Hlavní navigace

Nové RFC řeší problém zřetězených IPv6 hlaviček

Ondřej Caletka

Jednou z vlastností protokolu IPv6 je možnost řetězit přídavné hlavičky do řetězců libovolné délky. Tato technika se v praktickém provozu příliš nepoužívá, nahrává však případným útočníkům v obcházení nejrůznějších firewallů a ACL. Funguje to například tak, že mezi hlavičku IP protokolu a hlavičku transportního protokolu útočník vloží spoustu dalších nepodstatných hlaviček, takže hlavička transportního protokolu přeteče do druhého fragmentu. Protože firewall vyhodnocuje pakety nezávisle, není z dat prvního fragmentu schopen detekovat použitý protokol.

Nedávno vyšlé RFC 7112 tento problém řeší deklarací, že kompletní řetězec hlaviček MUSÍ být obsažen v prvním fragmentu. Přijímající zařízení by MĚLO datagram nesplňující tuto podmínku odmítnout s vygenerováním patřičné ICMPv6 zprávy. Stejně tak MŮŽE takové datagramy odmítat i libovolné mezilehlé zařízení, jako směrovač či přepínač. Standard byl vytvořen lidmi ze společností Huawei, Ionos a Juniper, takže se dá čekat, že se jeho podpora záhy objeví v zařízení zmíněných výrobců.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?