La sécurité dans un réseau IPv6 n'est pas essentiellement différente de la sécurité dans un réseau IPv4. Plusieurs des attaques IPv4 bien connues existantes peuvent être effectuées avec IPv6, ainsi nos moyens de fixer des données sont semblables. Juste comme dans le monde IPv4, il y aura toujours des intrus non conformistes qui trouvent de nouveaux moyens de se casser en nos réseaux. Les concepteurs des concepts de sécurité et la communauté entière de degré de sécurité d'ordinateur devront rester l'alerte et continuer à trouver des mécanismes pour suivre les intrus et pour trouver des moyens de protéger leurs réseaux contre de nouvelles attaques.
Si les deux protocoles (IPv4 et IPv6) sont employés dans un réseau, les besoins de chaque protocole son propre concept de sécurité et les dispositions, qui doivent être coordonnés. Les murs à l'épreuve du feu d'IPv6-capable ont des règles de filtre pour IPv4 et séparent des règles de filtre pour IPv6.
Un autre point à observer est qu'iPv6 est inclus dans la plupart des logiciels d'exploitation et est habituellement plutôt simple pour configurer. Parfois des mécanismes de tunnel sont activés par défaut. Les administrateurs du réseau IPv4 peuvent croire qu'ils ne doivent pas s'inquiéter d'IPv6, mais ils ne se rendent pas compte qu'il peut y avoir du trafic IPv6 dans leur réseau déjà. Ce fait est employé par des intrus d'IPv6 pour s'imposer dans les réseaux IPv4.
Trouvez le trafic IPv6 dans votre réseau en filtrant vos dossiers de trace pour 0x86DD dans l'en-tête d'IMPER ou pour le protocole 41 dans le type champ du protocole IPv4. Vous pouvez trouver un nombre étonnant de bon indicateur de messagesa voisin de découverte que vous avez les noeuds IPv6 actifs sur votre réseau.
|
|
IPsec, tout en étant un bon mécanisme de sécurité, n'est pas l'extrémité-tout, être-tout pour la sécurité. La plupart des professionnels de sécurité conviennent qu'il n'y a aucune "balle argentée" en fixant un réseau des attaques internes ou externes. Les combinaisons des meilleures pratiques et la formation des utilisateurs peuvent réduire au minimum des risques. Si vous déployez IPv6 dans un proche avenir, il y a quelques soucis de sécurité qui devraient être adressés. Soyez conseillé que ce n'est pas une liste complète, car des volumes entiers d'information pourraient être écrits sur le sujet.
En se reliant à IPv6 à la façon des indigènes, quelques titres qui devraient être considérés sont discutés dans les sections suivantes.
Tandis que RFC 4301 définit la condition pour IPSec dans le protocole IPv6, il ne couvre pas comment les clefs seront échangées. Vous pourriez manuellement installer preshared verouiller, mais à de grandes entreprises, ceci chargent devient pénible et long. Dans de tels environnements, à l'aide d'un serveur central de certificat est idéal. Avec IPv6, il n'y avait aucun tel serveur centralisé de certificat jusque récemment. Ceci a changé avec les serveurs qui sont basés sur le protocole IKEv2, qui est indiqué dans RFC 4306. Les avantages d'IKEv2 sont sa rentabilité sur IPv4 et IPv6 et sa exécution plus simple. Il n'est pas compatible avec la première version d'IKE, mais les formats de l'en-tête de les deux versions sont assez semblables pour les courir tous les deux clairement excédent le même port de UDP.
Tandis qu'iPSec bout à bout est considéré un des avantages principaux d'IPv6, il présente également de nouveaux problèmes avec firewalling existant et IDS/IPSes si EN PARTICULIER est employé avec le chiffrage allumé. Si les paquets sont chiffrés de la fin à l'extrémité, comment est-ce qu'un dispositif de frontière inspecte les paquets sans les déchiffrer ? Le stockage de toutes les clefs de chiffrage dans un endroit central part d'un point central d'échec et d'un endroit central pour un intrus de blackhat à la coupure dans et vole toutes les clefs de chiffrage pour le réseau. Une des idées qui a été présentée à la communauté est un modèle de serveur de client pour IDS/IPS (semblable à la protection courante d'antivirus d'entreprise-niveau). Un serveur ou des serveurs centraux garde une base de données d'analyse d'anomalie de signatures ou de réseau d'attaque. Un client télécharge les signatures localement et l'ordinateur de client balaye les paquets lui-même, alertant le serveur central s'il trouve une allumette de signature. Les issues dans les systèmes courants d'IPv4 IDS/IPS incluent le manque de détection de tunneled les protocoles IPv6 et un manque général de signatures d'attaque pour des attaques d'IPv6-based, bien que pendant qu'iPv6 prolifère à plus de réseaux, ces problèmes devraient par la suite être résolus.
Des murs à l'épreuve du feu qui soutiennent IPv6 sont inclus dans la plupart des logiciels d'exploitation principaux, mais dans les murs à l'épreuve du feu qui gardent l'état de raccordements (murs à l'épreuve du feu de Stateful) ne sont pas disponibles dans des réalisations plus anciennes de Linux ou dans Windows XP/2003. Le Cisco, le point de contrôle, et le Netscreen (genévrier), entre d'autres, ont l'inspection de Stateful des paquets IPv6 dans de plus nouvelles versions de leur logiciel.
Les réalisations d'IPSec de fournisseur elles-mêmes peuvent également causer des titres. Par exemple, dans plusieurs réalisations courantes d'IPv6 IPsec, seulement l'authentification et les services d'intégrité sont employer disponible EN PARTICULIER avec le chiffrage nul ou OH. Pas tous EN PARTICULIER des réalisations soutiennent les morceaux de confidentialité, qui pourraient provoquer une acceptation fausse des services de sécurité disponibles à déployer si vous ne vérifiez pas votre exécution de fournisseur.
Beaucoup de réalisations IPv6 sont assez nouvelles. Ceci mène à deux autres titres possibles. La première issue est le manque d'outils de l'évaluation IPv6. Il est dans des habitudes courants dans le domaine de sécurité de l'information d'apurer votre propre réseau avec la sécurité bien connue apurant des outils, et puis de fixer les pailles trouvées avec ces outils. Beaucoup du démuni populaire de ces outils mis en communication pour apurer les réseaux IPv6. La deuxième issue est le code non essayé dans les réalisations IPv6 (qui attache également dans ne pas avoir les outils pour examiner les réalisations). Codez qui "n'a pas été mis à travers l'essoreuse" va probablement avoir plus de pailles de sécurité que coder qui a été utilisée dans des environnements de production.
D'autres soucis de sécurité à se rendre compte de sont des abus du protocole voisin de découverte (NDP), de détection double d'adresse, et de la publicité de couteau. Une citation des états de RFC 2462 (configuration automatique IPv6 apatride) :
"si un noeud détermine que son adresse lien-locale expérimentale n'est pas unique, la configuration automatique s'arrête et la configuration manuelle de l'interface est exigée."
Ceci pose un démenti possible d'attaque de service, car les adresses IPv6 multiples peuvent être assignées à une interface simple. Un poste de travail escroc a pu être assigné plusieurs mille adresses et refuser à d'autres postes de travail la capacité d'acquérir une adresse lien-locale. Ou même beaucoup plus simple, on peut construire un répondeur de logiciel qui répond toujours avec l'"adresse en service."
Un autre point est que des adresses lien-locales peuvent être acquises sans preconfiguration. Un attaquant peut obtenir l'accès à un lien sans toute autre connaissance au sujet du réseau. Ce dispositif donne à un noeud malveillant l'occasion de monter une attaque sur n'importe quel autre noeud attaché à ce lien. Les manières possibles de se protéger contre ceci sont authentification de lien-couche ou l'utilisation des adresses produites par Cryptographically.
La mystification de publicité de couteau est un autre souci de sécurité. Puisqu'on permet des adresses multiples sur une interface simple, on permet aussi bien des itinéraires multiples. Un noeud initialisant envoie une sollicitation de couteau à l'adresse de multicast de tout-couteaux (FF02::2). Chaque couteau sur le lien répond avec une publicité de couteau contenant l'information de configuration pour le client. Ceci offre vers le haut de la possibilité d'envoyer le trafic par un couteau par lequel on ne le cense pas être envoyé (permettant le trafic reniflant sur le couteau escroc). Évidemment, ce type d'attaque se produit dans le monde IPv4 également ; il diffère seulement dans les mécanismes utilisés. Employer la découverte voisine composante ou bloquée d'IPsec OH est une bonne manière d'atténuer ce risque, entre d'autres.
Les spécifications dans NDP suggèrent en utilisant IPsec pour se protéger contre des attaques, sans fournir des informations plus détaillées sur la façon dont à faites ceci. Dans beaucoup de cas, particulièrement dans les réseaux publics et sans fil, la gestion principale utilisée avec IPsec est trop complexe et impraticable.
De nouvelles spécifications ont été éditées dans RFC 3971 pour fixer NDP sans employer IPsec. Ce s'appelle la découverte de SEcure Neighbor (ENVOYEZ). Cette approche comporte l'utilisation de nouvelles options de NDP de porter les signatures clef-basées par public. Un mécanisme de zéro-configuration est employé pour montrer la propriété d'adresse sur différents noeuds ; des couteaux sont certifiés par une ancre de confiance.
L'arp dans IPv4 a été remplacé avec des messages d'ICMP dans IPv6. Sans employer IPsec OH ou ENVOYEZ, cependant, NDP a plusieurs des problèmes de sécurité que l'arp a présentés dans IPv4, comme réoriente des attaques (noeuds malveillants réorientant des paquets loin des récepteurs légitimes), démenti des attaques du service (DOS), et l'inondation attaque (réorientant le trafic d'autres centres serveurs à un noeud de victime créant une pléthore du trafic faux).
Le balayage gauche est devenu beaucoup plus complexe, si non impraticable. La marque d'interface dans IPv6 a 64 déclarer des bits draft-ietf-v6ops-nap-02.txt que "un attaquant doit envoyer un nombre simplement peu réaliste de cinglements pour tracer le réseau, et la propagation de virus/worm sera contrecarrée dans le processus. À 40Gbps à toute vitesse (400 fois le LAN 100Mbps typique, et 13.000 fois le lien typique d'accès de DSL/Cable) elle assure 5.000 ans pour balayer un espace simple de 64 bits." Disparaissent la figure. Si la configuration automatique est employée sans option d'intimité, quelques parties de l'adresse (par exemple, identification de fournisseur) peuvent être devinées, mais il est toujours un vaste espace. Une protection simple et bonne doit éviter facile-à-devinent des systèmes d'adressage, n'employant pas des mots tels que le BOEUF, F00D, CAFÉ, 1234, et ABCD en tant qu'élément d'une adresse IPv6, et ne les employant pas séquentiellement numéroté ou facile-à-devinent des adresses pour verouiller des dispositifs d'infrastructure (tels que x::1 pour des couteaux).
IPv6 soutient des adresses de multicast avec la portée d'emplacement, qui peut potentiellement permettre à un attaquant d'identifier certaines ressources importantes sur l'emplacement si abusé. Les exemples particuliers sont les tous les couteaux (FF05::2) et tous adresses des serveurs de DHCP (FF05::1:3). Un attaquant qui peut infiltrer un message destiné à ces adresses sur l'emplacement recevra potentiellement dans l'information de retour identifiant les ressources principales sur l'emplacement. Cette information peut alors être employée pour des attaques dirigées s'étendant de l'inondation simple à des mécanismes plus spécifiques conçus pour renverser le dispositif. Le risque peut être réduit au minimum en s'assurant que tous les murs à l'épreuve du feu et couteaux de frontière d'emplacement sont configurés pour laisser tomber des paquets avec des adresses de destination de portée d'emplacement. En outre, les noeuds ne devraient pas joindre les groupes de multicast pour lesquels il n'y a aucune utilisation légitime sur l'emplacement, et des couteaux d'emplacement devraient être configurés pour laisser tomber des paquets dirigés vers ces adresses inutilisées.
On ne s'attend pas à ce qu'iPv4 parte n'importe quand bientôt. Il est très probable qu'il y ait les noeuds IPv4 sur des réseaux pendant beaucoup d'années à venir. Les hôtes IPv4 ne peuvent pas communiquer avec les centres serveurs IPv6 sans une certaine sorte de transitioning ou le mécanisme de perçage d'un tunnel, qui peut ajouter la complexité à la topologie existante de réseau et au code fondamental pour la pile de réseau. Transitioning et mécanismes de perçage d'un tunnel peuvent également être employés comme backdoors dans normalement des réseaux d'IPv4-only.
Employer IPv6 comme porte arrière dans les réseaux IPv4 a été une pratique connue depuis 2002. Décembre 17, un du Solaris du projet de HoneyNet(http://www.honeynet.org) 8 serveurs a été compromis. La différence entre cette attaque et plus tôt ceux était que cet attaquant a installé un tunnel IPv6 à un autre pays et tunneled hors des données qu'il essayait de voler. Ceci a dévié beaucoup de systèmes de détection d'intrusion du temps, et il ferait tellement aujourd'hui. Cette pratique a été facilitée avec l'arrivée des mécanismes UDP-BASÉS de perçage d'un tunnel conçus pour permettre IPv6 par derrière NATs (une pratique qui était presque impossible avant que ces mécanismes aient été disponibles). Le protocole d'installation de teredo et de tunnel (TSP) sont deux tels mécanismes.
Généralement, avec le perçage d'un tunnel on doit s'assurer que les paquets qui écrivent le réseau par un tunnel ne peuvent pas éviter les filtres entrants de paquet. Un attaquant de l'Internet pourrait, par exemple, envoyer un paquet IPv4 au point final de tunnel (le point d'entrée à notre réseau) qui contient un paquet IPv6 avec une adresse de la source IPv6 hors de la gamme de notre réseau interne. Les decapsulates de point final de tunnel le paquet et expédie le paquet IPv6 au réseau interne. Le récepteur croit que ce paquet provient d'un centre serveur du réseau interne. Un exemple est que les mécanismes de la sécurité un certain IPv6 se fondent sur vérifier que la limite d'houblon est 255 et qu'une adresse de destination lien-locale est employée. Un tel paquet peut être présenté dans un réseau IPv6 par un tunnel. Les tunnels automatiques sont plus dangereux en ce que respect parce qu'ils doivent accepter des paquets de n'importe quelle source. Ainsi une protection partielle peut devoir configurer le point final de tunnel pour accepter seulement des paquets d'un point d'entrée configuré de tunnel ou pour utiliser seulement les tunnels manuellement configurés. Mais l'attaquant peut immobile charrier cette adresse. Des mécanismes additionnels de filtre doivent être mis en application sur le point final draft-ietf-v6ops-ipsec-tunnels-02.txt de tunnel, "en utilisant IPsec pour fixer les tunnels IPv6-in-IPv4," entre dans plus de détails et donne des conseils sur fixer les tunnels IPv6-in-IPv4 manuellement configurés en utilisant IPsec.
Dans les scénarios 6to4, il y a des considérations spéciales discutées dans RFC 3964, des "considérations de sécurité pour 6to4." Les issues ici sont celle : a) tous les couteaux 6to4 doivent accepter et des paquets du decapsulate IPv4 de chaque autre couteau 6to4 et des relais 6to4, et b) tous les couteaux du relais 6to4 doivent accepter le trafic de n'importe quel noeud IPv6 indigène. Les scénarios de cheminement à analyser sont comme suit :
De 6to4 à 6to4
D'IPv6 indigène à 6to4
De 6to4 à IPv6 indigène
Veuillez se référer au RFC pour une discussion détaillée des scénarios et des meilleures pratiques de protéger votre réseau.
le perçage d'un tunnel 6to4 est un mécanisme bien connu de transition pour les réseaux qui n'ont pas actuellement la connectivité IPv6 indigène. Il se compose à l'aide d'un couteau duel-empilé de frontière avec une adresse IPv4 routable. Le couteau 6to4 peut être utilisé pour un démenti distribué d'attaque de service (DDoS) à l'aide d'un outil appelé le 4to6DDoS. 4to6DDoS n'exige pas d'une pile IPv6 d'être installée sur attaquer ou le centre serveur de victime. Il envoie IPv6 en paquets encapsulés par IPv4 directement de v4 à v4. Les couteaux utilisés pour percer un tunnel 6to4 peuvent également être DOS attaqué en se reliant simplement au couteau plusieurs fois à une adresse IPv4 privée. Ces couteaux doivent accepter et des paquets du decapsulate IPv4 même si ils sont forgés. Ils doivent également accepter le trafic de n'importe quel noeud IPv6 indigène. 6to4 également ne garantit pas le cheminement symétrique, signification que le trafic peut prendre un chemin de conduite allant à sa destination, et prend un chemin complètement différent sur le retour. Cette situation peut ne pas être optimale d'un point de vue de sécurité.
L'adressage IPv4 tracé peut également causer des titres. Par exemple, si un attaquant transmet un paquet IPv6 avec l'adresse de source de ::ffff:127.0.0.1 ou de ::ffff:10.1.1.1 dans la zone adresse de la source IPv6, il est possible de dévier les listes de contrôle d'accès (ACLs) du couteau ou du mur à l'épreuve du feu de frontière.
Online: 459 users browsing the articles directory
|
|