Ipv6 الامن

الامن في شبكة ipv6 هو لا يختلف كثيرا عن الامن في عناوين الشبكه. العديد من القائمة المعروفة عناوين الهجمات يمكن ان يقوم مع ipv6 ، حتى وسائلنا لتأمين بيانات مماثلة. مثلهم مثل الشبكيه في العالم ، سيكون هناك دائما المتسكعين الذين لا اخلاقي ايجاد طرق جديدة لاختراق الشبكات اعمالنا. المصممون للمفاهيم الامن والامن للمجتمع بأسره الحاسوب سيتعين على البقاء في حالة استنفار ويبقى ايجاد آليات لمواكبة القراصنه ، وايجاد سبل لحمايه شبكاتهم من وقوع هجمات جديدة.

اذا كان كل من البروتوكولات (المضيفين وipv6) تستعمل في الشبكه ، كل بروتوكول احتياجات امنها ومفهوم الاحكام ، والتي تحتاج الى تنسيق. Ipv6 القادره على جدران الحمايه قد مرشح لعناوين القواعد ومرشح مستقل للقواعد ipv6.

وثمة نقطة أخرى هي أن ipv6 الاحتفال هو مدرج في معظم نظم التشغيل وعادة بسيطة الى حد ما لتهيئة. احيانا النفق آليات تفعيله بشكل افتراضي. عناوين الشبكه الاداريين قد يعتقدون انهم لا داعي للقلق حول ipv6 ، لكنهم لا يدركون أنه قد يكون هناك ipv6 المرور في شبكتهم بالفعل. وهذه الحقيقة هي التي يستخدمها القراصنه ipv6 الى اقحام عناوين الشبكات.

ايجاد ipv6 المرور الخاصة بك في شبكة من خلال فرز الملفات الخاصة بك لتعقب 0x86dd في الرأس او ماك لبروتوكول 41 في عناوين بروتوكول النوع الميدانيه. يمكنك أن تجد غرابة في عدد من الجيران اكتشاف messagesa مؤشر جيد على ان لديك النشطه ipv6 العقد على الشبكه الخاصة بك.

Ipsec ، بينما يجري جيدا الامن اليه ، ليست هي نهاية كل شيء ، ان يكون الامن للجميع. معظم المهنيين الامن متفقون على ان ليس هناك "سحري" في تأمين شبكة داخلية او خارجية من الهجمات. الجمع بين أفضل الممارسات وتدريب المستعملين يمكن تقليل المخاطر الى ادنى حد. اذا انت نشر ipv6 في المستقبل القريب ، وهناك بعض المخاوف الامنية التي ينبغي معالجتها. نصحت بان تكون هذه ليست قائمة كاملة ، كما مجلدات بأكملها من المعلومات يمكن ان تكون مكتوبة حول هذا الموضوع.

القوميه ipv6

عند الاتصال ipv6 محليا ، وبعض القضايا الامنية التي ينبغي النظر فيها هي التي نوقشت في الأقسام التالية.

مرفق المفاتيح العموميه)

في حين أقروا 4301 يحدد شرط لipsec في ipv6 البروتوكول ، لانه لا يشمل الكيفيه التي سيجري تبادل المفاتيح. امكنكم يدويا انشاء preshared القفل ، ولكن في المؤسسات الكبيرة ، وتصبح هذه المهمة شاقة وتستغرق وقتا طويلا. في مثل هذه البيئات ، وباستخدام مركزي شهادة الخادم هو المثل الاعلى. مع ipv6 ، لم تكن هناك مثل هذه الشهاده مركزية لخدمة الشبكه وحتى وقت قريب. هذا الوضع قد تغير مع خدمة الشبكه التي تستند الى ikev2 البروتوكول ، والذي هو محدد في المضيقين 4306. فوائد ikev2 هم استخدامها على حد سواء المضيفين وipv6 وبساطة التنفيذ. انها ليست متوافقه مع النسخه الاولى من ايك ، ولكن صيغتي 'راسيه صيغ متشابهة بما يكفي لتدير كلا منها لا لبس فيه أكثر من نفس الحزب الميناء.

جدران الحمايه والتدخل والكشف / نظم الوقايه

بينما البداية الى النهاية ipsec يعتبر أحد أهم مزايا ipv6 ، فانه يقدم ايضا مشاكل جديدة مع القائمة firewalling ومعرفات / ipses اذا استخدم مع اسبانيا والتشفير حولت علي. اذا هي عبوة مشفره من نهاية لهذه الغاية ، وكيف الحدود اداة لمعاينه العبوات ، دون فك شفره لهم؟ تخزين جميع مفاتيح التشفير في موقع مركزي يترك كل نقطة مركزية لعدم وجود موقع مركزي لblackhat هاكر اقتحام وسرقة جميع مفاتيح التشفير للشبكة. واحدة من الافكار التي تم عرضها على المجتمع هو نموذج لمركز خدمة العملاء معرفات / البرامج المتكامله (على غرار الحالية على مستوى المؤسسات مضادات الحمايه). خادم مركزي او خدمة يحتفظ بقاعده بيانات للهجوم التوقيعات أو شبكة تحليل الوضع الشاذ. عميل تنزيل تواقيع محليا والعميل الحاسوب مسحا عبوة نفسها ، وتنبيه الخادم المركزي اذا تبين لها وجود توقيع المباراة. القضايا الراهنة في الشبكيه معرفات / نظم البرامج المتكامله وتشمل عدم الكشف عن محفور نفق ipv6 البروتوكولات والافتقار العام الى الهجوم التوقيعات لipv6 القائم على الهجمات ، ورغم ما ipv6 ينتشر الى اكثر الشبكات ، وهذه المسائل يجب ان تحل في نهاية المطاف.

الجدران الناريه التي تدعم ipv6 مدرجة في معظم نظم التشغيل الرئيسية ، ولكن يبقى ان جدران الحمايه من الدولة وصلات (جليل جدران الحمايه) ليست متاحة في اكبر سنا من التطبيقات في لينكس او ويندوز xp/2003. سيسكو ، نقطة تفتيش ، وnetscreen (عرعر) ، بين آخرين ، جليل تفتيش ipv6 عبوة في أحدث النسخ من البرمجيات.

قضايا التنفيذ

بائع ipsec التطبيقات انفسهم يمكن ان تسبب ايضا القضايا الامنية. على سبيل المثال ، في العديد من التطبيقات الحالية ipv6 ipsec ، الا التوثيق والنزاهه وتتوفر الخدمات باستخدام اسبانيا لاغيه مع التشفير او اه. ليس كل الدعم واسبانيا والتطبيقات سرية قطعة ، مما يمكن ان يؤدي الى افتراض زائف من الاجهزه الامنية المتاحة للنشر اذا كنت لا البائع تنفيذ التحقق من اتصالك.

العديد من التطبيقات ipv6 هي جديدة نسبيا. وهذا يؤدي الى اثنين آخرين من الممكن القضايا الامنية. القضية الاولى هي عدم وجود ipv6 ادوات التقييم. وهي ممارسة شاءعه في مجال أمن المعلومات لمراجعة الحسابات الخاصة بك مع شبكة معروفة ادوات التدقيق الامني ، وضمان العيوب ثم وجد مع هذه الادوات. الكثير من هذه الادوات الشعبية لم استدار الى مراجعة ipv6 الشبكات. المساله الثانية هي مدونة في غير مجربه ipv6 التطبيقات (وهو ايضا روابط إلى عدم وجود أدوات لاختبار التطبيقات). مدونة ان لم يكن "من خلال وضع العصاره" ربما يكون الذهاب الى أكثر من قانون الأمن العيوب التي استخدمت في بيئات الانتاج.

الجار اكتشاف القضايا

مشاغل أمنية اخرى ان يكون على علم التجاوزات هي من الجيران اكتشاف البروتوكول (الحاكم) ، تصدى لكشف المكرره ، ومسار الاعلان. اقتباسا من المتجدد 2462 (ipv6 عديمي الجنسيه autoconfiguration) تنص على ما يلي :

"اذا العقده يقرر ان ربط مؤقت - معالجة المحلية ليست فريدة ، autoconfiguration يوقفها ودليل التشكيل من التفاعل هو المطلوب".

وهذا يطرح احتمال الحرمان من الخدمة الهجوم ، كما ipv6 عناوين متعددة يمكن ان تسند الى وصلة واحدة. أ مارقه محطات عمل يمكن ان تكلف عدة الاف من العناوين وغيرها من محطات عمل ينكر القدرة على حيازه وجود صلة بين تناول المحلية. أو حتى ابسط بكثير ، أ البرمجيات المجاوب يمكن ان يبنى عليه ان يستجيب دائما مع "معالجة في استخدام".

وثمة نقطة أخرى هي أن يتناول المحلية - وصلة يمكن اكتسابها دون preconfiguration. وهو مهاجم يمكن الحصول على وصلة دون اى مزيد من المعرفه عن الشبكه. هذه الميزه تعطي كيديه العقده الفرصة لشن هجوم على اى دولة اخرى العقده التي تعلقها على هذه الوصله. السبل الممكنة لحمايتها من هذه الوصله - اما طبقة التوثيق او استخدام الكتابة بطريقة سرية ولدت العناوين.

مسار الاعلان الغش هو قلق أمني آخر. منذ عدة عناوين يسمح على وصلة واحدة ، وتعدد طرق ويسمح كذلك. أ الركل العقده يرسل نداء موجه الى جميع المسارات المتعدد - العنوان (ff02 : : 2). كل مسار على الوصله الردود مع مسار الاعلان الذي يتضمن معلومات التكوين للعميل. هذه العروض حتى امكانيه ارسال السير من خلال مسار من خلالها انه لا يفترض ان ترسل (السماح لحركة المرور شم على مسار المارقه). ومن الواضح ان هذا النوع من الاعتداء يحدث في الشبكيه في العالم ايضا ؛ الا انه يختلف في الآليات المستخدمة. باستخدام ipsec 'sآه العنصر او تأمين الجار الاكتشاف هو وسيلة جيدة لتخفيف هذه المخاطر ، من بين امور اخرى.

المواصفات في الحزب الوطنى يقترح باستخدام ipsec لحمايه من الهجمات ، من دون تقديم مزيد من المعلومات التفصيليه عن كيفية القيام بذلك. وفي كثير من الحالات ، وخاصة في القطاعين العام والشبكات اللاسلكيه ، وادارة المفاتيح المستخدمة مع ipsec امر معقد للغاية وغير عملي.

تحديدا جديدا قد نشرت في المضيقين 3971 لتأمين الحزب الوطني دون استخدام ipsec. ومن دعا الى تأمين الجار اكتشاف (ارسال). هذا النهج ينطوي على استخدام الحزب الوطني خيارات جديدة لتنفيذ المفتاح العمومي القائمة على التوقيعات. صفري - تشكيل آلية تستخدم لعرض معالجة الملكيه الفرديه على العقد ؛ المسارات هي مصدق عليه من الثقة المرساه.

الزراعة في الشبكيه قد استبدل مع اللجنة الدولية المعنية بالاشخاص المفقودين في رسائل ipv6. دون استخدام او ارسال ipsec آه ، ومع ذلك ، فقد الحزب الوطني الكثير من المشاكل الامنية التي تعرض الزراعة في الشبكيه ، مثل اعادة توجيه هجمات (خبيثة عقد اعادة توجيه العبوات بعيدا عن الشرعية الاستقبال) ، والحرمان من الخدمة (دوس) هجمات ، والفيضانات الهجمات (اعادة توجيه اخرى تستضيف 'حركة المرور الى ضحيه عقده خلق طوفان من المرور وهميه).

ميناء المسح

ميناء المسح اصبح اكثر تعقيدا من ذلك بكثير ، ان لم يكن غير عملي. معرف الوصله في 64 ipv6 وقد معاهدات الاستثمار الثنائية. - مشروع الانترنت - v6ops - برنامج العمل الوطني - 02.txt الدول ان "المهاجم وقد لارسال الف ببساطة غير واقعيه عدد من الاصوات لخريطه الشبكه ، وفيروس / الدوده الدعايه ستكون في احباط العملية. في المعدل الكامل 40gbps (400 مرات النمطيه 100mbps الشبكه المحلية ، و13،000 مرات النمطيه خط الهاتف الرقمي للاتصالات / برقية الوصول لينك) ان يأخذ اكثر من 5،000 سنة واحدة لمسح الفضاء 64 بت. " اذهب الشكل. اذا autoconfiguration يستخدم دون خصوصيه الخيار ، وبعض اجزاء من الخطاب (سياسي ، بائع الهوية) يمكن محزور ، إلا انها لا تزال واسعة الفضاء. وبسيط هو حمايه جيدة لتفادي يسيرة على التصدي للمخططات التخمين ، وليس استخدام كلمات مثل اللحم البقري ، f00d ، مقهى ، 1234 ، وABCD كجزء من ipv6 معالجة ، وليس بإستخدام مرقمه بالتسلسل او يسيرة على تخمين عناوين الى بنية تحتية رئيسية من الاجهزه (مثل العاشر : : 1 لمسارات).

قضايا المتعدد

Ipv6 تؤيد المتعدد يتناول مع نطاق الموقع ، والتي يمكن ان تسمح للمهاجم لتحديد بعض الموارد الهامة على الموقع إذا أسيء إستخدامها. خاصة مثالين على ذلك هما جميع المسارات (ff05 : : 2) وجميع مراكز خدمة dhcp (ff05 : : 1:3) كلمات. ان وجود مهاجم قادر على التغلغل في الرسالة الموجهة الى هذه العناوين على الموقع المحتمل ان تحصل في المقابل معلومات تحدد الموارد الرئيسية على الموقع. هذه المعلومات يمكن ان تستخدم بعد ذلك لموجة الهجمات التي تتراوح بين البسيطة الى فيضانات اكثر آليات محددة تهدف الى تخريب الجهاز. خطر يمكن التقليل من خلال ضمان ان جميع الجدران الناريه وموقع الحدود المسارات هي تهيئتها لإسقاط العبوات مع موقع يتناول نطاق المقصد. أيضا ، لا ينبغي ان العقد المتعدد الانضمام للمجموعات التي لا يوجد الشرعية على استخدام الموقع ، والموقع المسارات ينبغي تهيئتها لإسقاط العبوات الموجهة الى تلك العناوين غير المستغله.

الانتقال لحفر الانفاق وآليات

عناوين ليس من المتوقع ان يذهب بعيدا في اي وقت قريب. ومن المرجح جدا ان يكون هناك عناوين العقد على شبكات لسنوات عديدة قادمة. عناوين المضيفين لا تستطيع التواصل مع ipv6 تستضيف دون نوعا من الانتقال اليه او حفر الانفاق ، والتي يمكن أن تضيف الى تعقيد طوبولوجيا الشبكه القائمة والكامنة مدونة لشبكة كومة. الانتقال لحفر الانفاق وآليات يمكن استخدامها ايضا في backdoors عادة الشبكيه - شبكات فقط.

باستخدام ipv6 باعتبارها من الباب الخلفي الى عناوين الشبكات لقد كانت ممارسة معروفة منذ عام 2002. وفي 17 كانون الاول / ديسمبر ، وهو واحد من honeynet المشروع (http://www.honeynet.org) سولاريس 8 مراكز خدمة لشبهة. الفرق بين هذا الهجوم وسابقاتها هو ان هذا المهاجم انشاء نفق ipv6 الى بلد آخر واصل محفور نفق البيانات كان يحاول سرقة. هذا تجاوز كثير من نظم كشف الاقتحام من الوقت ، وانها ستفعل ذلك اليوم. هذه الممارسه اصبح اكثر سهولة مع ظهور الحزب القائم على آليات حفر الانفاق يرمي الى السماح ipv6 من وراء nats (وهي ممارسة كانت شبه مستحيلة قبل هذه الآليات المتاحة). Teredo ونفق اعداد البروتوكول (الترابية) هما مثل هذه الآليات.

عموما ، مع حفر الانفاق على المرء ان نتأكد من ان العبوات ، ان دخول الشبكه عبر نفق لا يمكن الالتفاف الوافد مرشحات الرزمه. وهو مهاجم من الانترنت يمكن ، على سبيل المثال ، ارسال عناوين الرزمه الى النفق نقطة انتهاء (نقطة الدخول الى شبكتنا) ان تحتوي الرزمه مع ipv6 ipv6 عنوان المصدر للخروج من نطاق أعمالنا الداخلية للشبكة. النفق نقطة انتهاء decapsulates الرزمه ويحيل ipv6 الرزمه الى الشبكه الداخلية. المستلم تعتقد ان هذه الرزمه نشأ أصلا من المضيف من الشبكه الداخلية. احد الامثله على ذلك هو ان بعض ipv6 الامن الاعتماد على آليات التحقق من ان القفزه الحد هو 255 وان وجود صلة بين المحلية والعنوان هو المقصد المستخدمة. هذه الرزمه يمكن ادخالها في الشبكه ipv6 عبر نفق. التلقائي الانفاق الاكثر خطرا في هذا الصدد لان لديهم لقبول رزم من اي مصدر. حمايه جزئية حتى يمكن لتهيئة نفق نقطة انتهاء لقبول فقط من اجمالي الصادرات من تهيئتها نقطة دخول نفق او الى استخدام انفاق تهيئتها يدويا فقط. ولكن لا يزال المهاجم يمكن ان تعالج السخريه. فلتر آليات اضافية لتنفيذها على نفق نقطة انتهاء. - مشروع الانترنت - v6ops - ipsec - الانفاق - 02.txt ، و "استعمال ipsec لتأمين ipv6 - في - عناوين الانفاق ،" يدخل في مزيد من التفاصيل ويعطي التوجيهات بشأن تأمين تهيئتها يدويا ipv6 - في - عناوين الانفاق باستخدام ipsec.

في 6to4 السيناريوهات ، هناك بعض الاعتبارات الخاصة التي نوقشت في المضيقين 3964 ، "الاعتبارات الامنية ل6to4." المسائل هنا هي ان : أ) 6to4 جميع المسارات يجب ان تقبل وdecapsulate عناوين عبوة اخرى 6to4 من كل مسار من 6to4 والتبديلات ، وب) تقوية 6to4 جميع المسارات يجب ان تقبل الحركة الوطنية من أي ipv6 العقده. مسار سيناريوهات لتكون حللت هي كما يلي :

• من 6to4 الى 6to4

• من القوميه الى ipv6 6to4

• من 6to4 الى القوميه ipv6

يرجى الرجوع إلى المتجدد لمناقشة مفصلة لسيناريوهات وافضل الممارسات لحمايه الشبكه الخاصة بك.

6 to4 حفر الانفاق هو معروف الانتقال اليه للشبكات التي ليست لديها حاليا القوميه ipv6 التوصيل. وهو يتألف من استخدام مزدوج - مكدس مسار الحدود مع routable معالجة الشبكيه. فان 6to4 مسار يمكن ان تستخدم لانكار الخدمة الموزعه (ddos) الهجوم باستخدام اداة تسمى 4to6ddos. 4 to6ddos لا يحتاج الى كومة ipv6 يتم تثبيته اما المهاجمه او الضحيه المضيفه. ويبعث ipv6 في الشبكيه رزم مغلفة بشكل مباشر من تحديثات لتحديثات. فإن المسارات تستخدم لحفر الانفاق 6to4 ويمكن ايضا للهجوم من قبل دوس ببساطة الى ربط مسار عدة مرات خاصة مع معالجة الشبكيه. هذه المسارات يجب ان تقبل وdecapsulate عناوين عبوة حتى ولو كانت مزورة. ويجب عليها ايضا ان تقبل الحركة الوطنية من أي ipv6 العقده. 6 to4 ايضا لا يضمن توجيه المتماثله ، وهذا يعني ان الحركة يمكن ان يتخذ أحد مسارات طريق الذهاب الى مقصدها ، وتتخذ مسارا مختلفا تماما عند عودتهم. وهذه الحاله قد لا تكون الامثل من وجهة النظر الامنية.

خرائط عناوين يمكن ان تتسبب ايضا فى معالجة القضايا الامنية. فعلى سبيل المثال ، إذا كان المهاجم يرسل احد ipv6 الرزمه مع عنوان المصدر : : ffff : 127.0.0.1 أو : : ffff : 10.1.1.1 في ipv6 عنوان المصدر الميدان ، فمن الممكن الوصول الى الالتفافيه قوائم المراقبة (acls) من الحدود او مسار الجدار الناري.