IPv6 et la sécurité : nouvelles du front – septembre

Nouvelles publications

IPv6 for Managers d’Enno Rey, article publié sur le blog Insinuator

Cet article traite de la façon dont Enno Rey présente IPv6 à des managers pour les faire prendre conscience qu’il est temps de commencer la transition vers IPv6. Des slides sont aussi fournies.

Evasion of High-End IDPS Devices in the Age of IPv6 d’Antonios Atlasis et Enno Rey, présentation effectuée lors de la conférence Black Hat

Les slides de la présentation détaillent des méthodes permettant de contourner des IDS (Suricata et Tipping Point) en manipulant les Extensions Headers d’IPv6 : utilisation de multiples fragments, fragmentation et modification de la valeur du champ Next Header dans certains paquets uniquement, etc.

IPv6 insecurities on “IPv4-only” networks de  Frank Herberg, article publié sur le blog SWITCH Security Blog

L’article présente succinctement trois scénarios d’attaques possibles utilisant IPv6 dans un réseau IPv4-only :

  • Rogue IPv6 router attracts traffic
  • Attacker bypasses IP based access control
  • Client bypasses firewall with IPv6 tunnel

À la fin de l’article, on trouve quatre questions à se poser pour savoir si notre réseau est à risque :

  • Do you see IPv6 traffic on your network? (Monitoring)
  • Are you sure your firewalls filter (tunnelled) IPv6 traffic?
  • Do you have enough knowledge about IPv6 and its specific attacks to detect them?
  • Do you rely on IP-based ACLs – which are ineffective for IPv6?

Nouvelles vulnérabilités

CVE-2014-3353 (Cisco IOS XR Software Malformed IPv6 Packet Denial of Service Vulnerability)

  • Produit affecté : Cisco IOS XR
  • Impact : déni de service (CVSS Base Score = 7,1)