La sicurezza in una rete IPv6 non è sostanzialmente differente da sicurezza in una rete IPv4. Molti degli attacchi ben noti attuali IPv4 possono essere realizzati con IPv6, in modo da i nostri mezzi per l'assicurazione dei dati sono simili. Appena come nel mondo IPv4, ci saranno sempre hackers unethical che trovano i nuovi sensi rompersi nelle nostre reti. I progettisti dei concetti di sicurezza e l'intera Comunità di sicurezza del calcolatore dovranno rimanere l'allarme e continuare a trovare i meccanismi per stare al passo con i hackers e per trovare i sensi proteggere le loro reti dai nuovi attacchi.
Se entrambi i protocolli (IPv4 ed IPv6) sono usati in una rete, nei bisogni di ogni protocollo il relativo proprio concetto di sicurezza e nelle disposizioni, che devono essere coordinati. Le pareti refrattarie di IPv6-capable hanno regole del filtro per IPv4 e separano le regole del filtro per IPv6.
Un altro punto da osservare è che IPv6 è incluso nella maggior parte dei sistemi operativi ed è solitamente piuttosto semplice configurare. A volte i meccanismi del traforo sono attivati per difetto. I coordinatori della rete IPv4 possono ritenere che non debbano preoccuparsi per IPv6, ma non si rendono conto che ci può essere traffico IPv6 nella loro rete già. Questo fatto è usato dai hackers del IPv6 per intrude nelle reti IPv4.
Trovi il traffico IPv6 nella vostra rete filtrando le vostre lime della traccia per 0x86DD nell'intestazione del MAC o per il protocollo 41 nel tipo campo di protocollo IPv4. Potete trovare un numero di sorpresa di buon indicatore di messagesa contiguo di scoperta che avete nodi attivi IPv6 sulla vostra rete.
|
|
IPsec, mentre è un buon meccanismo di sicurezza, non è il estremità-tutto, essere-tutto per sicurezza. La maggior parte dei professionisti di sicurezza accosentono che non ci è "pallottola d'argento" nell'assicurazione della rete dagli attacchi interni o esterni. Le combinazioni delle pratiche migliori e la formazione degli utenti possono minimizzare i rischi. Se state schierando IPv6 nell'immediato futuro, ci sono alcune preoccupazioni di sicurezza che dovrebbero essere indirizzate. Raccomandisi che questa non è una lista completa, poichè gli interi volumi delle informazioni potrebbero essere redatti sull'oggetto.
Nel collegare a IPv6 natale, alcuni problemi di sicurezza che dovrebbero essere considerati sono discussi nelle seguenti sezioni.
Mentre il RFC 4301 specifica il requisito di IPSec nel protocollo IPv6, non copre come le chiavi saranno scambiate. Potreste installare manualmente preshared la inchiavettatura, ma nelle imprese grandi, questa operazione diventa noiosa e che richiede tempo. In tali ambienti, per mezzo di un assistente centrale del certificato è ideale. Con IPv6, non ci erano tali assistenti centralizzati del certificato fino a poco tempo fa. Ciò è cambiato con gli assistenti che sono basati sul protocollo IKEv2, che è specificato in RFC 4306. I benefici di IKEv2 sono il relativo impiego possibile sia su IPv4 che su IPv6 e la relativa esecuzione più semplice. Non è compatibile con la prima versione di IKE, ma le disposizioni dell'intestazione di entrambe le versioni sono abbastanza simili farle funzionare entrambi senza ambiguità eccedenza lo stesso orificio del UDP.
Mentre IPSec faccia a faccia è considerato uno dei vantaggi principali di IPv6, inoltre introduce i nuovi problemi con firewalling esistente ed IDS/IPSes se SPECIALMENTE è usato con la crittografia accesa. Se i pacchetti sono cifrati capo a capo, come un dispositivo del bordo controlla i pacchetti senza decrypting? Immagazzinando tutte le chiavi di crittografia in una posizione centrale lascia sia un punto centrale di guasto che una posizione centrale per un hacker del blackhat alla rottura in e ruba tutte le chiavi di crittografia per la rete. Una delle idee che è stata presentata alla Comunità è un modello dell'assistente di cliente per IDS/IPS (simile a protezione corrente di antivirus del impresa-livello). Un assistente o gli assistenti centrali mantiene una base di dati di analisi di anomalia delle firme o della rete di attacco. Un cliente trasferisce le firme dal sistema centrale verso i satelliti localmente ed il calcolatore esplora i pacchetti in se del cliente, avvisando l'assistente centrale se trova un fiammifero della firma. Le edizioni nei sistemi correnti di IPv4 IDS/IPS includono la mancanza di rilevazione di tunneled i protocolli IPv6 e una mancanza generale di firme di attacco per gli attacchi di IPv6-based, anche se mentre IPv6 prolifera a più reti, queste edizioni dovrebbero finalmente essere risolte.
Le pareti refrattarie che sostengono IPv6 sono incluse la maggior parte dei sistemi operativi principali, ma in pareti refrattarie che mantengono il dichiarare dei collegamenti (pareti refrattarie di Stateful) non sono disponibili nelle più vecchie esecuzioni di Linux o in Windows XP/2003. Il Cisco, il punto di controllo e Netscreen (ginepro), tra altri, hanno controllo di Stateful dei pacchetti IPv6 nelle più nuove versioni del loro software.
Le esecuzioni essi stessi di IPSec del fornitore possono anche causare i problemi di sicurezza. Per esempio, in parecchie esecuzioni correnti di IPv6 IPsec, soltanto l'autenticazione ed i servizi di integrità sono usando disponibile SPECIALMENTE con la crittografia nulla o AH. Non tutti SPECIALMENTE esecuzioni sostengono le parti di riservatezza, in grado di provocare un presupposto falso dei servizi di sicurezza disponibili da schierare se non controllate la vostra esecuzione del fornitore.
Molte esecuzioni IPv6 sono ragionevolmente nuove. Ciò conduce altri a due problemi di sicurezza possibili. La prima edizione è la mancanza di attrezzi di valutazione IPv6. È una pratica corrente nel campo di sicurezza delle informazioni verificare la vostra propria rete con sicurezza ben nota che verifica gli attrezzi ed allora assicurare i difetti trovati con quegli attrezzi. Molti di questi attrezzi popolari non ported per verificare le reti IPv6. La seconda edizione è codice non provato IPv6 nelle esecuzioni (che inoltre lega in non avere gli attrezzi per verificare le esecuzioni). Codifichi che "non è stato messo attraverso lo strizzatore" probabilmente sta andando avere più difetti di sicurezza che codificare che è stato utilizzato negli ambienti di produzione.
Altre preoccupazioni di sicurezza da essere informate di sono abusi del protocollo contiguo di scoperta (NDP), della rilevazione duplicata di indirizzo e di pubblicità del router. Una citazione dal RFC 2462 (autoconfiguration apolide IPv6) dichiara:
"se un nodo determina che il relativo indirizzo collegamento-locale sperimentale non sia unico, il autoconfiguration si arresta e la configurazione manuale dell'interfaccia è richiesta."
Ciò propone una smentita possibile dell'attacco di servizio, poichè gli indirizzi multipli IPv6 possono essere assegnati ad una singola interfaccia. Ad una stazione di lavoro del rogue ha potuto essere assegnata parecchio mille indirizzi e rifiutare ad altre stazioni di lavoro la capacità di acquistare un indirizzo collegamento-locale. O persino molto più semplice, un radar-risponditore del software può essere costruito che risponde sempre con "l'indirizzo in uso."
Un altro punto è che gli indirizzi collegamento-locali possono essere acquistati senza preconfiguration. Un attacker può ottenere l'accesso ad un collegamento senza nuova conoscenza circa la rete. Questa caratteristica dà ad un nodo cattivo l'occasione montare un attacco a qualunque altro nodo fissato a questo collegamento. I sensi possibili proteggere da questo sono l'autenticazione di collegamento-strato o l'uso degli indirizzi generati Cryptographically.
La pubblicità del router che spoofing è un'altra preoccupazione di sicurezza. Poiché gli indirizzi multipli sono permessi su una singola interfaccia, gli itinerari multipli sono permessi pure. Un nodo di booting trasmette una sollecitazione del router all'indirizzo del multicast dei tutto-all-routers (FF02::2). Ogni router sul collegamento risponde con una pubblicità del router che contiene le informazioni di configurazione per il cliente. Ciò offre sulla possibilità di trasmissione del traffico tramite un router tramite cui non è supposto per essere trasmesso (permettendo traffico che fiuta sul router del rogue). Ovviamente, questo tipo di attacco accade nel mondo IPv4 inoltre; differisce da soltanto nei meccanismi usati. Usando la scoperta contigua componente o sicura del IPsec AH è un buon senso attenuare questo rischio, tra altri.
La specifica in NDP suggerisce usando IPsec per proteggere dagli attacchi, senza fornire le informazioni più dettagliate su come a faccia questo. In molti casi, particolarmente nelle reti pubbliche e senza fili, l'amministrazione chiave usata con IPsec è troppo complessa e poco pratica.
Una nuova specifica è stata pubblicata in RFC 3971 per fissare NDP senza usando IPsec. È denominato scoperta del SEcure Neighbor (TRASMETTA). Questo metodo coinvolge l'uso di nuove opzioni di NDP trasportare le firme chiave-basate pubblico. Un meccanismo di zero-configurazione è usato per mostrare la proprietà di indirizzo sui diversi nodi; i routers sono certificati da un ancoraggio di fiducia.
Il ARP in IPv4 è stato sostituito con i messaggi del ICMP in IPv6. Senza usando IPsec AH o TRASMETTA, tuttavia, NDP ha molti dei problemi di sicurezza che il ARP ha presentato in IPv4, come riorienta gli attacchi (nodi cattivi che riorientano i pacchetti via dalle riceventi legittime), smentita degli attacchi di servizio (DOS) ed il flooding attaca (riorientando traffico di altri ospiti ad un nodo della vittima che genera una pletora di traffico bogus).
L'esame port è diventato molto più complesso, se non poco pratico. Il contrassegno dell'interfaccia in IPv6 ha 64 bit che draft-ietf-v6ops-nap-02.txt dichiara che "un attacker deve spedire un numero semplicemente non realistico di rumori metallici per tracciare la rete e la propagazione di virus/worm sarà contrastata nel processo. A 40Gbps piena velocità (400 volte la lan tipica 100Mbps e 13.000 volte il collegamento tipico di accesso di DSL/Cable) assume la direzione di 5.000 anni per esplorare un singolo spazio dei 64 bit." Va la figura. Se il autoconfiguration è usato senza l'opzione di segretezza, alcune parti dell'indirizzo (per esempio, identificazione del fornitore) possono essere indovinate, ma esso è ancora uno spazio ampio. Una protezione semplice e buona deve evitare facile-$$$-INDOVINA gli schemi di richiamo, non usando le parole come RINFORZI, F00D, CAFFÈ, 1234 ed ABCD come componente di un indirizzo IPv6 e del non usando numerato in sequenza o facile-$$$-INDOVINI gli indirizzi per chiudere a chiave i dispositivi dell'infrastruttura (quale x::1 per i routers).
IPv6 sostiene gli indirizzi del multicast con portata del luogo, che può potenzialmente permettere che un attacker identifichi determinate risorse importanti sul luogo se abusato di. Gli esempi particolari sono tutti i routers (FF05::2) e tutti gli indirizzi degli assistenti di DHCP (FF05::1:3). Un attacker che può infiltrarsi in un messaggio destinato a questi indirizzi sul luogo potenzialmente riceverà nelle informazioni di ritorno che identificano le risorse chiave sul luogo. Queste informazioni possono allora essere usate per gli attacchi diretti che variano dal flooding semplice ai meccanismi più specifici destinati per subvert il dispositivo. Il rischio può essere minimizzato accertandosi che tutti i pareti refrattarie e routers di contorno del luogo siano configurati per cadere i pacchetti con gli indirizzi di destinazione di portata del luogo. Inoltre, i nodi non dovrebbero unire i gruppi del multicast per cui non ci è uso legittimo sul luogo ed i routers del luogo dovrebbero essere configurati per cadere i pacchetti diretti verso questi indirizzi inutilizzati.
IPv4 non si pensa che vada via in qualunque momento presto. È molto probabile che ci saranno nodi IPv4 sulle reti affinchè molti anni a venire. Gli ospiti IPv4 non possono comunicare con gli ospiti IPv6 senza certa specie di transitioning o meccanismo di traforo, che può aggiungere la complessità alla topologia attuale della rete ed al codice di fondo per la pila della rete. Transitioning ed i meccanismi di traforo possono anche essere usati normalmente come backdoors nelle reti di IPv4-only.
Usando IPv6 come portello posteriore nelle reti IPv4 è stato una pratica conosciuta dal 2002. Il 17 dicembre, uno del Solaris del progetto HoneyNet(http://www.honeynet.org) 8 assistenti si è compromesso. La differenza fra questo attacco e più presto un era che questo attacker ha installato un traforo IPv6 ad un altro paese e tunneled verso l'esterno i dati che stava provando a rubare. Ciò ha escluso molti sistemi di rilevazione di intrusione del tempo e farebbe così oggi. Questa pratica è stata resa più facile con l'avvenimento dei meccanismi UDP-BASATI di traforo destinati per permettere IPv6 da dietro NATs (una pratica che era quasi impossibile prima che questi meccanismi fossero disponibili). Il protocollo di messa a punto del traforo e del teredo (TSP) è due tali meccanismi.
Generalmente, con il traforo uno deve assicurarsi che i pacchetti che forniscono la rete tramite un traforo non possono aggirare i filtri ricevuti del pacchetto. Un attacker dal Internet potrebbe, per esempio, trasmettere un pacchetto IPv4 al punto finale del traforo (il punto di entrata alla nostra rete) che contiene un pacchetto IPv6 con un indirizzo di fonte IPv6 fuori portata della nostra rete interna. I decapsulates di punto finale del traforo il pacchetto e spedisce il pacchetto IPv6 alla rete interna. La ricevente crede che questo pacchetto provenga da un ospite dalla rete interna. Un esempio è che i meccanismi di sicurezza qualche IPv6 contano sul controllo che il limite del luppolo è 255 e che un indirizzo di destinazione collegamento-locale è usato. Un tal pacchetto può essere introdotto in una rete IPv6 tramite un traforo. I trafori automatici sono più pericolosi in quel rispetto perché devono accettare i pacchetti da tutta la fonte. Così una protezione parziale può dovere configurare il punto finale del traforo per accettare soltanto i pacchetti da un punto di entrata configurato del traforo o per utilizzare soltanto i trafori manualmente configurati. Ma il attacker può calmare lo spoof che richiama. I meccanismi supplementari del filtro devono essere effettuati sul punto finale draft-ietf-v6ops-ipsec-tunnels-02.txt del traforo, "usando IPsec per fissare i trafori IPv6-in-IPv4," entra in più particolari e fornisce le indicazioni sul fissaggio dei trafori manualmente configurati IPv6-in-IPv4 usando IPsec.
Nei piani d'azione 6to4, ci sono considerazioni speciali discusse in RFC 3964, "considerazioni di sicurezza per 6to4." Le edizioni qui sono quella: a) tutti i routers 6to4 devono accettare e pacchetti del decapsulate IPv4 da ogni altro router 6to4 e dai relè 6to4 e b) tutti i routers del relè 6to4 devono accettare il traffico da tutto il nodo natale IPv6. I piani d'azione di percorso da analizzare sono come segue:
Da 6to4 a 6to4
Da IPv6 natale a 6to4
Da 6to4 a IPv6 natale
Riferiscasi prego al RFC per una discussione dettagliata sui piani d'azione e sulle pratiche migliori proteggere la vostra rete.
scavare una galleria 6to4 è un meccanismo ben noto di transizione per le reti che attualmente non hanno connettività natale IPv6. Consiste di per mezzo di un router doppio-impilato del bordo con un indirizzo routable IPv4. Il router 6to4 può essere utilizzato per una smentita distribuita dell'attacco di servizio (DDoS) per mezzo di un attrezzo denominato 4to6DDoS. 4to6DDoS non richiede una pila IPv6 essere installato sull'attacco o sull'ospite della vittima. Trasmette IPv6 in pacchetti incapsulati IPv4 direttamente da v4 a v4. I routers utilizzati per il traforo 6to4 possono anche essere DOS attacato semplicemente collegando al router parecchie volte con un indirizzo riservato IPv4. Questi routers devono accettare e pacchetti del decapsulate IPv4 anche se sono forgiati. Devono anche accettare il traffico da tutto il nodo natale IPv6. 6to4 inoltre non garantisce il percorso simmetrico, significato che il traffico può prendere un percorso dirigente che va alla relativa destinazione e prende un percorso completamente differente su ritorno. Questa situazione non può essere ottimale da un punto di vista di sicurezza.
Il richiamo tracciato IPv4 può anche causare i problemi di sicurezza. Per esempio, se un attacker trasmette un pacchetto IPv6 con l'indirizzo di fonte di::ffff:127.0.0.1 o di::ffff:10.1.1.1 nel campo di indirizzo di fonte IPv6, è possibile escludere le liste di controllo di accesso (ACLs) del router o della parete refrattaria del bordo.
Online: 919 users browsing the articles directory
|
|