Blog de Johan Denoyer - La vie et les nouvelles technologies - Balise - sécurité

IPv6 n'est pas un problème de sécurité

jdenoy — Sat, 29 Nov 2008 09:45:00 +0100

De temps en temps, je lit un article affirmant que l'IPv6 représente une sorte de grave menace à la sécurité par sa simple existence. J'ai rencontré un tel article cette semaine, ce qui a incité ce post.

IPv6 n'est pas un grave problème de sécurité à l'heure actuelle.

Il y a quelques arguments de sécurité contre l'IPv6. Je pense que les deux sont réfutable:

Il y a des failles de sécurité dans les implémentations d'IPv6, donc nous devrions bloquer l'IPv6 et désactiver le code IPv6.
Les utilisateurs peuvent installer des tunnels IPv6 et contourner les dispositifs de sécurité réseau (pare-feu, IDS, etc), de sorte que nous devons bloquer l'IPv6 et désactiver le code IPv6.

Parmi ceux-ci, je donne un peut de crédit au deuxième argument, mais alors aucun au premiers.

Pour le premier argument, oui, il y a eu des bugs de sécurité dans les stacks IPv6. Il y a des bugs de sécurité dans la plupart des logiciels, et on s'en occupe. On patch correctement les systèmes impactés. Il y a bien plus de bug dans les navigateurs web, clients de messageries, et PHP que dans la plupart des stacks IPv6. Par exemple, cette année, FreeBSD a publié 11 avis de sécurité, et seuls 2 était lié à IPv6. Il y a des résultats similaires pour les IOS (OS Cisco). Je mettrais ces stats en ligne pour les comparer au logiciels habituels. Et la plupart des vulnérabilités IPv6 sont bien loin d'être sérieux.

Si les utilisateurs étaient vraiment concernées sur la sécurité de leur systèmes, il serait plus judicieux d'éteindre le Flash que l'IPv6.

Je ne doute pas qu'au fur et a mesure qu'IPv6 est déployé que plus de bugs seront découverts. On s'en occupera comme pour tous bug de sécurité. Cependant , les bugs IPv6 font actuellement les gros titres, même s'ils sont mineurs comparés à d'autres bugs.

Le deuxième argument peut-être traité avec encore plus de facilité : ne laissez pas vos utilisateurs créer des tunnels IPv6, bloquer le tunneling de protocol sur votre firewall.C'est plutôt simple, mais la presse adore pimenter les potentiels dangers. (Au fait la plupart des inquiétudes de trous de sécurité entourent Teredo, qui est désactivé par défaut lorsque l'Active Directory est utilisé)

Et donc, les utilisateurs sont souvent demandé d'éteindre l'IPv6. C'est extrêmement frustrant, surtout que le plus d'endroit ou c'est désactivé, le plus dure (et biensur le plus cher) ce serait de le rallumer lorsque l'on aura plus d'adresse IPv4 de disponible, ce qui arrivera dans quelques années. Au lieu d'éteindre l'IPv6 (lire : mettre votre tête dans le sable), vous devriez mettre à jours vos logiciels de sécurité pour supporter l'IPv6. Il existe plusieurs normes pertinentes ici (en anglais):

RFC 4890: Recommendations for Filtering ICMPv6 Messages in Firewalls
RFC 4942: IPv6 Transition/Coexistence Security Considerations
Recommended Simple Security Capabilities in Customer Premises Equipment for Providing Residential IPv6 Internet Service (IETF draft).
NSA Firewall Design Considerations for IPv6
NSA Router Security Configuration Guide Supplement - Security for IPv6

ll y a eu des progrès de mise à jour des logiciels de sécurité pour gérer l'IPv6. La plupart des OS viennent avec un firewall compatible avec la pile IPv6 (et certains OS l'activent même par défaut). Snort a un support plutôt basique d'IPv6, mais les versions suivantes améliorerons cela. Nessus supporte aussi l'IPv6.

Biensur les toolkits d'attaque rajoute aussi le support d'IPv6.

Mais avec le logiciel, nous avons également besoin d'une campagne d'éducation pour informer les administrateurs sur IPv6. Bon nombre des questions de sécurité sont les mêmes que pour IPv4, mais il existe quelques différences notables. Je pense que ce sera la partie la plus difficile, l'évolution du logiciel est beaucoup plus facile que le changement des attitudes.

Permettez-moi d'illustrer cela par un exemple:

OS X est livré avec deux pare-feu (ip6fw et l'application pare-feu), les deux supportent l'IPv6. Le mois dernier, j'ai vu un article dans Macworld qui comparait des logiciels de pare-feu tiers pour Mac OS X. j'ai posté un commentaire demandant si quelqu'un avait vérifié si ces produits supportait IPv6. L'un des fournisseurs a affiché une réponse:

DoorStop X prend en charge IPv6 dans ce que nous pensons être la façon la plus sécuritaire possible - par défaut, il désactive entièrement tout accès à partir de machines IPv6. À l'heure actuelle, pour presque tous les utilisateurs, IPv6 est simplement un problème de sécurité potentiel, sans d'avantages réels....

C'est précisément l'attitude dont je parle. Ce vendeur a une histoire de blocage sur l'IPv6 sur des allégations de raisons de sécurité. Pourtant, étrangement, ils n'ont jamais recommandé aux utilisateurs de désinstaller Flash ou quitter l'aide de QuickTime, qui ont eu beaucoup plus de failles de sécurité que l'IPv6.

Du mieux que je puisse dire, leurs produits renvois juste à ipfw(8). Plutôt que de désactiver l'IPv6, pourquoi ne pas également renvoyer à ip6fw(8)? Cela ne serait pas parfait, mais c'est un premier pas raisonnable de support IPv6, et doit être trivial à mettre en œuvre.

Rien de tout cela ne veux dire qu'il n'existe pas d'attaques qui ont lieu sur IPv6. Elles existent. Mais pour le moment, l'IPv6 est une toute petite surface d'attaque par rapport à IPv4. Nous devrions tirer profit de cette situation pour mettre nos canards dans une rangée.

Cet article a été rédigé par Derek Morr.

(IN)SECURE Magazine - Edition Juillet 2008

jdenoy — Mon, 11 Aug 2008 20:04:00 +0200

L'Edition Juillet 2008 de (IN)SECURE Magazine est maintenant disponible. Beaucoup d'articles très intéressants à lire...

Voici le sommaire :

Open redirect vulnerabilities: definition and prevention
The future of security is information-centric
Securing the enterprise data flow against advanced attacks
Bypassing and enhancing live behavioral protection
Security flaws identification and technical risk analysis through threat modeling
Migration from e-mail to web borne threats
Security training and awareness: strengthening your weakest link
Assessing risk in VoIP/UC networks
Building a secure wireless network for under $300
Reverse engineering software armoring
Point security solutions are not a 4 letter word
Corporate due diligence in India: an ICT perspective
Hacking Second Life
AND MORE!

SecurityVibes.com communauté en ligne des réponsables en sécurité informatique

jdenoy — Thu, 24 Jul 2008 19:47:00 +0200

Voilà quelques jours maintenant que SecurityVibes.com est né. SecurityVibes est la première communauté en ligne destiné aux responsables en sécurité informatique.

Son but premier est je cite : les échanges entre les Responsables de la Sécurité des Systèmes d'Information (RSSI), les experts de la sécurité et les acteurs de l’industrie pour offrir un espace de discussion sur les dernières tendances du secteur, échanger des idées et débattre des problématiques émergentes auxquelles ils sont confrontés au quotidien

Avec plus d'une centaine d'utilisateur à l'heure ou j'écris cette note, cette communauté initiée par Aurélien Cabezon (ACZ) fondateur de vulnerabilite.com promet d'être une source importante d'échange qui est de nos jours très utile dans la sécurité informatique.

Le site est actuellement en version bêta, et les inscriptions ce font sur invitations uniquement. N'hésitez pas à me contacter si vous souhaitez une invitation.

Update : les inscriptions sont actuellement ouvert uniquements pour les RSSI. En ce qui concerne les vendeur & consultant, il faudra encore attendre un petit peut

(IN)SECURE Magazine - Edition Avril 2008

jdenoy — Tue, 22 Apr 2008 12:30:00 +0200

L'Edition Avril 2008 de (IN)SECURE Magazine est maintenant disponible. Beaucoup d'articles très intéressants à lire...

Voici le sommaire :

Security policy considerations for virtual worlds
US political elections and cybercrime
Using packet analysis for network troubleshooting
The effectiveness of industry certifications
Is your data safe? Secure your web apps
RSA Conference 2008 / Black Hat 2008 Europe
Windows log forensics: did you cover your tracks?
Traditional vs. non-tranditional database auditing
Payment card data: know your defense options
Security risks for mobile computing on public WLANs: hotspot registration
Network event analysis with Net/FSE
Producing secure software with security enhanced software development processes
AND MORE!

(IN)SECURE Magazine - Edition Février 2008

jdenoy — Tue, 05 Feb 2008 08:21:00 +0100

L'Edition Février 2008 de (IN)SECURE Magazine est maintenant disponible. Beaucoup d'articles très interessants à lire...

Voiçi le sommaire :

Proactive analysis of malware genes holds the key to network security
Advanced social engineering and human exploitation
Free visualization tools for security analysis and network monitoring
Internet terrorist: does such a thing really exist?
Weaknesses and protection of your wireless network
Fraud mitigation and biometrics following Sarbanes-Oxley
Application security matters: deploying enterprise software securely
The insider threat: hype vs. reality
How B2B gateways affect corporate information security
Reputation attacks, a little known Internet threat
Data protection and identity management
The good, the bad and the ugly of protecting data in a retail environment
Malware experts speak: F-Secure, Sophos, Trend Micro

(IN)SECURE Magazine - Edition Novembre 2007

jdenoy — Wed, 14 Nov 2007 08:13:00 +0100

L'Edition Novembre 2007 de (IN)SECURE Magazine est maintenant disponible. Encore des articles intéressants, tels que la sécurité des réseaux sans fils, la gestion d'identitées, la protection des données, la cryptologie, la CCTV, etc...

Les sujets abordés sont :

Attacking consumer embedded devices
Review: QualysGuard
CCTV: technology in transition - analog or IP?
Interview with Robert "RSnake" Hansen, CEO of SecTheory
The future of encryption
Endpoint threats
Review: Kaspersky Internet Security 7.0
Interview with Amol Sarwate, Manager, Vulnerability Research Lab, Qualys Inc.
Network access control: bridging the network security gap
Change and configuration solutions aid PCI auditors
Data protection and identity management
Information security governance: the nuts and bolts
Securing moving targets
6 CTOs, 10 Burning Questions: AirDefense, AirMagnet, Aruba Networks, AirTight Networks, Fortress Technologies and Trapeze Networks

(IN)SECURE Magazine - Edition Septembre 2007

jdenoy — Tue, 25 Sep 2007 21:43:00 +0200

L'Edition Septembre 2007 de (IN)SECURE Magazine est maintenant disponible. Encore des articles intéressants, tels que le social engineering par le biais de LinkedIn, la sécurité des réseaux VoIP en termes de fraude, etc...

Les sujets abordés sont :

Interview with Janne Uusilehto, Head of Nokia Product Security
Social engineering social networking services: a LinkedIn example
The case for automated log management in meeting HIPAA compliance
Risk decision making: whose call is it?
Interview with Zulfikar Ramzan, Senior Principal Researcher with the Advanced Threat Research team at Symantec
Securing VoIP networks: fraud
PCI DSS compliance: a difficult but necessary journey
A security focus on China outsourcing
A multi layered approach to prevent data leakage
Safeguard your organization with proper password management
Interview with Ulf Mattsson, Protegrity CTO
DEFCON 15
File format fuzzing
IS2ME: Information Security to Medium Enterprise