保安在一个ipv6网络,是不是大大不同于保安在ipv4网络。 现有的许多著名的ipv4攻击,可与ipv6的,所以我们的手段,为确保数据的相似。 就像在ipv4的世界,也往往会有不道德的黑客找到新的方法来打入我们的网络。 设计师的安全概念和整个计算机安全共同体将不得不时刻保持警觉,并保持找到某种机制,以配合该黑客并找到办法来保护自己的网络,由新的袭击。
如果这两项议定书( ipv4和ipv6 ) ,是用来在一个网络,每一个协议需要自己的安全观和规定,需要加以协调。 ipv6功能的防火墙过滤规则ipv4和单独的过滤规则为ipv6 。
另一点要注意的是, ipv6是包含在大多数操作系统和通常是相当简单的配置。 有时隧道机制激活默认。 ipv4网络管理员可以相信,他们不须担心ipv6 ,但他们都没有意识到有可能是ipv6的交通在其网络已。 这实际上是用ipv6的黑客闯入ipv4网络。
找到ipv6的交通在你的网络过滤你的痕量档案0x86dd在mac头或议定书的41个在ipv4协议的类型字段中。 你可能会发现数量惊人的邻居发现messagesa良好指标,你有积极的ipv6节点对你的网络。
|
|
ipsec的,而作为一个良好的安全机制,不是终结一切,一切为安全。 最安全专业人士都同意有没有"银弹" ,在确保网络,从内部或外部的攻击。 组合中的最佳做法和用户培训,可以最大限度地减少风险。 如果你正在部署ipv6的,在不久的将来,也有一些安全关切应得到解决。 被告知,这不是一个完整的清单,作为整个卷的资料,可书面意见。
当连接到ipv6 natively ,一些安全问题应被视为是讨论在以下几节。
尽管rfc 4301年订定的规定, ipsec在ipv6协议,它并不包括如何钥匙会交换。 你可以手动成立preshared键控的,但在大型企业,这项工作变得繁琐和费时。 在这样的环境中,用一个中央服务器证书,是理想的。 与ipv6的,有没有这样的集中式证书服务器,直到最近。 这改变了与服务器,是基于对因特网议定书,其中特别指明,在rfc 4306 。 福利的优越性是它的可用性都ipv4和ipv6及其简单的执行情况。 它不符合该规范的第一版本协商不成的,但两个版本'头格式相似,足以对他们来说都毫不含糊地较上年的udp端口。
而端到端ipsec是考虑的一个主要优点ipv6的,同时还介绍了新的问题与现有的防火墙和入侵检测/防护,如果特异功能是用来开启加密功能。 如果包是加密的端到端的,请问在一个边境装置检查邮包,没有解密他们呢? 储存所有的加密密钥在一个中央位置,叶片既是中央故障点和一个中央位置,为blackhat黑客闯入窃取所有加密密钥为网络。 其中的想法已经向社区是一个客户服务器模式的ids /新闻通讯社(类似目前的企业级防病毒保护) 。 中央服务器或服务器保持一个数据库的攻击签名或网络异常分析。 客户端下载签名的本地及用户端电脑扫描包本身,提醒中央服务器,如果它找到一个签名匹配。 问题在现行的ipv4入侵检测/新闻通讯社系统包括缺乏检测潜行ipv6的议定书,并普遍缺乏攻击签名,为ipv6为基础的攻击,虽然ipv6的扩散到更多的网络,这些问题最终要解决的。
防火墙支持ipv6包括在大多数主要的操作系统,但防火墙即保留国家的联系(状态防火墙) ,是不是可以用在较旧实现的linux或windows xp/2003中。 思科,检查站时,与公司netscreen (桧木)等,有状态检测的ipv6数据包在更新版本的软件。
卖主ipsec的实施本身也可以导致安全问题。 举例来说,在几个目前的ipv6 ipsec的实现,只有认证和诚信服务,可利用电除尘器与无效加密或啊。 并非所有的特异功能的实现,支持保密件,其中能挑起错误假设的安全服务,以部署,如果你不检查你的供应商执行。
许多ipv6的实施是相当新。 这导致了另外两个可能的安全问题。 第一个问题是缺乏ipv6的评估工具。 它是一种常见的做法,在信息安全领域的审计,你自己的网络,与著名的安全审计工具,然后在安全漏洞发现,用这些工具。 许多这些受欢迎的工具并没有被移植到审计ipv6网络。 第二个问题是:未经测试的代码在ipv6实施(其中还关系到不具备的工具,以测试实现) 。 代码并没有被"付诸表决,通过考" ,可能是未来将有更多的安全漏洞比法典被用于生产环境。
其他的安全关切应留意的是被滥用的邻居发现协议(民主党) ,重复地址检测,路由器的广告。 引用rfc 2462 ( ipv6的无国籍的自动配置)国家:
"如果一个节点,决定了其暂定链路本地地址的,是不是独一无二,自动配置站和手工配置的接口是需要"
这就产生了一个可能的拒绝服务攻击,作为多个ipv6地址可以被分配到一个单一的界面。 一个流氓工作站能分到几千地址,并否认其他工作站的能力,进一步树立了连接-本地地址。 甚至简单得多,一个软件反应者可以建,始终回应"地址在使用"
另一点是,连接本地地址能够获取无preconfiguration 。 攻击者可以在网上取得联系,没有任何进一步的知识网络。 这一特点使恶意节点的机会,并发动攻击的任何其他节点的重视这个环节。 可能的方式来保护,从这个要么链路层认证或使用密码生成地址。
路由器广告欺骗,是另一种安全的关注。 由于多个地址是允许一个单一的接口,多路可作为良好。 一孕穗节点发送一个路由器请求所有路由器组播地址( ff02 : : 2 ) 。 每个路由器上连接的答复与路由器,如果有一个广告含有配置信息,为客户端。 这提供了可能性派遣交通通过一个路由器,通过它的不是要派(允许交通嗅探对流氓路由器) 。 很明显,这种类型的攻击发生在ipv4的世界也;它不同于仅在使用的机制。 使用ipsec中的啊成分或安全邻居发现是一个好方法,以减轻这方面的风险,等等。
规格在新民主党建议使用ipsec保护不受攻击,并没有提供更详细的资料,对如何做这件事。 在许多情况下,特别是在公共无线网络中,密钥管理使用ipsec是太复杂,是不可行的。
一个新的规范已发表在rfc 3971 ,以确保新民主党没有使用ipsec 。 这是所谓的安全邻机发现(派出) 。 这一做法涉及使用新民主党的方案进行公开密码匙基础的签名。 一场零和配置机制,是用来显示地址的所有权就个别节点;路由器认证,是由一个信托主播。
arp协议中的ipv4已换上icmp的讯息,在ipv6 。 而不使用ipsec啊或者发送,不过,民主党有很多的安全问题的arp在ipv4的,如重定向攻击(恶意节点重定向包远离合法接收器) ,拒绝服务( dos )攻击,和洪水袭击(重定向其他主持人的交通给受害者节点创造了防洪冒充交通) 。
端口扫描服务已经变得更加复杂,如果不是不切实际的。 接口标识符在ipv6已经有64位。 草案- ietf的- v6ops -午睡- 02.txt说, "攻击者已经派遣了一个简单不现实的人数坪,以图网络,病毒/蠕虫传播,将挫败了这一进程。在全速率40 gbps ( 400倍典型的100mbps局域网和13000倍,典型的dsl /有线接入连接) ,它接管了5000年的扫描一个单一的64位空间。 " 到数字。 如果自动配置,是用无隐私选项,部分地址(例如,厂商id ) ,可以被猜中的,但它仍是一个广阔的空间。 一个简单和良好的保护,就是为了避免易以揣测解决方案,不使用的词语,如牛肉, f00d ,咖啡馆, 1234 ,和的abcd部分,成为ipv6地址,而不是用顺序编号或易以揣测地址以重点基础设施设备(如x : : 1 ,为路由器) 。
ipv6的支持组播地址与网站的范围,这可能使攻击者能够确定某些重要的资源,该网站上,如果误用。 特别的例子是所有路由器( ff05 : : 2 )以及所有的dhcp服务器( ff05 : : 1:3 )的地址。 攻击者即能渗透到一个信息运往这些地址进入网站,将有可能得到回报的资料找出关键资源,对站点。 这个信息可以用来为指令攻击不等,从简单的水患,以更具体的机制设计,以颠覆装置。 风险可降至最低,确保所有的防火墙和站点边界路由器配置,以减少包的工地范围目的地地址。 此外,节点不应加入组播组不存在任何合法使用于现场,并现场路由器应配置,以减少包针对这些未使用的地址。
ipv4的,是没有预料到很快消失。 它很可能会有ipv4的节点网络,为今后多年。 ipv4的主机无法沟通与ipv6的东道主,没有某种形式的转换或隧道机制,它可以放入复杂,以现有的网络拓扑和其底层代码为网络协议栈。 过渡和隧道机制还可以被用来作为后门进入正常的ipv4只有网络。
利用ipv6作为一个后门到ipv4网络已成为众所周知的做法自2002年以来。 去年12月17日,其中的蜜网项目( http://www.honeynet.org ) solaris的8台服务器,是毫不妥协的。 区别攻击和更早的,是因为这个攻击者成立一个ipv6隧道到另一个国家和潜行出的数据,他正在试图窃取。 这触及许多入侵检测系统的时候,它这样做。 这种做法已变得容易与来临的udp基于隧道机制的设计,让ipv6的,从背后nat的(这种做法几乎是不可能的面前,这些机制都是可用) 。 ipv6和隧道安装协议(小勺) ,是两个这样的机制。
一般来说,与掘进一,以确保数据包进入网络,通过隧道不能规避来袭的包过滤器。 攻击者从互联网上可以的,例如,发送ipv4的数据包进入隧道端点(起薪点,以我们的网络) ,其中包含一个ipv6包一个ipv6源地址列的范围内,我们的内部网络。 隧道端点decapsulates包转发的ipv6数据包进入内部网络。 接收器认为,这包来源于主机从内部网络。 其中一个例子是,一些ipv6的安全机制,依靠查核该和合限额是255 ,并联系本地目的地地址是用。 例如一包,可以引入一个ipv6网络,通过一个隧道。 自动隧道是更危险的,在这方面,因为他们要接受邮包从任何来源。 因此,部分保护,可配置隧道端点只接受包,从配置隧道的切入点或只使用手工配置隧道。 但是攻击者仍然可以哄骗处理。 额外的过滤机制,以实施对隧道端点。 草案- ietf的- v6ops - ipsec的隧道- 02.txt " ,以我的ipsec安全的ipv6在ipv4的隧道" ,进入更多的细节,并给出指导,确保手动配置的ipv6在ipv4的隧道使用ipsec 。
在to4情景,有特别的考虑,讨论了在rfc 3964 , "从安全考虑,为to4 " 这个问题在这里是: a )所有to4路由器必须接受和decapsulate ipv4的数据包,从每一个其他to4路由器和从to4继电器,和b )所有to4中继路由器必须接受交通,从任何本地ipv6节点。 该路由的情况必须加以分析有以下几点:
从to4以to4
从本土向ipv6的to4
从to4以本地ipv6
请参阅本rfc获取详细讨论这个情景和最佳做法,以保护你的网络。
六2-4掘进是一个众所周知的过渡机制,为网络,目前不具有乡土ipv6的连接。 它采用了双叠边界路由器与路由的ipv4地址。 该to4路由器,可用于分布式拒绝服务( ddos )攻击用的工具,所谓4to6ddos 。 四to6ddos并不需要一个ipv6协议栈,以便安装到任何攻击或受害人所在。 它发出的ipv6 ipv4的封装包直接从v4以及以v4以及。 路由器用于to4隧道也可以的dos攻击,简单地连接到路由器,多次与一家私营的ipv4地址。 这些路由器必须接受和decapsulate ipv4的数据包,即使他们是假的。 他们还必须接受交通,从任何本地ipv6节点。 六2-4 ,也并不保证对称路由,即交通,可以考虑路径前往目的地,并采取完全不同的路径后返回。 这种情况可能不是最优从安全的观点。
绘制ipv4的处理也能引起安全问题。 例如,如果一个攻击者传递一个ipv6数据包源地址: : 5909 : 127.0.0.1或: : 5909 : 10.1.1.1在ipv6的源地址域,有可能绕过访问控制列表( acls )的有关边界路由器或防火墙。
Online: 879 users browsing the articles directory
|
|