Seriál Bezpečné IPv6

V dnešním díle seriálu si popíšeme poslední typ útoku, který zneužívá mechanismu detekce duplicitních adres. Tento útok patří opět do skupiny útoků s lokálním dosahem a má za následek odepření dostupnosti protokolu IPv6. Jako obvykle se rovněž pokusíme najít vhodné prostředky, jak se proti tomuto typu útoku bránit.

V předchozím díle jsme se seznámili se základními principy útoků na cache sousedů (neighbor cache) a s jejími možnými důsledky. V dnešním díle navážeme a pokusíme se společně nalézt způsoby a prostředky, jak se těmto útokům bránit, nebo alespoň minimalizovat jejich případné následky.

V dnešním díle si popíšeme, jak u protokolu IPv6 fungují základní útoky na cache sousedů (neighbor cache). Tyto útoky se snaží o vytížení síťových zařízení a existují jak v lokální podobě, kdy má útočník přístup do sítě, tak vzdálené podobě, kdy může útočit z jakéhokoliv místa na Internetu.

Při seznamování s IPv6 se možná pozastavíte nad tím, že hodně používá skupinové vysílání – multicast. Dokonce se dozvíte, že IPv6 ani nemá všesměrové vysílání – broadcast. Dnes si popíšeme, jak to tedy s tím multicast a broadcast provozem je, proč se multicast tak využívá a zda to nepřineslo nějaké komplikace.

V předchozím díle jsme si objasnili koncept rozšířených hlaviček a naznačili možné problémy, které mohou z jejich použití pramenit. Dnes se podíváme, jak může rozšířené hlavičky zneužít útočník. Představíme několik útoků, které využívají právě rozšířených hlaviček a také možnosti, jak se proti těmto útokům bránit.

V dalším díle seriálu se podíváme detailněji na novinku u protokolu IPv6 – rozšířené hlavičky. Rozšířené hlavičky nám umožňují do protokolu přidat nové vlastnosti, nicméně není to zcela bez následků. Za flexibilitu platíme složitějším zpracováním v hardware, které občas může využít útočník.

V předchozím dílu seriálu jsme si ukázali, že protokol IPv6 může v rámci lokální sítě znamenat poměrně významnou komplikaci z pohledu zabezpečení. V tomto díle se pokusíme zkrotit zlé směrovače, vysvětlíme si principy zabezpečení lokální sítě a ukážeme si, jaké nástroje můžeme použít u protokolu IPv6.

O IPv6 již bylo napsáno mnoho a dnes představuje prakticky jediné koncepční řešení pro budování Internetu nové generace. Protokol IPv6 se však v mnoha věcech od aktuálně používaného protokolu IPv4 odlišuje. Změny v architektuře protokolu přinášejí inovace, nicméně mohou také ovlivňovat jeho bezpečnostní aspekty.