Vlákno názorů k článku Změní IPv6 dnešní principy bezpečnosti? od Pavel Satrapa - 1) Máte v principu pravdu, ale pravděpodobnost, že...
-
1) Máte v principu pravdu, ale pravděpodobnost, že se objeví nová volba pro IPv4 je prakticky nulová, zatímco IPv6 stále pracuje. Kromě toho v IPv4 je uvedena délka hlavičky (včetně voleb), takže je celkem snadné ty případné neznámé přeskočit. U IPv6 může být při neznámé rozšiřující hlavičce problém se vůbec dostat dál (a k transportní).
2) V IPv4 je maximální délka hlavičky 60 B, takže odsunout transportní do dalšího fragmentu nejde.
3) Máte pravdu, tohle jsem nepopsal moc dobře. Jde spíš o to, že ICMPv6 se filtruje výrazně hůř a pravděpodobnost, že něco uteče, je proto větší. -
Michal Kubeček (neregistrovaný)
...informaci o TCP či UDP portech, a tedy síťových službách. Jenže aby se k této informaci dostal v IPv6 datagramu, musí projít celý řetěz rozšiřujících hlaviček až na konec. A hned se objevuje několik nepříjemných otázek. Co když některou z použitých hlaviček nezná? Zahodit datagram? Pak ale může narušit činnost některého z nově definovaných mechanismů. Nevšímat si jí? To by mohlo znamenat narušení bezpečnosti.
To ale IMHO není nic principiálně nového - i dnes se může stát, že firewall nerozumí všem rozšířením v IPv4 hlavičce a musí se s tím nějak vypořádat.
A co když je díky dlouhému řetězci hlaviček a použité fragmentaci hlavička transportní vrstvy odsunuta až do dalšího fragmentu?
Ani tady nevidím nic principiálně nového, stejný problém je potřeba řešit u IPv4.
Také ICMPv6 poskytuje zlým hochům a dívkám některé možnosti, například je lze zneužít pro výměnu informací mezi koncovou sítí a jejím okolím ve fiktivních chybových zprávách.
A do třetice: totéž platí i u ICMP pro IPv4.
ČLÁNKY DO MAILU