IPv6 on jo, oletko valmis? Tiesitkö tämän tietoturvasta?

16.02.2012

Vaikka IPv6-tekniikan laaja käyttöönotto Euroopassa ja sitä kautta myös Suomessa olevan edessä vasta noin vuoden päästä, harva tietää itse asiassa käyttävänsä IPv6-tekniikkaa jo nyt. Tämä ei tarkoita, että liikennettä kulkisi IPv6-protokollan päällä Internetissä tai organisaation sisäisessä verkossa, vaan että IPv6 on oletusarvona päällä suurimmassa osassa moderneja käyttöjärjestelmiä. Ja mikä on mielenkiintoista - tämä synnyttää automaattisesti kohtuullisen kokoisen tietoturva-aukon. Tätä aukkoa on mahdollista hyödyntää suhteellisen helposti kuten seuraavassa esitän. Koska yritysverkoissa Windows-käyttöjärjestelmä on ylivoimaisessa valta-asemassa, koskevat jäljenpänä tehtävät huomiot nimenomaan sitä.

IPv6-päätelaitteiden toiminta lähiverkossa

IPv6-protokollaa käyttävä päätelaite toimii lähiverkossa hieman eri tavoin kuin IPv4-päätelaite. Olennaiset muutokset ovat:

* Kaikki lähiverkkotoiminnallisuus tehdään niin sanotun Neighbor Discovery (ND) -mekanismin kautta.

* Päätelaite saa tarpeellisen osoitetiedon tilattoman autokonfiguraation (SLAAC, Stateless Address Autoconfiguration) avulla. SLAAC toimii ND-prosessin kautta ja pystyy tarjoamaan nykyisin myös nimipalvelimen osoitteen joskin Windows-käyttöjärjestelmät eivät nykyisellään tue sitä eikä tuki näytä olevan myöskään suunnittelupöydällä.

* Lisäparametreja laitteelle voidaan antaa DHCPv6-mekanismin kautta (Dynamic Host Configuration Protocol). DHCPv6 on lähes identtinen DHCP"v4":n kanssa, ainoastaan sanomaformaatit ja -nimet ovat muuttuneet jonkin verran.

Lyhyesti kuvattuna IPv6-verkossa oleva päätelaite alustaa itsensä seuraavasti:

* Jokaiselle liitynnälle muodostetaan niin sanottu link-local -osoite käyttäen prefixiä fe80::/10 ja MAC-osoitteesta muodostettua EUI-64 -osoitetta. Käytännössä verkkokortin 48-bittinen MAC-osoite vaan laajennetaan 64-bittiseksi EUI-64 -osoitteeksi.

* Liitynnöistä lähetetään Neighbour Discovery Router Solicitation (RS) -viesti. Tällä etsitään reititintä omasta verkkosegmentistä.

* Jos reititin löytyy, lähettää se ND Router Advertisement (RA) -viestin. Tämän olennaisena osana on verkossa käytettävä globaalisti reitittyvä IPv6-prefixi.

* Päätelaite muodostaa IPv6-prefixin ja oman EUI-64 -osoitteesta perusteella varsinaisen IPv6-osoitteen, jolla se voi liikennöidä globaalisti.

* Reititin voi lisäksi ohjata päätelaitteen käyttämään DHCPv6:sta esimerkiksi nimipalvelimen tietojen kertomiseen.

Kun nimipalvelin on konfiguroitu, on laite valmis toimimaan IPv6-maailmassa.

Minulla on vain IPv4-verkko, miten tämä liittyy minuun?

Koska IPv6-maailmassa laitteella voi olla useita eri osoitteita (link-local, globaali, mahdolliset monikotisuuden kautta tulevat osoitteet, IPv4-osoite), täytyy sen jollakin tavalla pystyä valitsemaan mitä osoitetta käytetään liikennöintiin. Tätä varten on olemassa oma määrityksensä, RFC 3484 "Default Address Selection for Internet Protocol version 6". Dokumentti sanoo suoraan, että jos laitteessa on sekä IPv4 että IPv6 käytössä ja kohteeseen voidaan liikennöidä kummankin kautta, käytetään oletusarvoisesti IPv6:sta. Määrityksen mukaan siis jos laite voi käyttää IPv6:sta, se myös käyttää sitä! Tämä avaa mielenkiintoisen mahdollisuuden Man-in-the-Middle -tyyppiselle hyökkäykselle, sillä - kuten aiemmin todettu - IPv6 on automaattisesti päällä.

Ydinsanoma on siis: vaikka sinulla ei vielä olekaan IPv6 käytössä, voi olla että olet IPv6-hyökkäyksen kohteena. Jatka siis lukemista ja katso, mitä voit tehdä.

Minä kuuntelen kaiken, mitä sinä lähetät

Man-in-the-Middle -tyyppisessä hyökkäyksessä uhrin liikenne pyritään kierrättämään hyökkääjän käytössä olevan koneen kautta ilman että uhri tai vastaanottaja huomaavat asiaa muutoin kuin vähäisenä lisäviipeenä pakettien kulussa. Perinteisissä IPv4-verkoissa MinM-tyyppisiä hyökkäyksiä pyritään estämään esimerkiksi ARP Spoofing tai IP Source Guard -tyyppisillä tekniikoilla. Vaikka nämäkään eivät ole kaikissa verkoissa käytössä, ovat ne tehokkaita apuvälineitä salakuuntelun varalta. IPv6-verkossa voidaan hyödyntää saman tyyppisiä mekanismeja, mutta ongelmana on että jos IPv6 ei ole käytössä, ei mekanismejakaan ole otettu käyttöön.

Miten MinM sitten oikeastaan tehdään? Lähtökohta on varsin yksinkertainen. Tarvitaan kone, joka on kahdella portilla kiinni verkossa IPv4-laitteiden kanssa, sekä koneelle kolme toiminnallista kokonaisuutta:

* Ohjelma, joka kykenee lähettämään Router Advertisement -viestejä, eli joka matkii reititintä.

* Ohjelma, joka kykenee toimimaan DHCPv6-palvelimena nimipalvelimen osoitteen välittämiseksi.

* Ohjelma, joka kykenee välittämään liikennettä IPv6- ja IPv4-maailmojen välillä. Käytännössä tämä on niin sanottu NAT-PT (Network Address Translation - Protocol Translation). Tässä tulee olla lisäksi mahdollisuus kääntää myös nimipalvelusanomia, eli DNS ALG (Domain Name System Application Level Gateway)

Kun ohjelmat on määritelty, kone liitetään kohdeverkkoon niin että sen toinen jalka käyttää IPv6:sta ja toinen IPv4:sta. Ne voivat kuitenkin olla samassa IPv4-verkossa kiinni kumpikin. Oletetaan, että kone saa DHCP"v4":llä itselleen IPv4-osoitteen ja oletusreitittimen. Tämän jälkeen tapahtuu seuraavaa:

* Se lähettää Router Advertisement -viestiä säännöllisesti tai vastauksena päätelaitteiden kyselyyn. Tämän avulla päätelaitteet saavat IPv6-osoitteen sekä tiedon IPv6-oletusreitittimestä.

* Se lähettää päätelaitteelle tiedon IPv6-nimipalvelimesta DHCPv6-mekanismin kautta.

Näin päätelaitteella on IPv4-osoite (vanhastaan) ja IPv6-osoite (juuri annettu). Koska RFC sanoo, että IPv6 on preferoitu protokolla, päätelaite pyrkii viestimään sen kautta.

Mutta - mehän käytämme IPv4:sta (vai käytämmekö?)!

Jossakin mielen perällä tuntuu vielä siltä, että tokihan koneemme käyttää IPv4:sta - kaikki nimipalveluthan palauttavat vain IPv4-osoitteen. Ja ilman IPv6-osoitetta homma ei toimi. Mutta tässä(kin) IPv6-preferointi tulee mukaan. Kun päätelaite haluaa kääntää nimen - vaikkapa www.firma.fi - osoitteeksi, tiedustelu tehdään sekä IPv4- että IPv6- DNS-osoitteeseen. IPv4-pyyntö lähtee normaalille polulle kun taas IPv6-pyyntö tulee hyökkäyskoneelle. Se kääntää pyynnön NAT-PT:llä IPv6-muodosta IPv4-muotoon ja vastaavasti saamansa vastauksen IPv4-muodosta IPv6-muotoon. Näin uhrimme saa vastauksen sekä IPv4- että IPv6-osoitteesta.

Kun liikennettä sitten lähetetään kohti www.firma.fi -osoitetta, käytetään (preferointisäännön mukaisesti) IPv6-osoitetta. Näin liikenne kiertää hyökkäyskoneen kautta ja se on siellä tulkittavissa normaaleilla liikenteen analysointityökaluilla jos sitä ei ole erikseen salattu, kuten tilanne on esimerkiksi pankkiyhteyksillä. Mutta kaikki salaamaton liikenne näkyy suoraan hyökkääjälle.

Mitä voimme tehdä?

Ensimmäinen asia on tiedostaa, että IPv6 on todellakin jo käytössä vaikka sen käyttöönottoon ei ole tehty ensimmäistäkään toimenpidettä. Tämän jälkeen voidaan rakentaa tarpelliset suojaamistoimenpiteet.

Jos IPv6 ei todellakaan ole käytössä eikä - huolimatta sen käytön laajenemisesta piakkoin - sitä aiota vähään aikaan käyttääkään, on mahdollista poistaa se käytöstä osittain tai kokonaan. Jos käytössä on Microsoftin päätelaitehallintatyökalut, poistaminen voidaan tehdä keskitetysti. Jos ei, joudutaan määritykset tekemään käsin. Käytännössä IPv6 tulee poistaa verkkomäärityksistä. Toinen vaihtoehto on tehdä poistoa Microsoftin tukisivuston ohjeiden mukaisesti. Artikkeli 929852 "Tiettyjen IPv6 (Internet Protocol -versio 6) -osien poistaminen käytöstä Windows Vistassa, Windows 7:ssä ja Windows Server 2008:ssa" mahdollistaa esimerkiksi IPv4-osoitteiden preferoinnin IPv6-osoitteiden sijasta.

Jos kuitenkin IPv6-käyttöönotto on jo lähellä, ei sitä kannata lähteä poistamaan päätelaitteista. Tällöin on mahdollista hyödyntää verkkotason mekanismeja. Esimerkiksi pääsyoikeuslistoilla voidaan estää RA-sanomat porteista, joiden takana ei ole reitittimiä. Samoin voidaan käyttää RFC 6105 "IPv6 Router Advertisement Guard" -mekanismia, jos sellainen on implementoituna käytössä olevissa kytkimissä.

Lopuksi

Edellä on esitetty vain yksi ajatus siitä, miten IPv6-tekniikkaa voidaan käyttää väärin. Kokonaisuudessaan IPv6-tietoturva (ja tietoturvattomuus) on laaja ja nopeasti kehittyvä aihealue. Santa Monica Networksin asiantuntijat seuraavat IPv6-maailmaa jatkuvasti ja sitä kautta voimme auttaa asiakkaitamme ottamaan IPv6-tekniikan käyttöön joustavasti ja turvallisesti.

Seuraava