Hlavní navigace

Filtrování ICMPv6

 Autor: 29
Pavel Satrapa

Pracovní skupina IETF v6ops, která se zabývá praktickými otázkami provozování IPv6 sítí, má za sebou plodné jaro. Během dubna a května vydala čtyři RFC dokumenty, většinou orientované na bezpečnost sítě.

V minulém článku jsem rozebíral RFC 4864 zaměřené na dosažení některých pozitivních stránek NATu pomocí prostředků IPv6. Dnes se podívejme na RFC 4890, jež doporučuje, jaká pravidla stanovit na firewallu pro filtrování ICMPv6.

Stručně připomenu, že ICMP je základní internetový servisní protokol sloužící pro přenos různých režijních zpráv. Jeho prostřednictvím jsou oznamovány chyby, testována spojení či vyměňovány různé informace. V porovnání s IPv4 došlo v nové verzi protokolu k jeho rozhojnění a využití pro celou řadu nových doprovodných mechanismů (jako je automatická konfigurace, podpora mobility či přeadresování sítě). To znemožňuje jednoduchou adaptaci stávajících pravidel používaných pro ICMPv4.

Dokument v první části shrnuje základní informace o ICMP a typy útoků, k nimž je využíváno. Lze je rozdělit zhruba do čtyř skupin. DoS útoky se jednoduše snaží zahltit příjemce hromadou ICMP požadavků, takže mu nezbývají síly na rozumnou komunikaci. Ovšem řada současných zařízení umožňuje omezit maximální počet ICMP požadavků za sekundu, kterým se budou věnovat. Druhou skupinu představují průzkumníci, kteří sondují koncové sítě a vyhledávají cíle pro své útoky. Ti ale mají v IPv6 tvrdý chlebíček –vzhledem k obludnému adresnímu rozsahu je plošné prohledávání v podstatě nemožné. Třetí skupina útoků míří na konkrétní mechanismy a snaží se podvrhnout zprávy o přesměrování datagramů či přeadresování sítě. Skupina čtvrtá, nejkreativnější a nejhůře zachytitelná, využívá ICMP jako nosič svých vlastních informací. Například vir může poslat informace z napadeného počítače svému autorovi v těle ping paketu či jako obsah (fiktivní) chybové zprávy.

S přihlédnutím k významu a možné zneužitelnosti jednotlivých typů ICMP zpráv je autoři zařadili do jedné z následujících kategorií:

  1. Zpráva musí firewallem projít, jinak bude narušena funkce některých mechanismů IPv6 (v tabulce níže označeno propustit!).
  2. Pokud správce nemá velmi dobrý důvod k opačnému nastavení, měl by firewall zprávu propustit (označeno propustit).
  3. Zpráva má ve specifikacích definováno zpracování, které vede k jejímu zahození (či zpracování), netřeba ji ošetřovat ve firewallu, jen pokud byste se chtěli pojistit (označeno netřeba).
  4. Je otázkou místní politiky a rozhodnutí správce, zda zprávy propouštět či blokovat (označeno rozhodnout).
  5. Zpráva by neměla firewallem projít (označeno zahodit).

Doporučení obsažená v RFC 4890 shrnuje následující tabulka. Je uspořádána vzestupně podle čísel identifikujících typy jednotlivých ICMP zpráv. U některých z nich jsou navíc uvedeny kódy rozlišující jejich podtypy. Závěrečné dva sloupce obsahují doporučené zacházení se zprávami daného typu. To se liší v závislosti na tom, zda je ICMP zpráva tranzitní (je adresována jinému stroji a firewallem jen prochází), nebo lokální, tedy adresovaná přímo některému rozhraní firewallu.

Podle mínění autorů by firewall měl být nastaven takto:

Nastavení firewallu

Za povšimnutí stojí například důrazný požadavek na propouštění pingu (Echo Request a Response), který je některými mechanismy IPv6 vyžadován a zároveň kvůli neúčinnosti plošného skenování sítí klesá míra jeho zneužitelnosti. Právě skenování je důvodem, proč někteří správci IPv4 sítí ping zakazují.

Pokud se vám to zdá poněkud složité, máte naprostou pravdu. Konfigurace linuxového Netfilteru vycházející z těchto doporučení, která je přílohou dokumentu, měří bezmála 200 řádků (bez komentářů a prázdných řádků). Bezpečnost zkrátka má svou cenu.

Jeden z autorů textu se podílel i na prezentaci obsahující souhrn bezpečnostních otázek kolem IPv6, kterou též vřele doporučuji vaší pozornosti. IPv6 má pověst protokolu, který nebývá příliš zabezpečován – správci sítí jsou rádi, když jim vůbec funguje. Jak je vidět, tento přístup se začíná měnit.

Anketa

Staráte se o zabezpečení své IPv6 sítě?

Našli jste v článku chybu?

21. 6. 2007 15:12

Podle informaci, ktere mam k dispozici, je Lupa na IPv6 dostupna, pouze nepropagujeme IPv6 adresy ve verejnem DNS...

21. 6. 2007 22:15

petr_p (neregistrovaný)
fe80 by byl špatný vtip :D
DigiZone.cz: Skylink: zpožděný kanál Prima +1

Skylink: zpožděný kanál Prima +1

Vitalia.cz: Co pomáhá dítěti při zácpě?

Co pomáhá dítěti při zácpě?

Měšec.cz: Stavební spoření: alternativa i pro seniory

Stavební spoření: alternativa i pro seniory

Lupa.cz: Kolik ČR platí za sledování elektronické komunikace?

Kolik ČR platí za sledování elektronické komunikace?

DigiZone.cz: V Plzni odstartovalo Radio 1

V Plzni odstartovalo Radio 1

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech