Brug af IPv6 med Linux? Du har sandsynligvis været besøgt af Shodan og andre scannere

En af fordelene ved næste generations internetprotokol kendt som IPv6 er det forbedrede privatliv, det tilbyder over sin IPv4 forgænger. Med en svimlende 2128 (eller omkring 3.4 × 1038) teoretiske adresser til rådighed, er dens IP-pool immun for de typer systematiske scanninger, som kriminelle hackere og forskere rutinemæssigt udfører for at lokalisere sårbare enheder og netværk med IPv4-adresser. IPv6-adresser kan endvidere indeholde regelmæssige ændringer, delvist randomiserede udvidelser. Sammen har IPv6 kappeanordninger i en quasi-anonymitet, der ikke er mulig med IPv4.

Nu har netværksadministratorer opdaget en smart måde, som scannere gennemsyrer IPv6-kappen af ​​uklarhed. Ved at oprette en IPv6-baseret netværksprotokol service de fleste internetforbundne enheder er afhængige af at holde deres interne klokker nøjagtige, operatørerne kan høste stort antal IPv6 adresser, der ellers ville forblive ukendte. Serveroperatørerne kan derefter scanne hundredvis eller tusindvis af porte, der er knyttet til hver adresse for at identificere offentligt tilgængelige overvågningskameraer, upatchede servere og lignende sårbarheder.

Shodan- Sårbarhedssøgemaskinen, der indekserer internetforbundne enheder - har i ro og ro bidraget NTP-tjenester i måneder til klyngen af ​​frivillige tidsservere kendt som NTP Pool Project. For at øge antallet af forbindelser til tre nyligt identificerede Shodan-run-servere, havde hver en 15 virtuelle IP-adresser. De tilføjede adresser multiplicerede effektivt mængden af ​​trafik, de modtog ved 15-fold, hvilket øger oddsene, at Shodan ville se nye enheder. Inden for sekunder af en af ​​Shodans NTP-servere, der modtager en forespørgsel fra en IPv6-enhed, vil Shodans hovedscanningsmotor scanne mere end 100-porte, der tilhører enheden. Shodan-scanneren vil derefter revidere enheden en gang om dagen.

Shodan's høsteskema kom til en pludselig afslutning på torsdag, da NTP Pool Project-indehavere udsendte Shodan-tidsholdende servere fra klyngen. Mange siger, at fjernelsen kun var retfærdig, da høsten ikke blev afsløret og gik langt ud over den service, der blev annonceret af NTP Time Project. Men hvis Shodan-run NTP-servere høstede IPv6-adresser, er det en rimelig indsats, at andre var og sandsynligvis stadig gør det samme. Og det ville naturligvis ikke være en strækning, hvis ikke-NTP-tjenester, der modtager forespørgsler fra IPv6-enheder, også er. I sidste ende betyder det, at IPv6 privatlivsforsikringer kan blive mindre i processen.

"Vælg de websteder, du besøger nøje"

"Jeg kan måske bare være for kynisk, men [høstning] føles også som noget, vi bør komme til at forvente," spørger Bjørn Hansen, en NTP Pool Project Maintenanceer, skrev i en post til et sikkerhedsforum meddeler beslutningen om at slippe Shodan. "NTP-poolbruget er kilden suger, men generelt er jeg sikker på, at vi vil se mere af dette, da IPv6-forbruget går op. Fordi du ikke kan scanne IPv6-rummet, vil der være en værdi i 'aktive adresser', så i sidste ende vil vi se IP-adresser, der handles som andre [personidentificerende oplysninger], data er nu. Vælg de websteder, du besøger nøje? "

Tjenestemænd med Shodan nægtede at kommentere for dette indlæg.

IPv6 tegner kun for en lille del af dagens internettrafik, men der er ingen tvivl om, at den vokser hurtigt. Om 10 procent af personer, der har adgang til Google, bruger næste generationens protokol, op fra 6 procent sidste år og kun 1 procent i 2013. Næsten alt desktop, server og mobile operativsystemer udgivet i løbet af det sidste årti tilbyder IPv6-forbindelse som standard. Det løbende udmattelse af adresser tilgængelige i IPv4 puljen, kombineret med spredning af internetforbundne kameraer, tv'er og andre dagligdags enheder, har analytikere forudset en eksplosion af IPv6-trafik i løbet af det næste årti. Næsten alle distributioner af Linux bruger som standard IPv6 til at forespørge servere i NTP-puljen.

V6-adopteringen har præsenteret et problem for både forskere og kriminelle hackere. Hele IPv4-adresserummet kan scannes om et par minutter eller timer afhængigt af det anvendte udstyr og hvor grundige proberne er. Derudover forbliver v4-adresser til servere, computere og routere ofte aktive i måneder eller år. Med størrelsesordener mere v6 adresser, der i mange tilfælde ændrer hver dag eller deromkring, er der ingen pålidelig måde at afprøve enheder, der bruger IPv6.

"Dunklen er rigtig god med IPv6," siger Rob Graham, administrerende direktør for sikkerhedsfirmaet Errata Security, til Ars. "Det er det, vi stoler på. Folk antager, at det giver en masse sikkerhed. "

Den ekstra sikkerhed har tilsyneladende lulled nogle administratorer og hardwareproducenter til at tro, at v6-enheder ikke har brug for de samme typer af forsvar, der er standard for deres v4-kolleger. Det Buffalo WZR-HP-G300NH trådløs routerunderstøtter f.eks. IPv6-routing, men udelader IPv6-firewallfunktioner, der er typiske med IPv4. Mange v4-enheder er afhængige af netværk adresse oversættelse, som tildeler enheder inden for et hjem eller firmanetværk en adresse, der ikke kan nås på det åbne internet. For det meste bliver det firewall til v4-enheder.

IPv6 giver derimod enheder i et privat netværk en globalt tilgængelig IP-adresse, et design, der fungerer i modsætning til hele målet om netværksadresseoversættelse. Shodans høst af adresser fra NTP-poolprojektet sætter sådanne sikkerheds-gennem-uklarhedsmetoder til hvile.

Whodunnit (og hvordan)?

Åbenbaringerne om Shodan overgik i en blogindlæg udgivet tidligere i denne måned af Brad Hein, en netværksadministrator og sikkerhedsforsker. Begyndende i august fortalte han Ars, en stabil strøm af uopfordrede netværksscanning, som probede 115 separate porte begyndte at blive rettet mod IPv6 enheder i hans laboratorium. De enheder, der kørte Debianbaseret Raspbian distribution af Linux, havde adresser med randomiserede udvidelser, der ikke blev indekseret domænenavn system opslag eller andre offentlige registre. Derudover viste firewall-logfiler, at ingen af ​​de scannede enheder nogensinde havde lavet udgående forbindelser til scanneradresserne. Selvom brandmuren forhindrede scanpakkerne i at nå enhederne, blev Heins nysgerrighed pisket, for det mindste.

Hein bemærkede de målrettede enheder, der regelmæssigt kontaktede NTP-servere for at justere deres ure, så han brugte en enhed med en frisk v6-adresse til at forbinde til nogle af de samme tidsservere, som hans scannede enheder tidligere havde brugt. Til testformål brugte han en unik adresse til at pinge hver tidtager. Før han sluttede til en ny, ville han opdatere enhedens IP-adresse. Til sidst blev de samme 115-porte i den unikke adresse straks scannet inden for fem sekunder efter at have kontaktet en nylig pinged-tidsserver. Hein havde endelig fået den store pause han havde ledt efter.

Efter flere uger af test havde han en liste over 45 IP-adresser i NTP Pool Project-klyngen, der udløste scanninger, altid inden for cirka fem sekunder. Da han udførte DNS-opslag, fandt han, at IP-adresserne på NTP-serverne og et helt andet sæt IP-adresser, der blev brugt af scannerne, alle svarede til domænenavne, der tilhørte Shodan. I sidste uge deltog flere deltagere i et internetforum rapporterede at de var i stand til at reproducere Heins resultater. Beviserne efterlod lidt tvivl om, at Shodan brugte NTP-servere til at høste v6-adresser, så de kunne scannes for sårbarheder.

Modstand er (for det meste) forgæves

Nogle af forumdeltagerne har foreslået retsmidler som f.eks ved hjælp af en sekundær v6-adresse for at lave NTP-forespørgsler eller endog for alle udgående forbindelser. Det er ikke klart, hvor meget meningsfuld beskyttelse ville komme fra sådanne fremgangsmåder i betragtning af den fem sekunders omdrejningstid fra udgående NTP-forespørgsel til indkommende scanning. Den foreslåede løsning vil også gøre lidt for at forhindre misbrug af andre tjenester, såsom websteder, meddelelser, DNS og e-mail, som også modtager indgående forbindelser fra IPv6-enheder. Hein sagde, at han understøtter at bruge IPv6-adresser én gang pr. Forbindelse og begrænser levetiden for en IPv6-adresse til en enkelt forbindelse. Når forbindelsen er lukket, vil IPv6 adressen blive hendelt.

"Dette ville generere et stort antal IPv6-adresser til routere og netværkssystemer, der skal holde styr på, men det ville være det mest sikre," sagde han. "Jeg formoder, at dette er den anden side af spektret fra det, vi ser i dag med tempadresser, som lever i omkring en dag ad gangen og accepterer indgående forbindelser i løbet af den hele tiden."

I sidste ende vil folk i det mindste i overskuelig fremtid gøre det bedre at acceptere, at en vis mængde høst vil være uundgåelig, og at administratorer skal anvende de samme strenge brandvandsregimer til IPv6-enheder, der længe har været påkrævet for at holde v4-enheder sikre.

"Jeg (også) kan bare være for kynisk eller i denne forretning for længe, ​​men jeg føler, at hvis du kommunikerer på det globale internet, bør du forvente at blive probed," en deltager i diskussionen skrev. "Hvis du ikke er klar til at blive probed, skal din maskine ikke være på nettet. Virkelig. Man kan sonde hele v4 Internet om få minutter, så det må ikke være nyt for nogen enhed på det. Det faktum, at v6 adresserummet tager ... lidt længere ???? at sonde bør ikke gøre en doven og stole på sikkerhed ved dunkelhed, håber at din maskine ikke vil blive set. "

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.