IPv6 et la sécurité : nouvelles du front – mars

Articles publiés

Stéphane Bortzmeyer a effectué un exposé sur la sécurité d’IPv6 à l’ESGI (École Supérieure de Génie Informatique). Les slides et la vidéo de l’exposé sont disponibles ici. Différents impacts d’IPv6 sur la sécurité y sont abordés, sans rentrer dans le détail.

Une série de quatre articles a été publiée sur le blog Un informático en el lado del mal :

Les articles détaillent un scénario d’attaque utilisant IPv6 pour intercepter des flux dans un réseau IPv4. Le scénario est basé sur l’annonce d’un routeur IPv6 et sur de la translation NAT64/DNS64. Cette attaque est implémentée dans l’outil Evil FOCA, non disponible publiquement pour le moment.

L’ISC (Internet Storm Center) publie ce mois-ci une série d’articles concernant IPv6 : IPv6 Focus Month. Ils ne sont pas tous orientés sécurité, mais des sujets tels que le filtrage ou le fuzzing sont tout de même abordés.

Cisco a publié un document sur les protections de niveau 2 disponibles sur les équipements Cisco : IPv6 First Hop Security (FHS). Le PDF contient notamment cinq schémas permettant de comprendre très rapidement l’intérêt des protections.

 

Conférences

Lors de la conférence Troopers, Antonios Atlasis a effectué une présentation intitulée IPv6 Extension Headers – New Features, and New Attack Vectors. Il y présente le résultat de ses recherches sur les Extension Headers et sur la façon dont les systèmes d’exploitation et IDS les interprètent. Il conclut que les EH peuvent être utilisés pour de l’OS fingerprinting pour créer des canaux cachés, pour évader les pare-feux et pour évader les IDS, « at least yet ». Les scripts qu’il a utilisés lors de ses recherches sont disponibles ici.

Enno Rey a aussi effectué une présentation lors de Troopers : DESIGN & CONFIGURATION OF IPV6 SEGMENTS WITH HIGH SECURITY REQUIREMENTS. Il fournit des axes à suivre permettant de renforcer la sécurité d’un réseau IPv6 : limitation du nombre d’adresses par interface, limitation des « requêtes NDP », suppression des messages Router Advertisement, etc.

 

Outils

Une nouvelle version de la suite d’outils IPv6 Toolkit a été publiée, la version 1.3.3. Cette mise à jour mineure ajoute l’option –tgt-known-iids à l’outil scan6 et permet de vérifier la présence d’un hôte au sein d’un réseau, à partir de son Interface ID.

 

Vulnérabilités

Marc Heuse a rendu publique une vulnérabilité sur la mailing-list Full Disclosure : Remote system freeze thanks to Kaspersky Internet Security 2013. Envoyer des paquets IPv6 spécialement conçus à destination d’un hôte où est installé Kaspersky Internet Security 2013 permet de freezer l’hôte en question. Kaspersky a depuis mis à jour son logiciel.