Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Rapport TNO: flink werk aan de winkel met veiligheid op IPv6

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 2 april 2014 08:00 uur

“Dit rapport bevat een hoop kwetsbaarheden.” TNO windt er geen doekjes om: de kwaliteit van securitytesten met betrekking tot IPv6 ten opzichte van IPv4 laat flink te wensen over. In opdracht van het ministerie van Economische Zaken deed TNO onderzoek naar de beveiligingsrisico’s in de implementatie van IPv6. Niks te vroeg, zo luidt het oordeel  in reacties op de publicatie.

Het rapport is bedoeld als basis voor een dergelijke securitytest. Het biedt een overzicht van de mogelijke kwetsbaarheden binnen een IPv6-implementatie. Voor iedere kwetsbaarheid wordt een omschrijving van het probleem en een oplossing gegeven. Ook wordt een testmethode weergegeven waarmee kan worden vastgesteld of de kwetsbaarheid aanwezig is en wordt beschreven welke (open source) tools en parameters voor de test gebruikt kunnen worden. Dat levert een rapport van 42 pagina’s op waaruit het beeld ontstaat dat IPv6 op het gebied van security nog niet volwassen is. ’t Is wel taaie kost en eigenlijk alleen bedoeld voor securityspecialisten en netwerktechnici met een behoorlijke dosis kennis van IPv4 en IPv6.

Sommige bevindingen zijn bekend. Bijvoorbeeld het feit dat IPv6 geen NATting toestaat. In IPv4 werd NAT nog wel eens als een goedkope Firewall-variant gebruikt, maar bij IPv6 zal er echt geïnvesteerd moeten worden in goede firewalls aan de randen van het netwerk. Probleem is eigenlijk vooral dat beheertools domweg nog niet klaar zijn voor het nieuwe protocol. Vooral tunneling in IPv6 vormt nog steeds een groot risico, omdat IPS-producten de tunnels in IPv6 ‘niet zien’. Juist deze wetenschap maakt het voor kwaadwillenden eenvoudig om via tunnels ongemerkt binnen te komen op IPv6-netwerken.

Het rapport besteedt verder veel aandacht aan het probleem met extension-headers. Als deze in de implementatie niet goed worden gedefinineerd en gerouteerd, ontstaat het risico dat de headers letterlijk firewalls en gateways overspoelen met verzoeken: de basis van DDoS-aanvallen. Hoewel het rapport leest als een opsomming van allerlei mogelijke problemen, is het stuk bedoeld als ‘handleiding’ om de kwetsbaarheden op te sporen en om instellingen van netwerkapparatuur goed te regelen. Dit wordt gedaan met penetratietesten: tot nu toe was een handleiding niet beschikbaar. Volgens TNO wordt met de publicatie uiteindelijk de ‘schade van toekomstige cyberaanvallen’ verminderd.

Vraag van de dag

Is het voor IPv6-netwerken noodzakelijk om extra beveiligingsmaatregelen te nemen?
Bekijk resultaten
Nog geen reacties

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.