La seguridad en una red IPv6 no es substancialmente diferente de seguridad en una red IPv4. Muchos de los ataques bien conocidos existentes IPv4 se pueden realizar con IPv6, así que nuestros medios para asegurar datos son similares. Apenas como en el mundo IPv4, habrá siempre los hackers poco éticos que encuentran nuevas maneras de romperse en nuestras redes. Los diseñadores de los conceptos de la seguridad y la comunidad entera de la seguridad de la computadora tendrán que permanecer alarma y guardar el encontrar de mecanismos para guardar paso con los hackers y para encontrar maneras de proteger sus redes contra nuevos ataques.
Si ambos protocolos (IPv4 e IPv6) se utilizan en una red, las necesidades de cada protocolo su propio concepto de la seguridad y las provisiones, que necesitan ser coordinadas. Los cortafuegos de IPv6-capable tienen reglas del filtro para IPv4 y separan las reglas del filtro para IPv6.
Otro punto a observar es que IPv6 está incluido en la mayoría de los sistemas operativos y es generalmente algo simple configurar. Los mecanismos del túnel son activados a veces por el defecto. Los administradores de la red IPv4 pueden creer que no tienen que preocuparse de IPv6, sino que no realizan que puede haber el tráfico IPv6 en su red ya. Este hecho es utilizado por los hackers de IPv6 para imponer en las redes IPv4.
Encuentre el tráfico IPv6 en su red filtrando sus archivos del rastro para 0x86DD en el jefe del MAC o para el protocolo 41 en el tipo campo del protocolo IPv4. Usted puede encontrar un número que sorprende del buen indicador del messagesa vecino del descubrimiento que usted tiene nodos activos IPv6 en su red.
|
|
IPsec, mientras que siendo un buen mecanismo de la seguridad, no es el extremo-todo, ser-todo para la seguridad. La mayoría de los profesionales de la seguridad convienen que no hay "bala de plata" en asegurar una red de ataques internos o externos. Las combinaciones de las mejores prácticas y entrenamiento de usuario pueden reducir al mínimo riesgos. Si usted está desplegando IPv6 en el futuro cercano, hay algunas preocupaciones de la seguridad que deben ser tratadas. Aconséjese que esto no es una lista completa, pues los volúmenes enteros de información se podrían escribir en el tema.
Al conectar con IPv6 nativo, algunas ediciones de seguridad que deben ser consideradas se discuten en las secciones siguientes.
Mientras que el RFC 4301 especifica el requisito para IPSec en el protocolo IPv6, no cubre cómo las llaves serán intercambiadas. Usted podría instalar manualmente preshared afinar, pero en empresas grandes, esta tarea llega a ser aburrida y desperdiciadora de tiempo. En tales ambientes, usar un servidor central del certificado es ideal. Con IPv6, no había tales servidores centralizados del certificado hasta hace poco tiempo. Esto ha cambiado con los servidores que se basan en el protocolo IKEv2, que se especifica en RFC 4306. Las ventajas de IKEv2 son su utilidad en IPv4 e IPv6 y su puesta en práctica más simple. No es compatible con la primera versión de IKE, pero los formatos del jefe de ambas versiones son bastante similares funcionarlo ambos inequívoco excedente el mismo puerto del UDP.
Mientras que IPSec end-to-end se considera una de las ventajas principales de IPv6, también introduce nuevos problemas con firewalling existente e IDS/IPSes si se utiliza ESPECIALMENTE con el cifrado girado. ¿Si los paquetes se cifran de final al extremo, cómo un dispositivo de la frontera examina los paquetes sin el descifre de ellos? Almacenar todas las llaves del cifrado en una localización central sale de un punto central de la falta y de una localización central para un hacker del blackhat a la rotura en y roba todas las llaves del cifrado para la red. Una de las ideas que se ha presentado a la comunidad es un modelo del servidor de cliente para IDS/IPS (similar a la protección actual del antivirus del empresa-nivel). Un servidor o los servidores centrales guarda una base de datos del análisis de la anomalía de las firmas o de la red del ataque. Un cliente descarga las firmas localmente y la computadora explora los paquetes sí mismo del cliente, alertando el servidor central si encuentra un fósforo de la firma. Las ediciones en sistemas actuales de IPv4 IDS/IPS incluyen la carencia de la detección de tunneled los protocolos IPv6 y una carencia general de las firmas del ataque para los ataques de IPv6-based, aunque como IPv6 prolifera a más redes, estas ediciones deben ser solucionadas eventual.
Los cortafuegos que apoyan IPv6 se incluyen en la mayoría de los sistemas operativos principales, pero los cortafuegos que guardan el estado de las conexiones (cortafuegos de Stateful) no están disponibles en más viejas puestas en práctica de Linux o en Windows XP/2003. El Cisco, el punto de comprobación, y Netscreen (enebro), entre otros, tienen inspección de Stateful de los paquetes IPv6 en más nuevas versiones de su software.
Las puestas en práctica ellos mismos de IPSec del vendedor pueden también causar ediciones de seguridad. Por ejemplo, en varias puestas en práctica actuales de IPv6 IPsec, solamente la autentificación y los servicios de la integridad son el usar disponible ESPECIALMENTE con el cifrado nulo o AH. No todos las puestas en práctica apoyan ESPECIALMENTE los pedazos del secreto, que podrían provocar una asunción falsa de los servicios de seguridad disponibles que se desplegará si usted no comprueba su puesta en práctica del vendedor.
Muchas puestas en práctica IPv6 son bastante nuevas. Esto conduce a dos otras ediciones de seguridad posibles. La primera edición es la carencia de las herramientas del gravamen IPv6. Es una práctica común en el campo de seguridad de la información revisar su propia red con la seguridad bien conocida que revisa las herramientas, y después asegurar los defectos encontrados con esas herramientas. Muchas de estas herramientas populares no se han virado hacia el lado de babor para revisar las redes IPv6. La segunda edición es el código no comprobado en las puestas en práctica IPv6 (que también ata en no tener las herramientas para probar las puestas en práctica). Cifre que "no se ha puesto a través el escurridor" va probablemente a tener más defectos de seguridad que cifrar que se ha utilizado en ambientes de la producción.
Otras preocupaciones de la seguridad a estar enteradas de son abusos del protocolo vecino del descubrimiento (NDP), de la detección duplicada de la dirección, y de la publicidad de la rebajadora. Una cotización de estados del RFC 2462 (autoconfiguración apátrida IPv6):
"si un nodo se determina que su dirección acoplamiento-local tentativa no es única, la autoconfiguración para y la configuración manual del interfaz se requiere."
Esto plantea una negación posible del ataque del servicio, pues las direcciones múltiples IPv6 se pueden asignar a un solo interfaz. Un sitio de trabajo del granuja podía ser asignado vario mil direcciones y negar a otros sitios de trabajo la capacidad de adquirir una dirección acoplamiento-local. O aún mucho más simple, un respondedor del software puede ser construido que responde siempre con la "dirección en uso."
Otro punto es que las direcciones acoplamiento-locales se pueden adquirir sin el preconfiguration. Un atacante puede conseguir el acceso a un acoplamiento sin cualquier conocimiento más otro sobre la red. Esta característica da a nodo malévolo la oportunidad de montar un ataque contra cualquier otro nodo unido a este acoplamiento. Las maneras posibles de proteger contra esto son autentificación de la acoplamiento-capa o el uso de direcciones generadas Cryptographically.
El anuncio de la rebajadora spoofing es otra preocupación de la seguridad. Puesto que las direcciones múltiples se permiten en un solo interfaz, las rutas múltiples se permiten también. Un nodo del booting envía una solicitación de la rebajadora a la dirección del multicast de las todo-rebajadoras (FF02::2). Cada rebajadora en el acoplamiento contestó con un anuncio de la rebajadora que contiene la información de la configuración para el cliente. Esto ofrece encima de la posibilidad de enviar tráfico a través de una rebajadora a través de la cual no se suponga para ser enviado (permitiendo el tráfico que huele en la rebajadora del granuja). Obviamente, este tipo de ataque sucede en el mundo IPv4 también; diferencia solamente en los mecanismos usados. Usar el descubrimiento vecino componente o seguro de IPsec AH es una buena manera de atenuar este riesgo, entre otros.
La especificación en NDP sugiere con IPsec para proteger contra ataques, sin el abastecimiento de una información más detallada en cómo a haga esto. En muchos casos, especialmente en redes públicas y sin hilos, la gerencia dominante usada con IPsec es demasiado compleja e impráctica.
Una nueva especificación se ha publicado en RFC 3971 para asegurar NDP sin usar IPsec. Se llama descubrimiento SEcure Neighbor (ENVÍE). Este acercamiento implica el uso de las nuevas opciones de NDP de llevar firmas llave-basadas público. Un mecanismo de la cero-configuracio'n se utiliza para demostrar propiedad de la dirección en nodos individuales; las rebajadoras son certificadas por un ancla de la confianza.
El ARP en IPv4 se ha substituido por los mensajes del ICMP en IPv6. Sin usar IPsec AH o ENVÍE, sin embargo, NDP tiene muchos de los problemas de la seguridad que el ARP presentó en IPv4, por ejemplo vuelve a dirigir los ataques (nodos malévolos que vuelven a dirigir los paquetes lejos de receptores legítimos), negación de los ataques del servicio (DOS), y el flooding ataca (volviendo a dirigir el tráfico de otros anfitriones a un nodo de la víctima que crea una inundación del tráfico falso).
La exploración portuaria ha llegado a ser mucho más compleja, si no impráctico. El identificador del interfaz en IPv6 tiene 64 estados de los pedacitos draft-ietf-v6ops-nap-02.txt que "un atacante tenga que enviar un número simplemente poco realista de silbidos de bala para traz la red, y la propagación de virus/worm será frustrada en el proceso. En 40Gbps de exploración completa (400 por el LAN típico 100Mbps, y 13.000 veces el acoplamiento típico del acceso de DSL/Cable) asume el control 5.000 años para explorar un solo espacio de 64 pedacitos." Va la figura. Si la autoconfiguración se utiliza sin la opción de la aislamiento, algunas partes de la dirección (e.g., identificación del vendedor) se pueden conjeturar, solamente él siguen siendo un espacio extenso. Una protección simple y buena es evitar fa'cil-a-conjetura los esquemas de dirección, no usando palabras tales como CARNE DE VACA, F00D, CAFÉ, 1234, y ABCD como parte de una dirección IPv6, y no usándolas numerado secuencialmente o fa'cil-a-conjetura direcciones para afinar los dispositivos de la infraestructura (tales como x::1 para las rebajadoras).
IPv6 apoya direcciones del multicast con el alcance del sitio, que puede potencialmente permitir que un atacante identifique ciertos recursos importantes en el sitio si está empleado mal. Los ejemplos particulares son todas las rebajadoras (FF05::2) y todas las direcciones de los servidores de DHCP (FF05::1:3). Un atacante que puede infiltrar un mensaje destinado para estas direcciones sobre el sitio potencialmente recibirá en la información de vuelta que identifica los recursos dominantes en el sitio. Esta información se puede entonces utilizar para los ataques dirigidos que se extienden de flooding simple a mecanismos más específicos diseñados para derribar el dispositivo. El riesgo puede ser reducido al mínimo asegurándose de que todos los cortafuegos y rebajadoras del límite del sitio están configurados para caer los paquetes con direcciones de destinación del alcance del sitio. También, los nodos no deben ensamblar los grupos del multicast para los cuales no hay uso legítimo en el sitio, y las rebajadoras del sitio se deben configurar para caer los paquetes dirigidos a estas direcciones inusitadas.
No se espera que IPv4 salga en cualquier momento pronto. Es muy probable que haya los nodos IPv4 en las redes por muchos años a venir. Los anfitriones IPv4 no pueden comunicarse con los anfitriones IPv6 sin una cierta clase de transitioning o el mecanismo el hacer un túnel, que puede agregar complejidad a la topología existente de la red y al código subyacente para el apilado de la red. Transitioning y los mecanismos el hacer un túnel se pueden también utilizar como backdoors en normalmente redes de IPv4-only.
Usar IPv6 como puerta trasera en las redes IPv4 ha sido una práctica sabida desde 2002. De diciembre el 17, uno del Solaris del proyecto de HoneyNet(http://www.honeynet.org) 8 servidores fue comprometido. La diferencia entre este ataque y unos era anterior que este atacante instaló un túnel IPv6 a otro país y tunneled fuera de los datos que él intentaba robar. Esto puenteó muchos sistemas de la detección de la intrusión del tiempo, y haría tan hoy. Esta práctica se ha hecho más fácil con el advenimiento de los mecanismos UDP-BASADOS el hacer un túnel diseñados para permitir IPv6 de detrás NATs (una práctica que era casi imposible antes de que estos mecanismos estuvieran disponibles). El protocolo de la disposición del teredo y del túnel (TSP) es dos tales mecanismos.
Generalmente, con hacer un túnel uno tiene que cerciorarse de que los paquetes que incorporan la red a través de un túnel no pueden evitar los filtros entrantes del paquete. Un atacante del Internet podría, por ejemplo, enviar un paquete IPv4 a la punto final del túnel (el punto de entrada a nuestra red) que contiene un paquete IPv6 con una dirección de la fuente IPv6 fuera de la gama de nuestra red interna. Los decapsulates de la punto final del túnel el paquete y remiten el paquete IPv6 a la red interna. El receptor cree que este paquete origina de un anfitrión de la red interna. Un ejemplo es que los mecanismos de la seguridad algún IPv6 confían en la comprobación de que el límite del salto es 255 y de que una dirección de destinación acoplamiento-local está utilizada. Tal paquete se puede introducir en una red IPv6 a través de un túnel. Los túneles automáticos son más peligrosos en ese respecto porque tienen que aceptar los paquetes de cualquier fuente. Tan una protección parcial puede ser configurar la punto final del túnel para aceptar solamente los paquetes de un punto de entrada configurado del túnel o para utilizar solamente los túneles manualmente configurados. Pero el atacante puede calmar el spoof que trata. Los mecanismos adicionales del filtro tienen que ser puestos en ejecucio'n en la punto final draft-ietf-v6ops-ipsec-tunnels-02.txt del túnel, "con IPsec para asegurar los túneles IPv6-in-IPv4," entra más detalles y da la dirección en asegurar los túneles manualmente configurados IPv6-in-IPv4 usando IPsec.
En los panoramas 6to4, hay consideraciones especiales discutidas en RFC 3964, las "consideraciones de la seguridad para 6to4." Las ediciones aquí son ésa: a) todas las rebajadoras 6to4 deben aceptar y los paquetes del decapsulate IPv4 de cada otra rebajadora 6to4 y de los relais 6to4, y b) todas las rebajadoras del relais 6to4 deben aceptar tráfico de cualquier nodo nativo IPv6. Los panoramas de la encaminamiento que se analizarán son como sigue:
De 6to4 a 6to4
De IPv6 nativo a 6to4
De 6to4 a IPv6 nativo
Refiera por favor al RFC para una discusión detallada de los panoramas y de las mejores prácticas de proteger su red.
el hacer un túnel 6to4 es un mecanismo bien conocido de la transición para las redes que no tienen actualmente conectividad nativa IPv6. Consiste en el usar de una rebajadora dual-apilada de la frontera con una dirección routable IPv4. La rebajadora 6to4 se puede utilizar para una negación distribuida del ataque del servicio (DDoS) usando una herramienta llamada 4to6DDoS. 4to6DDoS no requiere un apilado IPv6 ser instalado en atacar o el anfitrión de la víctima. Envía IPv6 en paquetes encapsulados IPv4 directamente de v4 a v4. Las rebajadoras usadas para hacer un túnel 6to4 pueden también ser DOS atacado simplemente conectando con la rebajadora varias veces con una dirección privada IPv4. Estas rebajadoras deben aceptar y los paquetes del decapsulate IPv4 incluso si se forjan. Deben también aceptar tráfico de cualquier nodo nativo IPv6. 6to4 también no garantiza la encaminamiento simétrica, significado que el tráfico puede llevar una trayectoria que encamina que va su destinación, y toma una trayectoria totalmente diversa sobre vuelta. Esta situación puede no ser óptima de un punto de vista de la seguridad.
La dirección traz IPv4 puede también causar ediciones de seguridad. Por ejemplo, si un atacante transmite un paquete IPv6 con la dirección de la fuente de::ffff:127.0.0.1 o de::ffff:10.1.1.1 en el campo de dirección de la fuente IPv6, es posible puentear las listas del control de acceso (ACLs) de la rebajadora o del cortafuego de la frontera.
Online: 609 users browsing the articles directory
|
|