Brucon 2009 IPv6 Security
Ugye szépen kifogyunk a v4 címekből:
Tehát jön a megváltó
IPv6. Fix fejléc méret, de opcionális kiegészítő fejléccel (cseber-veder?), hosszú, 128 bites címek (öröm lesz őket megjegyezni), viszont a fix fejlécet nem tartalmaz ellenőrzőösszeget (checksum), így a TTL (v6-ban Hop Limit) simán csak eggyel csökkenthető és már továbbítható is a csomag.
Maximális v6 csomagméret 4 MB. Tehát kvázi egyben el lehet küldeni egy teljes multipart (több részes, maga a HTML oldal, képek, JavaScript, CSS, stb.. egymás után, a bináris dolgok base64 kódolva általában) HTTP választ.
Előny még, hogy elvileg v6-on már gyakorlatban is jó ötlet lesz a multicast, pl. egy youtube mozit elkezdesz nézni, a youtube közli, hogy akkor csatlakoz az XY multicast csoporthoz, a géped szól a routerednek, az a következőnek, az is a következőnek, amíg nem találnak a sorban egy olyat, amelyik már tagja a csoportnak, és kapja a jóságot a youtube-tól. (Így ugye nem kell kétszer-sokszor elküldenie a mesét a tecsőnek, mert a routerek szétosztják az anyagot.)
Elvileg a hatalmas kiosztott blokkok miatt az ISP-k ténylegesen egy prefix alá húzhatják a szénájukat, így egyértelműbb lesz, hogy melyik IP blokk, melyik ISP/AS (autonomus system), ami a BGP táblák méretén óhajt enyhíteni.
Aztán a videóból összefoglalva a veszélyeket:
- blacklistek, whitelistek felejtős (fülenként jut több milliárd v6 cím)
- a v6 által implikált szuperjó IPSec csak egy mítosz, hiszen kulcs-szerverek, kulcs-kezelés nélkül nem sokat ér
- hardveres tűzfalak még nincsenek v6-ra (vagy ha vannak, túl lassúak, a talkban 1 gigabit képes v4 eszköz 80 megabitet produkált v6-on)
- a dual stack veszélyei, TEREDO, 6-to-4 (packet injection a tunneleknél)
- lusta ISP-k, elérhetetlen v6 címek, duál NAT-olás, stb. (
némelyik ISP egyszerűen nem routolja a v6 címek bizonyos harmadát, mer' csak)
- modern oprendszerekben kérdés nélkül engedélyezve van a v6
- ARP mostmár nem Ethernet alapú, hanem v6-on fut (simán spoofolható, poisonolható, DoS-olható)
- DHCP helyett Router Discovery (man-in-the-middle attack triviálissá válik)
- jut elég IP mindenkinek, így a NAT-oló routerek feleslegesekké válnak, viszont az okos, könnyen finomhangolható tűzfalakra egyre inkább szükség lesz.