IPv6 en security is een discussie apart. Tegenstanders willen graag laten zien hoe onveilig IPv6 is en de voorstanders hoe veilig. Maar hoe staat het er dan mee? In deze blog bespreek ik waar je op moet letten als je met IPv6 aan de slag gaat vanuit een security oogpunt. Ik heb al eens eerder een blog geschreven over dit onderwerp. Toen ben ik in gegaan op IPSec en IPv6 (http://www.ngn.nl/ngn?waxid=456849346 ). Nu wil ik graag een andere kant toelichten

Tunnels

Tijdens het ontwerpen van IPv6 hebben ze nagedacht over hoe je IPv6 zou kunnen transporteren over een IPv4 netwerk. De verwachting was namelijk dat je IPv6 zou gaan gebruiken terwijl er nog netwerken op IPv4 zitten. Om IPv6 over IPv4 te transporteren hebben ze een aantal tunnel protocollen bedacht. Dit zijn tunnel protocollen die automatisch een tunnel maken vanaf een IPv6/IPv4 host naar een IPv6 router. Je kunt hierbij denken aan protocollen zoals 6to4, ISATAP en Teredo. Het is harstikke mooi dat deze tunnels automatisch gemaakt worden, maar daarin zit nu juist een security risico. Zijn deze tunnel technieken geactiveerd op een server of werkstation, dan loop je het risico dat er automatisch een tunnel gemaakt wordt naar een router op internet. Als je Firewall IPv6 niet snapt en het gewoon doorlaat heb je dus een groot security gat. Iemand vanaf het internet kan nu zo een connectie maken naar een server of werkstation. Dit verkeer gaat over IPv6 heen en wordt niet gecontroleerd door de firewall. Het is dan zelfs mogelijk om deze server of werkstation in te zetten als router en op die manier de gehele interne netwerk bloot te stellen aan het internet. De meeste moderne operating systems hebben deze tunnels geactiveerd. Dus zonder dat je iets doet maak je gebruik van een deze tunnels. In mijn 6to4 testje (http://www.ngn.nl/ngn/weblogs/martijn-bellaard/6to4-test-on-yammer/?waxtrapp=wpvnhpBsHyoOtvOXEGSZ) zag ik dat al snel 50% van alle providers een 6to4 router hebben. Nu kun je natuurlijk al deze tunnels uit gaan zetten, maar sommige technieken maken juist gebruik van deze tunnels. Denk hierbij aan DirectAccess.

Exploit

IPv6 wordt nog niet zoveel gebruikt. IPv6 is dus ook nog niet zo door en door getest/gebruikt als IPv4. Als IPv6 gebruikt gaat worden zullen hackers juist proberen om over IPv6 een aanval in te zetten. Ze zullen hierbij gebruik gaan maken van IPv6 als transport media. Zo krijgen we straks SPAM binnen over IPv6 in plaats van over IPv4. Veel DNS Black List providers hebben namelijk nog geen ondersteuning voor IPv6. IPv6 is default Nu is een snelle oplossing om IPv6 uit te zetten, maar voor alle Windows versies vanaf Vista is IPv6 een onderdeel van de TCP/IP(IPv6) stack. Je kunt IPv6 nooit helemaal uitzetten en daarnaast is IPv6 ook standaard de voorkeurs protocol. (http://technet.microsoft.com/en-us/library/bb878108.aspx )

Wat nu?

IPv6 op zichzelf is niet insecure (of secure). Dat wordt bepaalt door de manier waarop we het gaan inzetten. Je moet gaan nadenken hoe je omgaat met de tunnel technieken, hoe je de firewall moet instellen, hoe je IPv6 configureert op je server en werkplekken. Wat tips:

• Zet de tunnels uit op servers, je wil niet dat ze spontaan tunnels opbouwen naar het internet.
• Zorg dat je gebruik maakt van firewalls die IPv6 snappen, of in ieder geval blokken.
•  Vraag bij alles wat je aanschaft voor ICT of het IPv6 ondersteunt en of er support is voor IPv6. Op die manier ga je leveranciers scherp houden.
• Ontwerp en implementeer IPv6, dan ben jij in controle van het IPv6 verkeer en niet andersom.