la rete

Perché è meglio disattivare il protocollo IPv6 del computer se non lo si utilizza?

0 6.892 11 minuti di lettura

IPv6 comporta molti cambiamenti e miglioramenti in tutte le aree, velocità, sicurezza, ecc. Protocolli come ARP stanno scomparendo, ne stanno comparendo di nuovi come ICMPv6, DHCPv6, NDP e il modo in cui lavoriamo a livello di rete sta cambiando. In precedenza in RedesZone abbiamo parlato dei principali cambiamenti che verranno prima dell'implementazione di IPv6 in tutti i sistemi informativi, gli operatori hanno già tutto pronto per l'implementazione di massa, anche se ci sarà una coesistenza con i due protocolli.

Stranamente, la maggior parte dei tecnici con cui ho discusso di questo problema crede che questo sia qualcosa di cui non dovremmo preoccuparci, poiché colpisce in particolare gli IP pubblici e, quindi, i dispositivi connessi a Internet e non alle reti aziendali locali per le quali non ci sono problemi a causa dell'esaurimento degli indirizzi IP della versione 4.

In realtà non è così, attualmente, e a causa del rapido utilizzo di questo nuovo protocollo, IPv6 è implementato in molti sistemi operativi attuali: Windows XP dal Service Pack 2, (anche se deve essere abilitato manualmente), Windows Vista e le versioni precedenti come Windows 7, 8 hanno IPv6 abilitato per impostazione predefinita, anche le versioni server di Windows sono dotate di IPv6 abilitato per impostazione predefinita. Su Linux dal kernel 2.6, IPv6 è abilitato per impostazione predefinita, ad eccezione di alcune distribuzioni speciali. Cioè, in cosa funziona davvero connessioni SMB , DNS o anche web di Intranet , questo è il protocollo IP v6. 

IPv6 nel nostro sistema operativo

Per verificare che IPv6 sia installato sul nostro computer, basta entrare nella finestra delle proprietà TCP/IP e vedremo come appare accanto alle proprietà TCP/IP.

Accessibile dal pulsante "Start/Pannello di controllo/Centro connessioni di rete e condivisione".

E facendo clic su "Connessione alla rete locale", quindi facendo clic sul pulsante "Proprietà". Un altro modo semplice per verificare è aprire una finestra del prompt dei comandi di MS-DOS e digitare il comando "ipconfig".

Questo indirizzo che compare accanto a "Link: indirizzo IPv6 locale" è il nostro indirizzo IP Link-Local ovvero il link locale che l'interfaccia si assegna per iniziare a lavorare con il protocollo IPv6.

Ma non solo nell'ambito dei sistemi operativi desktop, anche altri dispositivi che si collegano alla rete stanno valutando la possibilità di utilizzare IPv6, ad esempio i dispositivi Cisco supportano completamente IPv6 dalla versione 15 del loro iOS anche se in precedenza lo supportavano già per una misura minore. . Anche firewall, IDS, sniffer, dispositivi mobili, tablet e altri dispositivi supportano IPv6. Il problema non è la mancanza di supporto, il problema è l'ignoranza degli utenti e, peggio ancora, dei tecnici, che tipo di funzionalità IPv6 è supportata dai dispositivi con cui lavoriamo.

Il fatto che un dispositivo supporti IPv6 e che tale supporto non sia configurato correttamente, è ciò che genera un gran numero di vulnerabilità che, essendo sconosciute e ignorate, lasciano la nostra rete esposta a molteplici tipi di attacchi che ignoriamo. .

Amministratore del dispositivo

Se entriamo nella gestione del team, facendo clic sul pulsante Start, facendo clic con il pulsante destro del mouse sull'opzione "Team" e scegliendo l'opzione "Gestisci", viene visualizzata la finestra di dialogo "Gestione del team".

Facendo clic con il pulsante destro del mouse sull'opzione "Gestione dispositivi" che appare nel riquadro di destra e scegliendo le opzioni "Mostra / Mostra dispositivi nascosti" e mostrando la categoria "Schede di rete", vedremo quanto segue:

Adattatore 6to4, adattatore ISATAP, adattatore Teredo, che ci consentono di stabilire tunnel IPv6 su IPv4 a nostra insaputa. Ciò implica che a questo punto qualcuno potrebbe avere un tunnel IPv6 stabilito contro il nostro computer e noi non lo sapremmo.

IPv6 e priorità del protocollo

Inoltre, nell'implementazione di IPv6, è stata presa in considerazione quella che viene chiamata "Protocol Priority", che può far sì che le nostre apparecchiature inizino a funzionare in modalità IPv6 in qualsiasi momento, senza che noi avvertiamo e quindi sfuggono al nostro controllo. Torniamo alla nostra finestra del prompt dei comandi di MS-DOS e digitiamo il seguente comando:

C:>netsh interface ipv6 show prefixpolicies

Come si vede, il sistema operativo dà priorità a IPv6 su IPv4 se è possibile utilizzare questo protocollo, che è già una perdita di tempo, risorse, larghezza di banda cercando di verificare se riesce a stabilire una comunicazione tramite IPv6 prima di passare a IPv4.

Quando digitiamo un URL nel browser, prima cerca di risolvere quell'URL in un indirizzo IP IPv6 interrogando i server DNS IPv6 che utilizzano record AAAA; se ciò non è possibile, tenta di risolverlo guardando i server DNS IPv4.

Maggiori dettagli da considerare...

IPv6 consente a un'interfaccia di avere più di un indirizzo IP, alcuni come FE80 link-local :: hanno un ambito di rete locale, altri hanno un ambito globale come 2001 :: / 64, di quest'ultimo tipo, un'interfaccia può avere tutto quello che vuoi . Gli IP globali sono quelli che ci consentono di comunicare via Internet in tutto il mondo e sono pubblici per definizione, ovvero sono visibili da qualsiasi punto di Internet.

Per facilitare l'utilizzo dei nuovi IP del protocollo IPv6, abbiamo diversi meccanismi di autoconfigurazione:

  • Stateful , questo metodo richiede che un server DHCPv6 sia disponibile sulla rete, per questo il dispositivo che ha IPv6 abilitato quando connesso a una rete invia messaggi di richiesta di configurazione per la sua interfaccia per IPv6 come fa con IPv4.
  • apolidi , SLAAC (Stateless Address Automatic Configuration) è un protocollo per la configurazione degli indirizzi IPv6 utilizzando i messaggi inviati dal router di connessione, non da un server DHCPv6. Un computer con un indirizzo IPv6 Link-Local, ovvero FE80 ::, non può instradare il suo traffico se non ha un sito o un indirizzo IPv6 globale, ed è per questo che i router inviano messaggi RA (Router Advertisement) che ti dicono ai computer come per configurarlo per avere connettività attraverso di loro.

In SLAAC, quando un dispositivo riceve un messaggio di tipo Router Advertisement che annuncia che un IP è configurato per la rete indicata, lo fa immediatamente, senza verificare la veridicità delle informazioni. Quando un computer riceve l'indirizzo di rete 2001: 2000: a: b :: / 64 tramite una RA, un IP IPv6 viene configurato automaticamente utilizzando il metodo EUI-64 o EUI-64 modificato che utilizza l'indirizzo MAC come computer fisico modello, aggiungendo un nuovo indirizzo IP IPv6 globale all'interfaccia, qualcosa del genere: 2001: 2000: a: b: baac: 6fff: fea1: ffb3.

La maggior parte dei sistemi operativi non prende l'indirizzo MAC come modello, ma piuttosto assegna in modo casuale un indirizzo IPv6 host, infatti potresti avere due IPv6 pubblici:

  • Il primo IPv6, ovvero quello con cui navighi in Internet generato casualmente
  • Il secondo IPv6, che consiste nell'accedere ad esempio al nostro server dall'esterno, senza bisogno di utilizzare il No-IP poiché è semplicemente necessario conoscere il range di rete / 64 che il nostro operatore ci assegna, e conoscere il MAC del nostro scheda di rete a cui fare l'EUI-64.

Non c'è limite in quanto tale al numero di indirizzi IP aggiunti tramite RA (questo limiterebbe solo il prefisso di rete), quindi utilizzando il programma corretto il computer attaccato può essere travolto e lasciato fuori servizio. di attacco al servizio.

La prima volta che sono connessi a una rete, il nodo invia a query del router link-local utilizzando multicast ( sollecitazione del router ) richiesta dei parametri di configurazione; e se i router sono configurati per questo, risponderanno a questa richiesta con un " pubblicità del router "( pubblicità del router) che contiene i parametri di configurazione del livello di rete. Quando il dispositivo utente è connesso ad una rete, è anche configurato per inviare messaggi multicast del tipo FE02 :: 2 RS, (Router Solicitation), che vengono elaborati da tutti i router collegati alla rete, chiedendo di inviare loro la configurazione di rete dovrebbero usare per connettersi a Internet. Se il router ha un'interfaccia IPv6 configurata, risponderà immediatamente inviando un messaggio RA al dispositivo, contenente l'indirizzo di rete in modo che il dispositivo possa instradare i propri pacchetti.

Come si può vedere, è facile inviare un pacchetto RA a una rete locale per modificare il routing IPv6 di tutti i dispositivi su una rete. Possiamo disabilitare questo comportamento con il seguente comando sui sistemi Windows:

netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled

Ma ci sono davvero così tanti computer compatibili con IPv6 sulla mia rete? Vediamo, controlliamo i nostri vicini con il seguente comando MS-DOS.

netsh interface ipv6 show neighbors

Possiamo vedere che abbiamo dozzine di squadre che possiamo attaccare facilmente. Oppure vediamo questa cattura Wireshark del traffico che passa attraverso la nostra interfaccia:

Messaggi di richiesta DHCPv6, messaggi LLMNR, ICMPv6, pacchetti che circolano inutilmente sulla nostra rete. Chiarire un po' di più, il problema è che i sistemi operativi e tutti i dispositivi che colleghiamo alla nostra rete potrebbero già supportare IPv6, ma tutto su questo nuovo protocollo rimane non configurato e non controllato.

Ad esempio, sarebbe possibile installare un server DHCPv6 in una rete locale in modo che configuri l'interfaccia dei dispositivi con un IP IPv6 oltre all'IP IPv4 che è legittimamente assegnato dal server DHCP della rete aziendale. , in questo caso come potremmo configurare un computer attaccante come gateway per la macchina intercettata a cui abbiamo fornito una configurazione IPv6 errata in modo che tutto il traffico diretto all'esterno della rete locale passi attraverso la macchina attaccante.

Nella maggior parte dei casi, il traffico IPv6 è incontrollato, quindi potrebbe essere facilmente stabilito un Man In The Middle (MITM) che inoltrerebbe tutto il traffico senza saperlo, poiché con IPv4 tutto sembrerebbe normale. Nella situazione attuale, i sistemi operativi consentono di configurare un'interfaccia di rete con diversi parametri IPv6 oltre ai parametri IPv4 legittimi.

Se ancora non sei convinto, un'altra vulnerabilità, netmask: in IPv4, netmask ci permette di segmentare una rete in modo che i dispositivi possano comunicare solo con altri che corrispondono nella parte della rete.' Indirizzo IP che dice loro la maschera di rete.

Ad esempio, due squadre A e B

collaborare IPv4 NASCONDERE RAPPORTO
À 192.168.1.10 255.255.255.0 192.168.1.0
B 192.168.1.254 255.255.255.0 192.168.1.0

I computer possono comunicare poiché la parte dell'indirizzo IP indicata dalla maschera, (24 bit da sinistra), 192.168.1, corrisponde, quindi diciamo che sono sulla stessa rete e che i computer si vedono.

collaborare IPv4 NASCONDERE RAPPORTO
À 192.168.1.10 255.255.255.0 192.168.1.0
B 192.168.66.254 255.255.255.0 192.168.66.0

I computer non si vedono, cioè non possono comunicare, poiché la parte dell'indirizzo IP indicata dalla maschera, (24 bit da sinistra), 192.168.1 e 192.168.66, non corrispondono, quindi diciamo Non sono sulla stessa rete e i computer non sono visibili.

Ma se i computer hanno la versione IP 6 abilitata, questo cambia. Supponiamo che i due computer dell'esempio precedente, se hanno la versione IP 6 abilitata, possiamo eseguire il ping dall'indirizzo link-local dell'altro, ovvero, la versione IP 6 ignora le restrizioni della maschera di rete IPv6. La stessa cosa accade con le sottoreti IPv6, supponiamo il seguente esempio:

collaborare IP versione 6 PREFISSO MASCHERA + IP
Ultimo gruppo in binario
BINARIO ESADECIMALE.
À 2001: A: B: C: D: E: F: 1234/126 126 2001: A: B: C: D: E: F: 123 01 00 4
B 2001: A: B: C: D: E: F: 1235/126 126 2001: A: B: C: D: E: F: 123 01 01 5

Nell'esempio sopra, i due computer si trovano sulla stessa sottorete poiché i 126 bit da sinistra corrispondono.

collaborare IP versione 6
 PREFISSO MASCHERA + IP
Ultimo gruppo in binario
BINARIO ESADECIMALE.
À 2001: A: B: C: D: E: F: 1234/126 126 2001: A: B: C: D: E: F: 123 01 00 4
B 2001: A: B: C: D: E: F: 1238/126 126 2001: A: B: C: D: E: F: 123 dix 00 8

In questo secondo caso i bit 125 e 126 non coincidono quindi le due macchine sono su reti diverse /126, quindi non sono visibili. Ma se eseguiamo il ping da una macchina a un'altra tramite il loro IP link-local, (FE80: 🙂 le macchine vengono visualizzate.

Perché disabilitare IPv6 su Windows?

Se attualmente non stiamo utilizzando il protocollo IPv6 nella nostra rete locale, il meglio che possiamo fare è disattivarlo per evitare possibili attacchi alle reti dati con lo standard IPv6. Normalmente, in casa o in azienda, si continua ad utilizzare il protocollo IPv4, con le note sottoreti specificamente orientate alle reti locali private. Avere IPv6 abilitato sulla nostra scheda di rete, sia sulla nostra scheda di rete Ethernet cablata o wireless su WiFi, può presentare un rischio che non dovremmo correre.

Oggi ci sono diversi attacchi alle reti IPv6, che ci colpirebbero anche se non stiamo usando IPv6 sulla rete, perché il protocollo IPv6 ha la precedenza sul protocollo IPv4 che utilizzeremo.

  • Neighbor Advertisement Attacco Spoofing: questo attacco è simile all'ARP Spoofing per le reti IPv4, l'obiettivo di questa tecnica è eseguire un attacco Man in the Middle su una vittima e quindi rubare i dati. Se abbiamo abilitato IPv6, anche se non lo usiamo e utilizziamo IPv4, saremo vulnerabili e saranno in grado di leggere e modificare tutto il traffico al volo.
  • Attacco SLAAC: questo attacco verrebbe utilizzato anche per eseguire un attacco in modo che tutto il traffico passi attraverso il nostro indirizzo IP, ingannando la vittima e facendo sì che tutto il traffico non vada direttamente al router, ma attraversi prima il nostro computer. .
  • Attacco DHCPv6: possiamo configurare un server DHCPv6 illegittimo, in modo che l'apparecchiatura ci invii tutte le informazioni configurando il suo gateway con il nostro indirizzo IP. Questo attacco è disponibile anche su reti IPv4, quindi dovresti stare attento e usare VPN se ti trovi su reti inaffidabili.

Attualmente, la cosa migliore da fare se non stai utilizzando questo protocollo IPv6 per navigare in Internet o per comunicare con i tuoi computer sulla rete locale, è spegnerlo per evitare problemi.

Come si disattiva IPv6 su Windows?

Accediamo alle proprietà TCP/IP, in uno dei modi che ci sono familiari (vedere l'inizio dell'articolo), e deselezionare la casella IPv6.

IPv6 è un protocollo implementato nella maggior parte dei prodotti e dispositivi che utilizziamo in ambito informatico ma che, per ignoranza o per altri motivi, non è configurato correttamente e crea una situazione di vulnerabilità che non possiamo trascurare. Se non stai utilizzando questo protocollo, la cosa migliore da fare è disattivarlo sul tuo PC.

Come hai visto, se non abbiamo IPv6 nella nostra rete, il meglio che possiamo fare è disattivarlo. A volte utilizziamo servizi VPN incompatibili con questo protocollo, ma la cosa più grave è che potrebbero eseguire diversi attacchi contro di noi a nostra insaputa, utilizzando questo protocollo IPv6. Al giorno d'oggi, tutti i computer integrano di default la compatibilità con le reti IPv6, e addirittura l'hanno sempre attivata in priorità, vale a dire che se abbiamo una comunicazione con IPv4 e con IPv6, la comunicazione con IPv6 avrà sempre la priorità. Per questo motivo, se sappiamo per certo che non utilizzeremo le reti IPv6, il meglio che possiamo fare è disabilitarlo direttamente.

0 6.892 11 minuti di lettura

Articoli simili

Foto di Come cambiare carattere o tipografia in WhatsApp

Come cambiare il carattere o la tipografia in WhatsApp

Giugno 15, 2021
Foto di Come rimuovere gli annunci da YouTube

Come rimuovere gli annunci da YouTube

Giugno 15, 2021
Foto di Quali sono i migliori servizi e piattaforme di streaming per guardare la TV in diretta e in diretta? Elenco 2020

Quali sono i migliori servizi e piattaforme di streaming per guardare la TV in diretta e in diretta? Elenco 2020

Dicembre 31, 2020
Foto di Come cambiare il tuo account iCloud ID Apple senza perdere dati da iPhone o Mac? Guida passo passo

Come cambiare il tuo account iCloud ID Apple senza perdere dati da iPhone o Mac? Guida passo passo

Dicembre 31, 2020

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

Torna all'inizio pulsante