Gyurkity Péter

Biztonsági kockázat az IPv6

Bár a legtöbb helyen még nem használják, egyre több operációs rendszer engedélyezi alapesetben az új technológiát. Ennek köszönhetően a hackertámadások is eredményesek lehetnek, a védelem pedig sokszor hiányzik.

Erre figyelmeztetett a HOPE (Hackers on Planet Earth) konferencián Joe Klein, a Command Information szakembere. Véleménye szerint az Internet Protocol 6 számos esetben egyelőre kizárólag biztonsági kockázatot jelent, mivel otthoni gépeken és vállalati hálózatokon is engedélyezve van, miközben a felhasználóknak fogalmuk sincs erről - ezért aztán a megfelelő védelem is hiányzik ezen rendszerekről.

A hackerek, internetes támadók számára ez persze megkönnyíti a célba érést, amire korábban volt már példa. Elsősorban a kormányzati rendszereket fenyegeti a veszély, de a vállalatok sincsenek biztonságban, mivel a szükséges megoldások jó néhány helyen egyszerűen nincsenek kiépítve. A hagyományos IPv4 esetében természetesen megtalálható a vírusirtó, tűzfal és egyéb kiegészítő védelem, ám ez nem akadályozza meg az alapesetben engedélyezett IPv6 elérésen keresztüli adatforgalmat, az esetleges behatolásokat. Márpedig egyre több operációs rendszer engedélyezi ennek használatát, így például a Windows Vista is így jár el.

Arra már egészen korán volt példa, hogy a behatolók a meglévő IPv4 kapcsolaton keresztül jutottak be a megcélzott rendszerbe, ahol első dolguk volt egy új IPv6 elérés beüzemelése. Ez történt 2002-ben is, amikor az aktív védekező megoldás (packet sniffing) segítségével azt ugyan meg tudták állapítani, hogy méretes adatforgalom irányul egy másik országba, azt azonban nem sikerült megfejteni, hogy a forgalom pontosan mit is takar.

Ezen a linken bárki ellenőrizheti nyitva felejtett elérését - amennyiben az IPv6 teszt oldalát nem nyitja meg a böngészi, a kapcsolat nem áll rendelkezésre.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • turul16 #17
    2 eve mar olvastam ilyet.
  • Vorpal #16
    "Ha beleovasol a cikkbe láthatod milyen egyszerü módszert vázol fel az IPv6 kiaknázására - áttelepitit a forgalmat"

    ugye én ugyanezt irtam - az áttelepitett erre értendő - az előző kérdésem viszont nem erről szólt
  • Kheller #15
    "Ez esetben viszont nem igaz az, hogy a fél világ állt át"

    Az egy nagy baromság. Gyakorlatilag elhanyagolható az ipv6 elterjedtsége.
    De ennek semmi köze az oprendszerek ipv6 támogatásához, az már sokéve az összes elterjedt rendszeren készen van. A routerek és egyéb hálózati eszközök azok amik nem állnak készen, másrészt valós igény sincs rá. Mindaddig amig nat mögött vállalati gépek tizezreit lehet egyetlen ip cim mögé rakni, nem különösebben sürgős a v6-ra állás cégek szintjén, egy rakás problémát felvet miközben olyan problémát old meg ami perpill egyáltalán nem zavarja a cégeket, tehát nincs túl nagy értelme bevezetni. Szerintem reálisabb, hogy ha majd tényleg elfogy az v4-es cimkészlet, de olyan szinten, hogy a szolgáltató nem tud majd adni szabad fixip-t, akkor majd ott ("kivül") bevezetik miközben a vállalati hálózatok vigan ellesznek még évekig nat mögött.
  • Turdus #14
    Ez esetben viszont nem igaz az, hogy a fél világ állt át. Ugyanis már évek óta alapkonfig az összes UNIX-ban is (Mac, Linux, stb.). Ki nem állt akkor még át?!? Minek paráztatják hát a jónépet, hogy gond lesz belőle? Simább lesz, mint a Y2K...
  • Turdus #13
    "a meglévő IPv4 kapcsolaton keresztül jutottak be"

    Tehét nem IPv6 biztonsági rést használtak ki.
  • Turdus #12
    "a meglévő IPv4 kapcsolaton keresztül jutottak be"

    tehát NEM az IPv6-ot törték.
  • Turdus #11
    jogos, az kavart meg hirtelen, hogy IPv6 címzésnél ha IPv4-et akarsz címezni, akkor ffff-et kell elé írni, ami ugye 2^16-on. De abszolute jogos.
  • Kheller #10
    "Pontosítsunk: a winfost leszámítva mindenki. "

    el vagy tévedve. a win-be 8 évvel ezelőtt került az első ipv6 stack, letölthető kiegészitőként, utána már a telepitő tartalmazta. (még xp-ben is alapból benne volt, pedig hol van az már)
  • Vorpal #9
    "a meglévő IPv4 kapcsolaton keresztül jutottak be a megcélzott rendszerbe, ahol első dolguk volt egy új IPv6 elérés beüzemelése."

    "Ha te nem mondod meg expliciten, hogy IPv6-ot kérsz, akkor nem fogsz olyan címre érkező csomagokat kapni."

    Jólvan elfogadom - és ez a 2 miért nem egyezik ha a hacker explicit kér Ipv6 ot?
  • waterman #8
    őő biztos hogy a címtartományon csak 65535szörös növekedés van? mert ugye ipv4 2^32 (32 bit) mennyiségű kiosztható cím, míg ipv6 az 2^128 (128 bit) kiosztható cím. a wiki hansonlatával élve ez annyit tesz, hogy minden embernek ma a földön (6,5 milliárddal számolva) fejenként lehetne 5*10^28 ip címe (~2^95 cím fejenként!)
    IPv6 angol wikipedia
    egy kép a wikiről szintén csak a szemléltetés kedvéért:


    de ha azt nézzük, hogy az ipv6os cím két részből áll: 64 bitnyi alháló prefix plusz 64 bitnyi host címzésre, akkor sem csak 65ezerszer nagyobb a címezhető tér lévén 2^32 és 2^64 en közötti különbség 4 294 967 296-szoros, (4 milliárd. ennyi a ma címezhető összes ip), akkor is elég nagy a különbség.