Experts scramble to quash IPv6 flaw
http://www.theregister.com/2007/05/11/ipv6_flaw_scramble/
By Robert Lemos, SecurityFocus / Published Friday 11th May 2007
一種有缺陷的功能很可能擴大在次世代網路上的 DoS 攻擊,這讓供應商與工程師急忙排除這個潛在的安全議題。
本週,專家遞交二份草案給 IETF -- 網際網路的技術標準設立組織 -- 以不同方式解決一個問題(http://www.securityfocus.com/bid/23615),在這問題之中,IPv6 允許網路資料來源決定它穿越網路的路徑。這些草案建議這項 IPv6 的功能應該被排除,或至少在預設中是關閉的。
這項規格,稱為 Type 0 Routing Header (RH0),允許電腦告訴 IPv6 路遊憩將資料傳送到一特定路由器。原本的希望是要讓行動使用者能夠為其裝置保留一個單一 IP,不過這項功能卻蘊含重要的安全問題。在 4/158 於 CanSecWest 研討會上的示範期間,研究者 Philippe Biondi 與 Arnaud Ebalard 指出,RH0 能使攻擊者在 IPv6 的基礎建設上放大 DoS 的攻擊,至少是 80 倍。
"在很短的時間內,它讓我們所想的每件事都變得很糟,糟上 1000 倍," Paul Vixie,ISC(http://www.isc.org/index.pl)的總裁在一封電郵訪談中表示。"它可以被任何一位貪婪的愛沙尼亞青少年,透過一台 300 美金的 Linux 機器來利用。"
這當更多組織從當前的 IPv4 轉換到 IPv6 時,這項安全議題就會到來。美國聯邦政府以及各大企業都會在十年之內轉移到這項標準。美國國防部與白宮的管理與預算辦公室已經明令軍方服務與聯邦局處,在 2008, 6/30 之前,將骨幹系統遷移到 IPv6。
(http://www.whitehouse.gov/OMB/egov/b-1-information.html#IPV6)
然而,這項標準已經在許多路由器與 OS 當中支援。Apple 的 OS X、Linux、微軟的 Vista,都在預設網路協定當中使用這項標準。微軟支援將 IPv6 的封包包裹在 IPv4 資料當中,即 6to4 tunneling,所以那些使用 IPv6 的網路可以透過網際網路通訊,但攻擊者可以使用這項資料來傳送隱匿的資料。((http://www.securityfocus.com/brief/427)
RH0 安全議題根源於當前網際網路協定的實作中。IPv4 的規格允許資料傳送者能透過資料必須經過(data must travel)來指定一到多個路由器。
在所謂的來源路由中,該技術允許高達 9 個其他的位址可以包含在 IPv4 的延伸標頭當中,可請求該封包須行經這些特定位置。雖然來源路由對於診斷相當方便,不過經由改變標頭當中二個目標網際網路地址,讓資料在兩台機器之間來回,它也能被用於擴大 DoS 攻擊達 10 倍。
雖然來源路由已經被大部分的公司視為一個很糟糕的安全風險,而許多路由器預設都會關閉這項功能,不過 IETF 並沒有從規格書當中排除該選項,並將之延伸到 IPv6。
"IPv6 相當工整,不過我認為我們將會看見一些 '這下把你給逮到了(gotchas)',因為它仍相當新," Jose Nazario 表示,Arbor Networks 的資深安全研究員。"它將會在未來幾年才開始撼動我們。"
在 IPv6 之下,讓使用者能指派某些資料必須送往位址的衝擊,稱為寬鬆來源路由(loose source routing),更加悲慘。因為更多的位址可以包含在標頭當中,這就不只放大十倍了,Biondi 與 Ebalard 經過計算後,它能將攻擊係數放大到 80 倍。此外,RH0 能讓攻擊者閃躲一種分散式技術,稱為AnyCast,該技術保護 13 個 DNS 根伺服器免於攻擊,而且可用來創造封包的積蓄(backlog),在某一特定時間阻止流量到某伺服器。
"It is exactly that: The reintroduction of the IPv4 loose source routing mechanism in the IPv6 world and on steroids," 一位不願具名的網路工程師表示。
IETF 的反應很可能刷新了標準設立組織的新紀錄。當供應商推動它們的特定需求時,工程師還在爭論技術價值並同儕審核其他人的工作,IETF 也尚未做出任何迅速地決議。
然而,在 CanSecWest 簡報當中爭論該議題後,工程師們已經發表了二項提議:排除這項功能,
(http://www.ietf.org/internet-drafts/draft-jabley-ipv6-rh0-is-evil-00.txt)或是除非有必要,讓每個人都關閉它。(http://www.netcore.fi/pekkas/ietf/draft-savola-ipv6-rtheader-00.txt)
"在實作中,它都將會被關閉,不管它將來會不會被使用,都是懸而未決的事," Robert Hinden 說,IETF IPv6 Working Group 的共同主席,同時也是 Nokia 的員工。
然而公司與工程師對於關閉該功能的反應就迅速多了。在四月底,Kame Project,其創造的程式碼在許多種 BSD OS 與路由器上使用,已經在它們已知的程式碼中,關閉了 Type 0 Routing Header。
"They don't just avoid walking the RH0 header, but they also now drop packets that contain it," Theo de Raadt 說,OpenBSD 的領導者。
Cisco 也就此議題發表了安全建議:
(http://www.cisco.com/en/US/products/products_security_advisory09186a00807cb0fd.shtml)
但是 Cisco 與 Juniper 都拒絕討論這項議題。
因為 IPv6 尚未完整部署在大部分網路上,ISP 可能要花二三年的時間來修補所有問題,de Raadt 表示。
ISC 的 Vixie 同意該問題應該在三年內完全排除。
"I'd say in three years this will be a footnote," Vixie 說。
This article originally appeared in Security Focus (http://www.securityfocus.com/news/11463).