Säkerhetsimplikationer vid IPv6-införandet
(Snabbkurs i ipv6 för den som är frågande finns här)
Även om man inte tror att man infört ipv6 på sitt nät så finns det där iallafall. Numera stöds ipv6 av de flesta operativ: windows (ok från vista och uppåt), linux, macos, *bsd m.fl. Om man inte routar ipv6 så tunnlas trafiken ofta som standard såvida man inte explicit stängt av detta. Dessutom kan de få för sig att erbjuda tjänsten åt omgivningen.
Från början troddes ipv6 kunna bli säkrare än ipv4, exempelvis genom införandet av ipsec, men detta har bakåtporteras till ipv4 och man kan antagligen säga att ipv4 och ipv6 är ungefär lika säkra, men på olika sätt.
Några saker att observera vid införandet:
Ipv6 är relativt nytt och produkter är otestade. Det kan därför finnas säkerhetshål som ännu inte upptäckts, möjligen fler än under ipv4.
Privacy extension (rfc2941): De lägsta 64 bitarna i adressen är normalt MACadressen för interfacet. Med 'privacy extension' påslaget så skapas en ny adress med vissa interval och gamla tas bort så snart de ännu inte används. Detta gör att det kan bli mycket svårt att spåra trafik, vilket förstås är avsikten med p.e., men ur en organisations synpunkt kan det ofta vara oönskat. Av denna anledning kan det finnas anledning att inte tillåta p.e.
Tunnling: detta kan ske på flera olika sätt: exempelvis via
SIT (6to4): ipv4 protokoll 41
Teredo: udp, ofta port 3544.
IPSec NAT-T (udp 4500).
Vill man ha kunna ha kontroll över trafiken är det därför sannolikt lika bra att införa ipv6 så snart som möjligt.
Autokonfigurering: Routrarna meddelar genom 'router advertisements' att de kan routa trafik. Ofta kombinerar man detta med DHCPv6 så att den senare tillhandahåller DNSinfo etc. En illvillig person kan låta sin maskin agera router och så autokonfigurera maskiner på nätet och så orsaka MITM eller DOS. Motmedel mot detta är att använda RA Guard (rfc6105) eller (framöver) SEND (rfc3971). RA Guard är försedd med vissa svagheter.
Brandväggar: ofta behöver dessa konfigureras separat för ipv6. Har man inte gjort detta kan nätet, trots paranoida ipv4regler, vara vidöppet.
Till skillnad från ipv4 är icmp-v6 en integrerad del av protokollet och kan inte spärras ohämmat utan att trafiken hindras.
Välkända adresser: Säg att en maskin har ipv4-adressen a.b.c.d. För 6to4 kan de då få ipv6-adressen 2002:a.b.c.d::a.b.c.d, alternativt 2002:a.b.c.d::1. Båda dessa alternativ gör maskinen onödigt lätt att scanna.
Gamla routrar: Kan ha stöd för type0 RH. Denna är 'deprecated' sedan 2007, men om det finns: stäng av! Kan man ge explicita rötter kan man annars ge exvis låta trafiken cirkulera, vilket inte är så bra.
En möjlig ipv6-policy
'Privacy extensions' är icke tillåtet. Det ska vara möjligt att spåra vilken maskin som gjort vad.
Maskiners ipv6-adress ska vara registrerad i DNS (?)
Tunnlad trafik är inte tillåten. Trafik ska gå via ordinarie ipv6-förbindelse.
Protokoll 41 (SIT) blockas i gränsrouter.
UDP 3544, 4500 blockas i gränsrouter (?)
IPv6-konnektivitet mot en institution öppnas först då ansvarig meddelats och godkänt anslutningen.