'Wereld IPv6-dag geteisterd door hackers'

  • Opslaan als PDF
  • Print
  • 2x Aanbevolen
Gepubliceerd:07-06-2011 om 12:40 Auteur:Computerworld redactie

Beveiligingsexperts luiden de noodklok en vrezen dat hackers roet in het eten zullen strooien tijdens Wereld IPv6-dag. Honderden populaire websites - waaronder Google, Facebook, Yahoo en Bing - doen morgen mee aan een 24-uur durende test met de nieuwe internetstandaard IPv6.

hacker

Woensdag 8 juni is het Wereld IPv6-dag. Die dag zullen een aantal populaire sites op het internet, zoals Google, Microsoft, Yahoo en ook leveranciers van webapplicaties en online services zoals Akamai, zichzelf via IPv6 bereikbaar maken.

Om precies 02:00 Nederlandse tijd zal die dag de DNS van het internet van elk van deze sites een AAAA-record opnemen, waarin zij voor hun hoofddomein het IPv6-adres publiceren. Hoewel alle sites ook via IPv4 bereikbaar blijven, zullen juist bedrijven en instellingen die al wel IPv6 geconfigureerd hebben, automatisch overstappen op IPv6.

'DDoS-dreiging erg groot'

Beveiligers vrezen dat de honderden sites, waaronder die van overheden en universiteiten, die aan de test mee zullen doen, worden neergehaald door hackers met distributed denial of service (DDoS)-aanvallen of andere hacks in de 24 uur dat de test loopt.

“Afgelopen vijf maanden is er een grote toename te zien in DDoS-aanvallen”, zegt Ron Meyran, directeur product marketing en beveiliging bij Radware, een netwerkleverancier die niet meedoet met de festiviteiten. “IPv6 is gemakkelijker te raken, omdat IPv6-verkeer ongemerkt door deep packet inspection (DPI)-systemen sluipt.”

Meyran wijst op het risico van de grootte van de IPv6 packet headers, die vier keer zo groot zijn als IPv4-headers. Dit betekent dat routers, firewalls en andere netwerkapparaten meer data moeten verwerken, waardoor ze makkelijker omver te blazen zijn bij een DDoS-aanval.

“Bij een DDoS-aanval dien je 100% utilisatie van de netwerk- en beveiligingsapparatuur te bereiken om de diensten plat te leggen”, zegt Meyran. De langere headers van IPv6 “moeten compleet verwerkt worden om routing beslissingen te kunnen maken.”

'Gebrek aan expertise leidt tot foutjes'

Volgens Jean McManus van Verizon is het goed mogelijk dat hackers iets proberen wanneer servers zowel IPv4 als IPv6 geactiveerd hebben staan. “Contentleveranciers zullen voorzichtig moeten zijn en zeker moeten stellen dat alles afgesloten is.”

Veel risico’s wat betreft IPv6 hebben te maken met het feit dat de technologie nog nieuw is en slechts weinig netwerkbeheerders ervaring hebben met IPv6. Daardoor kunnen ze sneller foutjes maken met het definiëren van IPv6-gerelateerde regels voor hun firewalls en andere beveiligingsapparatuur.

Deelnemers aan Wereld IPv6-dag zeggen dat het evenement bekend is bij iedereen in de technische internetgemeenschap, dus dat ook hackers ervan weten. Hiervoor hebben ze naar eigen zeggen voldoende voorzorgsmaatregelen getroffen.

“Alles kan gebeuren”, zegt hoofd IPv6-architectuur John Brzozowski van deelnemer Comcast. “IPv6 verschilt daarin niet van andere technologieën. Het risico van een aanval is er. Aan ons de taak om het netwerk te beschermen." Brzozowski is morgen op zijn hoede en zal de gehele test zijn netwerk monitoren op tekenen van een aanval. “Wij nemen de benodigde maatregelen om te zorgen dat de infrastructuur van Comcast afgeschermd is”, voegt hij toe.

Als Juniper morgen getroffen wordt door een aanval, schakelen ze zo snel mogelijk terug naar IPv4. “We kunnen terug naar IPv4 in vijf minuten”, vertelt Alain Durand van de netwerkleverancier. Juniper gebruikt een eigen clouddienst om de website morgen in IPv6 aan te kunnen bieden.

Akamai, een content delivery netwerk met 30 klanten die meedoen aan Wereld IPv6-dag maakt zich niet zoveel zorgen over DDoS-aanvallen. “Alle onze command & control systemen blijven op IPv4 staan”, zegt vicepresident Andy Champagne. “We hebben genoeg IPv6-capaciteit en verwachten geen problemen.”

'Test IPv6 zo snel mogelijk'

Meyran adviseert netwerkbeheerders die meedoen aan de dag om zo snel mogelijk aan de slag te gaan met het testen van IPv6-security. “Draai tools die IPv6-aanvallen simuleren om er zeker van te zijn dat jouw netwerk en intrusion prevention systemen echt goed zijn voorbereid op IPv6-verkeer.”

Ondertussen frustreert ook een door Microsoft gepubliceerde patch de test van IPv6 op Wereld IPv6-dag, aanstaande woensdag. Microsoft heeft een ‘fix-it’ uitgebracht die connectiviteitsproblemen op IPv6-dag moet verhelpen. De fix-it verandert de voorkeur van moderne versies van het Windows-besturingssysteem voor IPv6 naar IPv4. Hierdoor zullen bedrijven die IPv6 niet correct geïmplementeerd hebben toch probleemloos Wereld IPv6-dag doorkomen. En dat was nou net niet de bedoeling van de test.

De bedoeling van Wereld IPv6-dag is juist die bedrijven en instellingen de gelegenheid te bieden de correcte werking ervan te verifiëren of juist fouten in de configuratie op te sporen. De algemene verwachting is dat vooral bedrijven die de afgelopen tijd nieuwe netwerkapparatuur in gebruik hebben genomen te maken krijgen met storingen. Men verwacht dat nieuwe apparatuur die het nieuwe IPv6-protocol ondersteunt vaak niet correct geconfigureerd is, of dat de IPv6-ondersteuning helemaal is uitgeschakeld. Naar verwachting zou het dan gaan om minder dan één procent van het internetverkeer.

  • Opslaan als PDF
  • Print
  • 2x Aanbevolen
Relevante whitepaper: Mobiliteit vraagt om nieuwe security-aanpak Download
blog comments powered by Disqus

Peiling

Loading
Bekijk hier de uitslagen van eerder gehouden peilingen.

Nieuwsbrief

Ontvang tweemaal per week een overzicht van de meest recente artikelen op Computerworld.nl in uw mailbox