Une question ? Contactez notre standard : 01 41 91 58 61 - Un incident de sécurité ? Faites-vous assister : 01 47 28 38 39

IPv6 et la sécurité : nouvelles du front – octobre

par | Oct 18, 2012 | Recherche et Développement, Veille Sécurité

Conférences

Keith O’Brien, Distinguished Engineer chez Cisco, a effectué une présentation lors de la conférence HTCIA : IPv6 Introduction and Implications on Network Security. La dernière partie « IPv6 and Security » fournit un état de l’art de diverses techniques d’attaque et de défense (Cisco essentiellement) avec IPv6. Voici les thèmes abordés :

  • IPv6 and Network Recon
  • You Are Probably Already Running IPv6
  • Attacking Stateless Address Autoconfiguration with Rogue RA
  • Attacking Neighbor Discovery with NDP Spoofing
  • Exhausting the Neighbor Cache
  • Extension Headers and Firewalling
  • Transition Threats
  • Implications for LE

Lors de la conférence BruCON, Fernando Gont a effectué une présentation : Recent Advances in IPv6 Security. Comparé à sa précédente présentation lors de la conférence Just4meeting (voir le billet du mois de juillet), il n’y a pas de grandes différences :

  • il détaille légèrement plus le problème des atomic fragments ;
  • il aborde le problème des solutions de VPN non compatibles avec IPv6 : dans une telle situation, le trafic risque d’utiliser IPv6 et de ne pas passer par le VPN ;
  • il présente plus en détail sa suite d’outils IPv6 Toolkit.

À Hack in the Box, Marc Heuse a effectué une présentation intitulée IPv6 Insecurity Revolutions. Bien que peu détaillées, les slides sont très intéressantes et abordent les sujets suivants :

  • la situation actuelle ;
  • des vulnérabilités :
    • DoS par RA flood sur Windows, Netscreen, BSD et Mac OS ;
    • DoS par NS flood sur Windows, Solaris, Mac OS et BSD ;
    • DoS par fragmentation sur Avira Personal Firewall ;
    • contournement du filtrage par fragmentation sur Zyxel ;
    • contournement du filtrage par l’ajout d’EH sur Cisco ;
  • des méthodes de cartographie :
    • utilisation de la base du RIPE NCC ;
    • utilisation des annonces BGP ;
    • utilisation de la nouvelle version de l’outil alive6 ;
    • énumération DNS inverse ;
    • extraction d’informations DNS.

 

Outils

Une nouvelle version de la suite d’outils THC-IPv6 a été publiée : la version 2.0. D’importantes améliorations ont été apportées à plusieurs outils.

 

Vulnérabilités

Marc Heuse a étudié l’impact d’un flood de RA ou NS sur plusieurs systèmes d’exploitation. Sa dernière présentation, IPv6 Insecurity Revolutions (voir ci-dessus), et un mail sur la mailing-list oss-sec, IPv6 DOS vulnerabilities, présentent les résultats :

  • un flood de NS entraîne une très forte charge CPU sur plusieurs systèmes : Windows, FreeBSD et NetBSD ;
  • un flood de RA contenant des informations sur plusieurs routes entraîne aussi une très forte charge CPU (Windows) ou perturbe de façon importante la pile IPv6 (FreeBSD, NetBSD et Mac OS).