Articles publiés
Johannes Ullrich a publié un article sur le blog de l’Internet Storm Center : SSL: Another reason not to ignore IPv6. L’article détaille une conséquence que pourrait avoir IPv6 sur la configuration SSL de certains serveurs Web. Le postulat initial est qu’un serveur Web a été rendu accessible en IPv6 en mettant en place un proxy, et non en attribuant directement une adresse IPv6 au serveur Web. Une telle configuration nécessite d’utiliser deux certificats SSL : un sur le serveur Web pour les connexions IPv4 et l’autre sur le proxy pour les connexions IPv6. Par conséquent, il est nécessaire de maintenir à jour les deux certificats, ce qui n’est pas toujours le cas (l’auteur mentionne le site www.socialsecurity.gov comme exemple qui possède un certificat valide en IPv4, mais pas en IPv6).
David Braue a publié un article sur le site www.cso.com.au : AusCERT 2013: Companies unaware of IPv6 security risk even if they’re not using it. L’article, sans rentrer dans les détails techniques, présente notamment les risques induits par IPv6 : insertion d’une passerelle par défaut et création d’un réseau non monitoré, insertion d’un faux serveur DNS, etc. Ces risques sont présents même lorsqu’IPv6 n’a pas été explicitement activé.
Libor Polčák a publié un article sur le site 6lab.cz : Behaviour of various operating systems during SLAAC, DAD, and ND. L’article contient les résultats d’une étude sur le comportement de plusieurs OS lors de la mise en œuvre de SLAAC. 20 OS ont été étudiés, un tableau récapitulatif est présent et les fichiers pcap issus de l’étude sont disponibles.
Le CERT de Hong Kong a publié deux guides sur IPv6 :
Ces guides ne sont pas exhaustifs, mais contiennent divers liens pour le lecteur voulant approfondir les thématiques abordées.
Johannes Weber a publié sa thèse : IPv6 Security Test Laboratory. Les 189 pages abordent de manière très complète les vulnérabilités d’IPv6. Voici le plan :
- IPv6 Speci cation
- IPv6 Security Vulnerabilities
- Laboratory & Security Tests
- Future Work
Conférences
Fernando Gont a effectué une présentation lors de la conférence CONFidence : IPv6 Network Reconnaissance: Theory & Practice. Les slides présentent diverses techniques utilisables pour scanner des réseaux IPv6. Les slides sont claires et traitent notamment des sujets pas ou peu abordés par la communauté jusqu’à maintenant : de nouvelles statistiques sur les mécanismes utilisés pour créer les adresses sont fournies, l’idée d’utiliser les fichiers de configuration et de log pour obtenir des informations sur des adresses IPv6 est évoquée…
Fernando Gont et Marc Heuse ont effectué une présentation lors de la conférence IPv6 Kongress : Security Assessments of IPv6 Networks and Firewalls. Les slides présentent les résultats de tests menés sur plusieurs pare-feu : contournement des règles de filtrage sur Fortinet, déni de service sur Cisco… Plusieurs slides sont aussi consacrées aux adresses IPv6 : outil d’analyse, statistiques, techniques de scan…
Vulnérabilités
Une vulnérabilité (CVSS Base = 7,1) a été découverte dans AIX (CVE-2013-3035). Un paquet IPv6 spécialement conçu peut faire crasher un équipement AIX. Les correctifs ont déjà été fournis par IBM.
