.
Sicherheit in einem Netz IPv6 ist nicht zu Sicherheit in einem Netz IPv4 im wesentlichen unterschiedlich. Viele der vorhandenen weithin bekannten Angriffe IPv4 können mit IPv6 durchgeführt werden, also sind unsere Mittel für das Sichern von von Daten ähnlich. Gerade wie in der Welt IPv4, gibt es immer unmoralische Häcker, die neue Wege finden, in unsere Netze zu brechen. Die Entwerfer der Sicherheit Konzepte und die gesamte Computersicherheit Gemeinschaft müssen Alarm bleiben und Einheiten, zu finden halten, um Schritt mit den Häckern zu halten und Wege zu finden, ihre Netze vor neuen Angriffen zu schützen.
Wenn beide Protokolle (IPv4 und IPv6) in einem Netz, in den Notwendigkeiten jedes Protokolls sein eigenes Sicherheit Konzept und in den Bestimmungen verwendet werden, die koordiniert werden müssen. IPv6-capable Brandmauern haben Filterrichtlinien für IPv4 und trennen Filterrichtlinien für IPv6.
Ein anderer zu beobachten Punkt ist, daß IPv6 in den meisten Betriebssystemen eingeschlossen ist und ist normalerweise ziemlich einfach zusammenzubauen. Manchmal werden Tunneleinheiten durch Rückstellung aktiviert. Verwalter des Netzes IPv4 können glauben, daß sie nicht um IPv6 sich sorgen müssen, aber sie nicht feststellen, daß es Verkehr IPv6 in ihrem Netz bereits geben kann. Diese Tatsache wird von den IPv6 Häckern verwendet, um in Netze IPv4 zu stören.
Finden Sie den Verkehr IPv6 in Ihrem Netz, indem Sie Ihre Spur Akten für 0x86DD in der MAC-Überschrift oder für Protokoll 41 in der Art des Protokolls IPv4 filtern aufzufangen. Sie können eine überraschende Zahl Nachbarentdeckung messagesa der guten Anzeige finden, daß Sie aktive Nullpunkte IPv6 in Ihrem Netz haben.
IPsec, beim Sein eine gute Sicherheit Einheit, ist nicht Ende-alles, sein-alles für Sicherheit. Die meisten Sicherheit Fachleute stimmen darin überein, daß es keine "silberne Gewehrkugel" gibt, wenn man ein Netz von den internen oder externen Angriffen sichert. Kombinationen der besten Praxis und des Benutzertrainings können Gefahren herabsetzen. Wenn Sie IPv6 in naher Zukunft entfalten, gibt es etwas Sicherheit Interessen, die adressiert werden sollten. Seien geraten Sie, daß dieses nicht eine komplette Liste ist, da gesamte Volumen Informationen auf das Thema geschrieben werden konnten.
Wenn sie gebürtig an IPv6 anschließen, werden einige Wertpapieremissionen, die betrachtet werden sollten, in den folgenden Abschnitten besprochen.
Während RFC 4301 die Anforderung für IPSec im Protokoll IPv6 spezifiziert, bedeckt es nicht, wie die Schlüssel ausgetauscht werden. Sie konnten manuell aufstellen preshared das Befestigen, aber in den großen Unternehmen, wird diese Aufgabe langwierig und zeitraubend. In solchen Klimas einen zentralen Bescheinigung Bediener ist zu verwenden ideal. Mit IPv6 gab es keine solchen zentralisierten Bescheinigung Bediener bis vor kurzem. Dieses hat mit Bedienern geändert, die auf dem Protokoll IKEv2 basieren, das in RFC 4306 spezifiziert wird. Nutzen von IKEv2 ist seine Brauchbarkeit auf IPv4 und IPv6 und seine einfachere Implementierung. Es ist nicht mit der ersten Version von IKE kompatibel, aber Überschriftformate beider Versionen sind genug ähnlich, sie beide eindeutig laufen zu lassen Überschuß das gleiche UDP Tor.
Während aufeinanderfolgendes IPSec einer der Hauptvorteile von IPv6 betrachtet wird, stellt es auch neue Probleme mit dem bestehenden Firewalling und IDS/IPSes vor, wenn BESONDERS mit der Verschlüsselung verwendet wird, die eingeschaltet wird. Wenn die Pakete von Ende zu Ende verschlüsselt werden, wie kontrolliert eine Randvorrichtung die Pakete, ohne sie zu entschlüsseln? Die Speicherung aller Verschlüsselungschlüssel in einer zentralen Position überläßt einem zentralen Punkt des Ausfalls und einer zentralen Position für einen blackhat Hacker Bruch in und stiehlt alle Verschlüsselungschlüssel für das Netz. Eine der Ideen, die der Gemeinschaft dargestellt worden ist, ist ein Klientenservermodell für IDS/IPS (ähnlich gegenwärtigem Unternehmen-Niveau antivirus Schutz). Ein zentraler Bediener oder Bediener führt eine Datenbank der Angriff Unterzeichnung- oder Netzabweichung Analyse. Ein Klient downloadet die Unterzeichnungen am Ort und der Klient Computer lichtet die Pakete selbst ab und alarmiert den zentralen Bediener, wenn er ein Unterzeichnunggleiches findet. Ausgaben in den gegenwärtigen IPv4 IDS/IPS Systemen schließen Mangel an Abfragung von tunneled Protokolle IPv6 ein und ein allgemeiner Mangel an Angriff Unterzeichnungen für IPv6-based Angriffe, obgleich, während IPv6 zu mehr Netzen sich stark vermehrt, diese Ausgaben schließlich gelöst werden sollten.
Brandmauern, die IPv6 stützen, sind in die meisten Hauptbetriebssystemen eingeschlossen, aber in den Brandmauern, die den Zustand der Anschlüsse halten (Stateful Brandmauern) sind nicht vorhanden in den älteren Implementierungen von Linux oder in Windows XP/2003. Cisco, Prüfpunkt und Netscreen (Wacholderbusch), unter anderen, haben Stateful Kontrolle der Pakete IPv6 in den neueren Versionen ihrer Software.
Verkäufer IPSec Implementierungen selbst können Wertpapieremissionen auch verursachen. Z.B. in einigen gegenwärtigen IPv6 IPsec Implementierungen, sind nur Authentisierung und Vollständigkeit Dienstleistungen vorhandenes mit ungültiger Verschlüsselung BESONDERS verwenden oder AH. Nicht alle BESONDERS Implementierungen stützen die Vertraulichkeitstücke, die eine falsche entfaltet zu werden Annahme erregen konnten der Sicherheit Dienstleistungen, die vorhanden sind, wenn Sie nicht Ihre Verkäuferimplementierung überprüfen.
Viele Implementierungen IPv6 sind ziemlich neu. Dieses führt zu zwei andere mögliche Wertpapieremissionen. Die erste Ausgabe ist der Mangel an Einschätzung IPv6 Werkzeugen. Es ist allgemeines üblich in der Informationen Sicherheit auffängt, um Ihr eigenes Netz mit der weithin bekannten Sicherheit zu revidieren, die Werkzeuge, und die Fehler dann zu sichern revidiert, die mit jenen Werkzeugen gefunden werden. Viele dieser populären Werkzeuge sind nicht getragen worden, um Netze IPv6 zu revidieren. Die zweite Ausgabe ist ungetesteter Code in den Implementierungen IPv6 (der auch in Haben nicht der Werkzeuge bindet, zum der Implementierungen zu prüfen). Kodieren Sie, dem nicht "die Presse" wird vermutlich mehr Sicherheitsschwachstellen als haben zu kodieren hindurchgeführt worden ist, die in den Produktion Klimas benutzt worden ist.
Andere Sicherheit Interessen, zum bewußt zu sein sind Mißbräuche des Nachbarentdeckung-Protokolls (NDP), der doppelten Adresse Abfragung und des Fräser-Annoncierens. Ein Anführungsstrich RFC 2462 (Stateless Autoconfiguration IPv6) von den Zuständen:
"wenn ein Nullpunkt feststellt, daß seine vorläufige Verbindung-lokale Adresse nicht einzigartig ist, stoppt Autoconfiguration und manuelle Konfiguration der Schnittstelle wird angefordert."
Dieses wirft eine mögliche Leistungsverweigerung Angriff auf, da mehrfache Adressen IPv6 einer einzelnen Schnittstelle zugewiesen werden können. Eine Gaunerworkstation konnte einiges tausend Adressen zugewiesen werden und anderen Workstationen die Fähigkeit verweigern, eine Verbindung-lokale Adresse zu erwerben. Oder sogar viel einfacher, kann ein Software-Anrufbeantworter errichtet werden, der reagiert immer mit "Adresse im Gebrauch."
Ein anderer Punkt ist, daß Verbindung-lokale Adressen ohne preconfiguration erworben werden können. Ein Angreifer kann Zugang zu einer Verbindung ohne irgendein weiteres Wissen über das Netz erhalten. Diese Eigenschaft gibt einem böswilligen Nullpunkt die Gelegenheit, einen Angriff auf jedem möglichem anderen Nullpunkt anzubringen, der zu dieser Verbindung angebracht wird. Mögliche Weisen, sich vor diesem zu schützen sind entweder Verbindung-Schicht Authentisierung oder der Gebrauch von Cryptographically erzeugten Adressen.
Die spoofing Fräser-Reklameanzeige ist ein anderes Sicherheit Interesse. Da mehrfache Adressen auf einer einzelnen Schnittstelle erlaubt werden, werden mehrfache Wege außerdem erlaubt. Ein Laden des Betriebssystemsnullpunkt schickt ein Fräser-Marketing zur Allfräser multicast Adresse (FF02::2). Jeder Fräser auf der Verbindung antwortet mit einer Fräser-Reklameanzeige, die Konfiguration Informationen für den Klienten enthält. Dieses bietet herauf die Möglichkeit des Sendens des Verkehrs durch einen Fräser an, durch den es nicht gesendet werden soll (den Verkehr erlaubend, der auf dem Gaunerfräser schnüffelt). Offensichtlich geschieht diese Art des Angriffs in der Welt IPv4 auch; sie unterscheidet sich nur in den benutzten Einheiten. Die IPsecs AH Teil- oder sichere Nachbarentdeckung zu verwenden ist eine gute Weise, diese Gefahr, unter anderen abzuschwächen.
Die Spezifikation in NDP schlägt mit IPsec, sich vor Angriffen zu schützen vor, ohne zur Verfügung zu stellen ausführlichere Informationen auf, wie zu dies tun Sie. In vielen Fällen besonders in den allgemeinen und drahtlosen Netzen, ist das Schlüsselmanagement, das mit IPsec verwendet wird, zu kompliziert und unpraktisch.
Eine neue Spezifikation ist in RFC 3971 veröffentlicht worden, um NDP zu sichern, ohne IPsec zu verwenden. Es wird SEcure Neighbor Entdeckung genannt (SENDEN Sie). Diese Annäherung bezieht den Gebrauch von neuen NDP Wahlen mit ein, Öffentlichkeit Schlüssel-gegründete Unterzeichnungen zu tragen. Eine Nullkonfiguration Einheit wird für das Zeigen des Adresse Besitzes auf einzelnen Nullpunkten benutzt; Fräser werden durch einen Vertrauen Anker bestätigt.
Arp in IPv4 ist mit ICMP Anzeigen in IPv6 ersetzt worden. Ohne IPsec zu verwenden AH, oder SENDEN Sie, jedoch hat NDP viele der Sicherheit Probleme, die ARP in IPv4 darstellte, wie umadressieren Angriffe (die böswilligen Nullpunkte, die Pakete weg von den gesetzmaßigen Empfängern umadressieren), Leistungsverweigerung (DOS) Angriffe, und Überschwemmung greift an (Verkehr anderer Wirte zu einem Opfernullpunkt umadressierend, der eine Flut des gefälschten Verkehrs herstellt).
Portabtastung ist viel komplizierter geworden, wenn nicht unpraktisch. Der Schnittstelle Bezeichner in IPv6 hat 64 Zustände der Bits draft-ietf-v6ops-nap-02.txt, denen "ein Angreifer eine einfach unrealistische Anzahl von Pings aussenden muß, um das Netz abzubilden, und virus/worm Ausbreitung wird im Prozeß vereitelt. An Vollweg40Gbps (400 mal den typischen LAN 100Mbps und 13.000mal die typische DSL/Cable Zugang Verbindung) übernimmt sie 5.000 Jahre, um einen einzelnen Raum mit 64 Bits abzulichten." Gehen Abbildung. Wenn Autoconfiguration ohne die Privatleben-Wahl verwendet wird, können einige Teile der Adresse (z.B., Verkäufer Identifikation) geschätzt werden, aber es ist noch ein beträchtlicher Raum. Ein einfacher und guter Schutz soll vermeiden einfach-zu-schätzen die wendenden Entwürfe, verwendet Wörter wie RINDFLEISCH, F00D, KAFFEE, 1234 und ABCD nicht als Teil einer Adresse IPv6, und nicht verwendet der Reihe nach numeriert oder einfach-zu-schätzen Adressen, um Infrastrukturvorrichtungen zu befestigen (wie x::1 für Fräser).
IPv6 stützt multicast Adressen mit Aufstellungsortbereich, der einem Angreifer möglicherweise erlauben kann, bestimmte wichtige Betriebsmittel auf dem Aufstellungsort zu kennzeichnen, wenn er fehl angewendet wird. Bestimmte Beispiele sind die alle Fräser (FF05::2) und alle Adressen der DHCP Bediener (FF05::1:3). Ein Angreifer, der ist, eine Anzeige einzusickern, die für diese Adressen auf den Aufstellungsort bestimmt ist, empfängt möglicherweise in den Rückholinformationen, die Schlüsselbetriebsmittel auf dem Aufstellungsort kennzeichnen. Diese Informationen können für die verwiesenen Angriffe dann verwendet werden, die von der einfachen Überschwemmung zu den spezifischeren Einheiten reichen, die entworfen sind, um die Vorrichtung umzustürzen. Die Gefahr kann herabgesetzt werden, indem man sicherstellt, daß alle Brandmauern und Aufstellungsortgrenzfräser zusammengebaut sind, um Pakete mit Aufstellungsortbereich Zieladressen fallenzulassen. Auch Nullpunkte sollten nicht multicast Gruppen verbinden, für die es keinen gesetzmaßigen Gebrauch auf dem Aufstellungsort gibt, und Aufstellungsortfräser sollten zusammengebaut werden, um die Pakete fallenzulassen, die auf diese unbenutzten Adressen verwiesen werden.
IPv4 wird nicht erwartet, um zu jeder Zeit bald wegzugehen. Es ist sehr wahrscheinlich, daß es Nullpunkte IPv4 in den Netzen gibt, damit viele Jahre kommen. Wirte IPv4 können nicht mit Wirten IPv6 ohne irgendeine Art von Transitioning verständigen oder Einen Tunnel anlegen Einheit, die Kompliziertheit der vorhandenen Netztopologie und dem zugrundeliegenden Code für den Netzstapel hinzufügen kann. Transitioning und Einen Tunnel anlegen Einheiten können als backdoors in IPv4-only Netze auch normalerweise benutzt werden.
IPv6 als Hintertür in Netze IPv4 zu verwenden ist bekanntes üblich seit 2002 gewesen. An Dezember 17, wurde einer des Solaris des HoneyNetProjektes(http://www.honeynet.org) 8 Bediener verglichen. Der Unterschied zwischen diesem Angriff und früh eine war, daß dieser Angreifer einen Tunnel IPv6 auf ein anderes Land aufstellte und aus den Daten tunneled, die er versuchte zu stehlen. Dieses überbrückte viele Eindringenabfragung Systeme der Zeit, und es würde so heute tun. Diese Praxis ist einfacher mit dem Aufkommen der UDP-GEGRÜNDETEN Einen Tunnel anlegen Einheiten gebildet worden, die entworfen sind, um IPv6 von hinten NATs (eine Praxis, die bevor fast unmöglich war, diese Einheiten vorhanden waren) zu erlauben. Teredo-und Tunnel-Einstellung Protokoll (TSP) sind zwei solche Einheiten.
Im Allgemeinen mit dem Einen Tunnel anlegen muß man überprüfen, ob Pakete, die das Netz durch einen Tunnel eintragen, nicht ankommende Paketfilter verhindern können. Ein Angreifer vom Internet könnte ein Paket IPv4 zum Tunnelendpunkt (der Eingang zu unserem Netz) zum Beispiel schicken der ein Paket IPv6 mit einer Adresse des Quell IPv6 aus der Strecke unseres internen Netzes heraus enthält. Die Tunnelendpunkt decapsulates das Paket und schickt das Paket IPv6 zum internen Netz nach. Der Empfänger glaubt, daß dieses Paket von einem Wirt vom internen Netz entsteht. Ein Beispiel ist, daß Sicherheit irgendein IPv6 Einheiten auf dem Prüfen beruhen, ob die Hopfenbegrenzung 255 ist- und daß eine Verbindung-lokale Zieladresse verwendet wird. Solch ein Paket kann in einem Netz IPv6 durch einen Tunnel eingeführt werden. Automatische Tunnels sind in diesem Respekt gefährlicher, weil sie Pakete von jeder möglicher Quelle annehmen müssen. So kann ein teilweiser Schutz den Tunnelendpunkt zusammenbauen sollen, um nur Pakete von einem zusammengebauten Tunneleingang anzunehmen oder nur manuell zusammengebaute Tunnels zu benutzen. Aber der Angreifer kann spoof beruhigen, das adressieren. Zusätzliche Filtereinheiten müssen auf dem Tunnelendpunkt draft-ietf-v6ops-ipsec-tunnels-02.txt eingeführt werden, "mit IPsec, Tunnels IPv6-in-IPv4 zu sichern," steigt in mehr Details ein und gibt Anleitung auf dem Sichern der manuell zusammengebauten Tunnels IPv6-in-IPv4 mit IPsec.
In den Drehbüchern 6to4 gibt es die speziellen Betrachtungen, die besprochen werden in RFC 3964, "Sicherheit Betrachtungen für 6to4." Die Ausgaben hier sind die: A) müssen alle Fräser 6to4 annehmen und decapsulate IPv4 Pakete von jedem anderen Fräser 6to4 und von den Relais 6to4, und B) müssen alle Fräser des Relais 6to4 Verkehr von jedem gebürtigen Nullpunkt IPv6 annehmen. Die analysiert zu werden Wegewahldrehbücher sind, wie folgt:
Von 6to4 zu 6to4
Von gebürtigem IPv6 zu 6to4
Von 6to4 zu gebürtigem IPv6
Beziehen Sie bitte sich das auf RFC für eine ausführliche Diskussion über die Drehbücher und die beste Praxis, Ihr Netz zu schützen.
das Einen Tunnel anlegen 6to4 ist eine weithin bekannte Übergang Einheit für Netze, die nicht z.Z. gebürtige Konnektivität IPv6 haben. Es besteht aus dem Verwenden eines Doppel-Staplungsrandfräsers mit einer routable Adresse IPv4. Der Fräser 6to4 kann für eine verteilte Leistungsverweigerung (DDoS) Angriff mit einem Werkzeug benutzt werden, das 4to6DDoS genannt wird. 4to6DDoS erfordert nicht einen Stapel IPv6, auf dem Angreifen oder den Opferwirt angebracht zu werden entweder. Es schickt IPv6 in IPv4 eingekapselten Paketen direkt von v4 zu v4. Die Fräser, die für das Einen Tunnel anlegen 6to4 benutzt werden, können DOS auch sein, das indem sie einfach an den Fräser mehrmals mit einer privaten Adresse IPv4 in Angriff genommen wird, verbinden. Diese Fräser müssen annehmen und decapsulate IPv4 Pakete, selbst wenn sie geschmiedet werden. Sie müssen Verkehr von jedem gebürtigen Nullpunkt IPv6 auch annehmen. 6to4 auch garantiert nicht symmetrischer Wegewahl, Bedeutung, daß Verkehr einen verlegenweg nehmen kann, der zu seinem Bestimmungsort geht, und nimmt einen vollständig anderen Weg nach Rückkehr. Diese Situation kann möglicherweise nicht von einem Sicherheit Standpunkt optimal sein.
Das abgebildete Wenden IPv4 kann Wertpapieremissionen auch verursachen. Z.B. wenn ein Angreifer ein Paket IPv6 mit Quelladresse von::ffff:127.0.0.1 überträgt, oder::ffff:10.1.1.1 in der Adresse des Quell IPv6 auffangen, ist es möglich, Zugriffssteuerung-Listen (ACLs) des Randfräsers oder -brandmauer zu überbrücken.
Online: 343 users browsing the articles directory
. |