPv6 Redirect). Ajouter un mécanisme de NAT permettrait d’intercepter les flux dans l’autre sens également.

La version 2.1 de la suite d’outils THC-IPv6 est sortie. 4 nouveaux outils sont disponibles : dnssecwalk, firewall6, fake_pim6 et ndpexhaust26. Diverses améliorations ont aussi été apportées aux outils existants.

 

Vulnérabilités

ISC BIND est vulnérable a une attaque par déni de service (crash du daemon) qui intervient lors de la mise en œuvre du mécanisme DNS64 : AA-00828, CVE-2012-5688 (CVSS Base = 7.8). Des mises à jour corrigeant la vulnérabilité sont disponibles.

Une vulnérabilité dans le noyau Linux a été découverte : CVE-2012-4444. La façon dont sont traités les overlapping fragments en IPv6 peut permettre de contourner des règles de filtrage. Une mise à jour corrigeant la vulnérabilité est disponible.