Twee weken geleden organiseerden we een prijsvraag waarin we de lezers van Security.NL vroegen wat zij wilden weten over IPv6. We hebben het geweten ook, want er is massaal gereageerd. Deze week zullen we elke dag een aantal van de interessantste vragen laten beantwoorden door IPv6 expert Iljitsch van Beijnum. Ook maken we de inzendingen bekend die het boek "Running IPv6" hebben gewonnen. Voor iedereen die z'n IPv6 kennis wil opfrissen hadden we eerder dit interview met van Beijnum.

Deel 1: Vragen en antwoorden van maandag 3 april
Deel 2: Vragen en antwoorden van dinsdag 4 april
Deel 3: Vragen en antwoorden van woensdag 5 april
Deel 4: Vragen en antwoorden van donderdag 6 april

Vraag: Is IPv6 veiliger dan IPv4?

Dat is nog eens kort maar krachtig. Alleen veronderstelt deze vraag dat er een schaal van veiligheid is die loopt van "Windows XP zo uit de doos zonder firewall" tot "Fort Knox" waarop je IPv4 en IPv6 onder zou kunnen brengen. Zo simpel is het niet. Er zijn absoluut een aantal dingen die in IPv6 een stuk beter en dus hopelijk veiliger zijn dan in IPv6. Bijvoorbeeld, door de grotere adresruimte kunnen wormen zich veel minder makkelijk verspreiden. Door controles op de hop limit kunnen ICMP-pakketten die wel op het LAN, maar niet op het internet thuishoren buiten de deur gehouden worden. Dat zoveel dingen automatisch gaan geeft weer meer risico, maar daar staat SEND (SEcure Neighbor Discovery) tegenover dat het mogelijk maakt autoconfiguratie te beveiligen (als je systeem tenminste SEND aan boord heeft). En...

Vraag: Zal dit protocol kunnen geëxploiteerd worden door de
verbeteringen/vernieuwingen die zijn aangebracht sinds ipv4 ? Zal de protocol
gemanipuleerd kunnen worden door de hacker-cultuur ?

IPv6 zit op zich wel goed in elkaar, problemen als bijvoorbeeld smurf attacks die lange tijd mogelijk waren met IPv4 zal je hier niet tegen komen. Maar omdat de IPv6-code nieuwe code is, kan het natuurlijk zo zijn dat hier nieuwe bugs in zitten die voor nieuwe beveiligingsproblemen zorgen. Wees dus voorzichtig.

Vraag: Is er een mogelijkheid om met de implementatie van IPv6 meteen de
spamproblematiek in te dammen zonder dat het huidige smtp-protocol al te
veel verandering moet ondergaan? Wat zijn hierin de aandachtspunten?

Zolang je bereid bent informatie van onbekenden te ontvangen blijf je altijd tot op zekere hoogte spam houden. Het feit dat het SMTP- protocol geen enkele vorm van authenticatie heeft waardoor een spammer er uitgebreid op los kan liegen helpt natuurlijk niet. Maar dit alles staat los van de IP-versie die je gebruikt. Het enige voordeel van IPv6 wat betreft spam is dat het niet meer praktisch haalbaar is om wormen te laten scannen op open systemen en die dan te misbruiken om te spammen. Maar open systemen zijn ook op tal van andere manieren te vinden dus veel zal het niet uitmaken.

Vraag: Het IPv6 protocol stelt dat voor de Authentication Header de (verouderde) MD5 en SHA-1 Hash algoritmes ondersteunt moeten worden. Blijf je niet het probleem houden, dat bij welke beveiliging je ook voor IPv6 vast legt, deze altijd (te snel) veroudert zal raken?

Je doelt hier op IPsec, waarbinnen je weer AH (Authentication Header) en ESP (Encapsulating Security Payload) hebt, en daaronder weer verschillende hashing- en encryptie-algoritmen. Op het moment dat IPsec gestandaardiseerd werd is MD5 has hashing-algoritme in de standaard opgenomen om te zorgen dat twee IPsec-implementaties altijd een algoritme gemeen zouden hebben. Dat wil niet zeggen dat je verplicht bent een algoritme dat intussen als onveilig beschouwd wordt daadwerkelijk te gebruiken: als je wilt kan je één of meer nieuwe algoritmen gebruiken en MD5 uitschakelen om een "bidding down attack" te voorkomen.

De laatste winnende vraag:

Vraag: Wat zijn nu (naast IPSec ipv SSL) de grootste security verbeteringen t.o.v.
IPv4. Ranges zijn minder duidelijk, en de uitgaande HOP limit is mooi, maar
In hoeverre zijn bijvoorbeeld firewalls goed compatible met IPv6. Linuxes kennen ip6tables, maar hoe zit dit bijvoorbeeld ook met MAC en windows systemen.

In hoeverre zijn de web-services veilig in te stellen met IPv6 voor alle verschillende OS-en. Veel software (nee, niet apache, postfix of wat anders) zijn juist alleen specifiek geschreven voor IPv4 implementaties, hoe zit het met dit soort services als straks IPv6 de standaard is en IPv4 verdwijnt? Moeten er dan ook tunnels gecre-eerd worden, en kunnen dan alleen mensen met een IPv4 tunnel deze services bereiken?

Let op dat het niet zo is dat IPsec in IPv6 SSL in IPv4 vervangt. Zowel IPsec als SSL zijn beide toepasbaar in IPv4 en IPv6. IPsec heeft als voordeel dat ook het TCP-deel beveiligd wordt waardoor een aanvaller de sessie niet kan verbreken. Maar voorlopig heeft IPsec nog te veel (handmatige) configuratie nodig om SSL te kunnen vervangen.

Op de Mac heb je standaard ip6fw, de IPv6-versie van ipfw aan boord. In Service Pack 2 van Windows XP zit enige firewallfunctionaliteit. Ik geloof dat die ook op IPv6 van toepassing is, maar de manier waarop dit alles werkt in Windows is me te onduidelijk om daar iets definitiefs over te kunnen zeggen. Overigens ben je in BSD en Linux beter af met PF, dit is één van de weinige firewall/filtersystemen die IPv4 en IPv6 tegelijk aankunnen.

Programma's die geschreven zijn voor de socket API moeten aangepast worden om met IPv6 te kunnen werken. Dingen die in Java of voor een andere hogere taal/API geschreven zijn werken in sommige gevallen wel zonder aanpassingen met IPv6. Je kan echter vrij makkelijk een IPv4- service in IPv4 beschikbaar maken via NAT-PT, "bump-in-the-stack" of "bump-in-the-API". Het probleem zit 'm meer bij de clients: zolang die geen IPv6 kunnen blijf je toch IPv4 nodig hebben.

Met dank aan Iljitsch van Beijnum voor het beantwoorden van al deze vragen