IPv6 schizofrenico

Chicago mallQuando si comincia ad utilizzare IPv6 in produzione su una configurazione LAN eterogenea iniziano i comportamenti a cui non siamo abituati.

Con IPv4 un host impostato per la configurazione automatica si assegna un indirizzo link-local (169.254.0.0/16, RFC3927) contatta il server DHCP per avere un indirizzo e, quando lo ottiene, scarta l’indirizzo link-local e avrà sempre solamente quell’indirizzo fino alla scadenza dell’affitto dello stesso.

Innanzi tutto, IPv6 mantiene l’indirizzo link-local fe80::/10 di ogni interfaccia diversa dal localhost. Questo è il problema minore perché generalmente i programmi non utilizzano il link-local se non istruiti espressamente per farlo.

Il problema vero e proprio si verifica quando c’è un metodo di configurazione automatica e un host viene configurato con un IPv6 fisso. In questo caso un host si potrebbe prendere sia l’IPv6 fisso sia uno autoconfigurato. Inoltre per default Windows assegna un ulteriore indirizzo IPv6 per sfruttare la privacy della connessione e ridurre la tracciabilità quando si va online (RFC4941).

Il risultato finale è che un host ha una babele di indirizzi. E il SysAdmin invoca le divinità.

Leggi tutto “IPv6 schizofrenico”

IPv6: attacco RA flood

Scala verso l'acqua / Stairway to waterSam Bowne ha scoperto e verificato sul campo che molti sistemi operativi sono vulnerabili ad un attacco di RA flood.

L’attacco, che si verifica solamente se sono attivi lo stack IPv6 e l’assegnamento automatico dell’indirizzo, consiste nel bombardare la vittima con dei pacchetti RA creati appositamente con un numero tale di informazioni da mandare in crash i sistemi.

I sistemi interessati da questo problema sono moltissimi: Microsft Surface, Android, tutti gli iPad (incluso il mini), Mac OSX, Windows 7, Windows 2008 e Windows 2008 R2.

Se viene installato l’IPv6 Readiness Update su Windows il problema viene leggermente mitigato, anche se il sistema si congela durante l’attacco, per riprendersi una volta che l’invio di pacchetti termina.

Linux Ubuntu ha passato indenne questo tipo di attacco.

Non è la prima volta che viene dimostrata una vulnerabilità dei sistemi di autoconfigurazione di IPv6. Eventuali test in un ambiente non controllato dovrebbero essere condotti per il momento senza attivare questi automatismi sugli host per evitare che qualche buontempone si diverta con uno dei tanti script che sono in circolazione.