NSA publiceert aandachtspunten voor beveiliging IPv6-netwerken
Inzet van tunneling, translatie, SLAAC en multihoming afgeraden
De implementatie van IPv6 vraagt extra aandacht voor de beveiliging van computernetwerken. Dat geldt in het bijzonder tijdens de overgangsfase waarin we nu zitten, met het gebruik van dual-stack en andere IPv4-IPv6-transitiemechanismen. Zo waarschuwt de Amerikaanse veiligheidsdienst NSA in hun 'IPv6 Security Guidance'.
De bestaande beveiligingsmethoden voor IPv4 verschillen volgens de auteurs niet fundamenteel van de methoden die benodigd zijn voor IPv6, en kunnen (met eventuele aanpassingen) ook daar ingezet worden. Extra risico's zitten volgens hen dan ook vooral in nieuwe IPv6-netwerken en tijdens de IPv4-IPv6-overgang met zijn ingewikkelde transitiemechanismen. De oorzaak daarvan ligt vooral bij onvolwassen IPv6-configuraties en beveiligingsgereedschappen en een gebrek aan ervaring bij netwerkbeheerders.
Beheerslast en aanvalsoppervlak
Opvallend genoeg noemen de auteurs in eerste instantie niet de complexiteit van de transitiemechanismen, maar trappen zij af met de veelgebruikte dual-stack vanwege de extra beheerslast en een groter aanvalsoppervlak. Dit zijn de aanbevelingen die zij vervolgens doen:
Hoewel de automatische toekenning van IPv6-adressen met behulp van SLAAC een belangrijke rol speelt bij het verlichten van de beheerslast, zijn hier privacy-implicaties aan verbonden. De auteurs adviseren echter niet de SLAAC Privacy Extensions als eerste oplossing, maar de inzet van DHCPv6.
(Daarbij refereren ze voor de Privacy Extensions nog naar RFC 4941, terwijl die 2 jaar geleden al is opgevolgd door RFC 8981, die samen met RFC 7217 en RFC 8064 aanvullende technieken voor de bescherming van privacy introduceert.)
Het gebruik van netwerktunnels, vaak toegepast in de oudere transitiemechanismen, wordt afgeraden – enerzijds vanwege de complexiteit van die protocollen, anderzijds omdat daarmee ondoorzichtige ingangen in het netwerk worden aangelegd.
(Een overzicht van de transitieprotocollen vind je op onze IPv6-pagina. Het gebruik van de oudere tunneling-gebaseerde protocollen (6to4, 6in4, IPv6 rapid deployment (6rd) en Public 4over6) raden we af. Andere verouderde protocollen zoals ISATAP en Teredo noemen we daar niet eens. Hoewel je deze technieken nog wel kunt tegenkomen in bestaande netwerken, verdwijnen ze langzaam (legacy). Een overzicht van de actuele transitiemechanismen (sommige gebaseerd op tunneling, andere gebaseerd op translatie) vind je op onze IPv6-pagina.)
Bij het gebruik van dual-stack moeten alle beveiligingsmiddelen van IPv4 ook voor IPv6 worden opgezet, minstens net zo goed of beter. Ook hier wordt het gebruik van tunneling en translatie vanwege de complexiteit weer afgeraden.
De toekenning van meerdere IPv6-adressen aan een host (multihoming) [RFC 7934 raadt aan om voor elke afzonderlijke dienst een apart IPv6-adres te configureren] levert extra risico op. Dat vraagt om speciale aandacht voor filterlijsten, Access Control Lists (ACL's) en logging.
Andere aandachtspunten
Andere aandachtspunten die de auteurs naar voren brengen zijn:
het belang van kennis van IPv6-netwerken en hun configuratie
het gebruik van Split DNS (voor zowel IPv4 als IPv6)
filtering (met extra aandacht bij het gebruik van tunnels)
ICMPv6 (nodig voor diverse onderdelen van IPv6, dus deze pakketten worden juist vaker doorgelaten dan bij IPv4)
valse DHCPv6-servers
het vermijden van translatie (anders dan NAT64/DNS64 en 464XLAT in IPv6-only netwerken)
