- Door
- Jeroen Mulder
- geplaatst op
- 2 april 2014 08:00 uur
“Dit rapport bevat een hoop kwetsbaarheden.” TNO windt er geen doekjes om: de kwaliteit van securitytesten met betrekking tot IPv6 ten opzichte van IPv4 laat flink te wensen over. In opdracht van het ministerie van Economische Zaken deed TNO onderzoek naar de beveiligingsrisico’s in de implementatie van IPv6. Niks te vroeg, zo luidt het oordeel in reacties op de publicatie.
Het rapport is bedoeld als basis voor een dergelijke securitytest. Het biedt een overzicht van de mogelijke kwetsbaarheden binnen een IPv6-implementatie. Voor iedere kwetsbaarheid wordt een omschrijving van het probleem en een oplossing gegeven. Ook wordt een testmethode weergegeven waarmee kan worden vastgesteld of de kwetsbaarheid aanwezig is en wordt beschreven welke (open source) tools en parameters voor de test gebruikt kunnen worden. Dat levert een rapport van 42 pagina’s op waaruit het beeld ontstaat dat IPv6 op het gebied van security nog niet volwassen is. ’t Is wel taaie kost en eigenlijk alleen bedoeld voor securityspecialisten en netwerktechnici met een behoorlijke dosis kennis van IPv4 en IPv6.
Sommige bevindingen zijn bekend. Bijvoorbeeld het feit dat IPv6 geen NATting toestaat. In IPv4 werd NAT nog wel eens als een goedkope Firewall-variant gebruikt, maar bij IPv6 zal er echt geïnvesteerd moeten worden in goede firewalls aan de randen van het netwerk. Probleem is eigenlijk vooral dat beheertools domweg nog niet klaar zijn voor het nieuwe protocol. Vooral tunneling in IPv6 vormt nog steeds een groot risico, omdat IPS-producten de tunnels in IPv6 ‘niet zien’. Juist deze wetenschap maakt het voor kwaadwillenden eenvoudig om via tunnels ongemerkt binnen te komen op IPv6-netwerken.
Het rapport besteedt verder veel aandacht aan het probleem met extension-headers. Als deze in de implementatie niet goed worden gedefinineerd en gerouteerd, ontstaat het risico dat de headers letterlijk firewalls en gateways overspoelen met verzoeken: de basis van DDoS-aanvallen. Hoewel het rapport leest als een opsomming van allerlei mogelijke problemen, is het stuk bedoeld als ‘handleiding’ om de kwetsbaarheden op te sporen en om instellingen van netwerkapparatuur goed te regelen. Dit wordt gedaan met penetratietesten: tot nu toe was een handleiding niet beschikbaar. Volgens TNO wordt met de publicatie uiteindelijk de ‘schade van toekomstige cyberaanvallen’ verminderd.
[advpoll id=”3″ title=”Vraag van de dag” width=”100%”]