Le déploiement d’ipv6 entraîne un accroissement des risques pour les serveurs DNS

Par Ludovic Blin, secuobs.com
Le 29/12/2005

---

Résumé : Le consultant en sécurité Van Hauser a présenté lors de Pacsec/Core05 un exposé sur la sécurité ipv6. Parmi les caractéristiques intéressantes, l’impossibilité de scanner un réseau, qui entraîne la désignation des serveurs DNS comme cible favorite des attaquants. - Lire l'article



Au mois de juillet 2004, l’ICANN a annoncé l’enregistrement du premier serveur DNS ipv6 dans les serveurs racines de l’internet et sa validation de la nouvelle génération du protocole a la base d’internet. Il devrait cohabiter avec la précédente génération, ipv4 pendant 20 ans. Si son déploiement avait déjà commencé depuis un moment dans de nombreux réseaux, notamment universitaires et quelques fournisseurs d’accès, la question se pose à présent de plus en plus. L’un des avantages importants d’ipv6 est son nombre d’adresses (quasiment) illimité, qui permettra de relier de nombreux terminaux, gens et objets à internet. Précisons que le protocole ipv4 est limité à environ 3 milliards d’adresse, une bonne partie d’entre elles étant déjà utilisées ou réservées. La transition est donc de toute manière obligatoire, ne serait-ce que pour absorber les milliards d’internautes indiens, chinois ou africain, ainsi qu’utilisateur de téléphone mobiles 3G qui vont rejoindre le réseau dans les prochaines années.

Si les principes de communications ne changent pas par rapport à ipv4, certaines caractéristiques ont des implications qui peuvent avoir des conséquences importantes, même si elles sont difficiles à mesurer

Lors de la conférence Pacsec qui a eu lieu au mois de novembre à Tokyo, le consultant en sécurité Van Hauser du groupe de hacker THC à présenté un exposé particulièrement intéressant sur la sécurité du protocole ipv6 et les changements introduits par rapport à ipv4 (exposé qui devrait être présenté également à la conférence EUsecwest en février).

Aujourd’hui, ce protocole est déjà utilisé dans l’univers underground pour s’assurer des communications plus discrètes ou même pour le déploiement de backdoors.

Des programmes tels que asybo (windows) ou 6tunnel (linux) permettent par exemple de relayer des connections. Le déploiement peut être facilité par le fait que certains firewall peuvent ne pas filtrer les paquets ipv6 par exemple.

Les capacités d’autoconfiguration du protocole peuvent également causer des problèmes de sécurité. En effet, un dispositif ipv6 peut s’assigner une adresse routable en écoutant les annonces envoyées par le routeur de son réseau en multicast (en fonction de la configuration). Cette adresse sera alors composée du préfixe du réseau et de l’adresse matérielle (MAC). Chaque terminal aura ainsi une adresse IP publique et unique. Si cette capacité n’est pas correctement configuré (par exemple sur un réseau qui supporte ipv4 et ipv6), cela peut permettre d’établir des canaux de communication furtifs.

Par contre, du fait du grand nombre d’adresses disponibles, le repérage de cible lors de tests d’intrusions deviendra beaucoup plus dur voire impossible à l’aide d’outil de scan réseau par plage d’adresse IP. En effet l’espace d’adresse sera tellement vaste qu’il en sera presque inoccupé.

Selon Van Hauser, cela devrait entraîner une augmentation des attaques sur les serveurs DNS, qui détiennent les adresses IP des systèmes dans leurs fichiers de zone. La sécurisation des serveurs DNS est donc plus que jamais à soigner dans cette optique.

Enfin, les piles ipv6 sont encore jeunes et des erreurs d’implémentation peuvent facilement entraîner des problèmes de sécurité (buffer overflow…).