セキュリティをipv6ネットワークではありませんから別のセキュリティを大幅にipv4ネットワークします。 既存の多くは、よく知られipv4の攻撃を実行することができてipv6のため、私たちのデータを確保するという意味では似ています。 同じように、 ipv4の世界では、ハッカー倫理に反する行為には常に人の新たな方法を見つける私たちのネットワークに侵入します。 デザイナーのセキュリティの概念とはコミュニティ全体のコンピュータセキュリティを維持するメカニズムを見つけると警告を保つに歩調を合わせる方法を見つけると、ハッカーからネットワークを保護する新たな攻撃をします。
もし両方のプロトコル( ipv4とipv6 )ネットワークで使用するには、各プロトコルのニーズに、独自の安全保障の概念の規定や、協調する必要があります。 ipv6の対応のファイアウォールルールをipv4と個別のフィルタがフィルタのルールは、 ipv6ます。
別のポイントを観察してipv6は含まれるが、ほとんどのオペレーティングシステムは、通常というと単純に設定します。 ときどきトンネルメカニズムは、デフォルトで有効にします。 ipv4のネットワーク管理者は持っていない可能性を信じることを心配するのipv6 、かれらはいないということに気付くかもしれないipv6トラフィックは、ネットワークれています。 このような事実は、使用されてipv6のハッカーに立ち入るipv4のネットワークです。
見つけるipv6トラフィックをフィルタリングして、ネットワークをしてトレースファイルを0x86ddのmacのためのヘッダーまたはプロトコル41のipv4のプロトコルの種類を入力します。 驚くべきことを見つけることができ、近所の人の数を検出messagesa良い指標ていることがアクティブipv6のノードは、ネットワーク上にします。
|
|
のipsec 、良い受けている間にセキュリティメカニズムには、すべてのエンドではありませんし、すべてのセキュリティを確保するのにします。 ほとんどのセキュリティの専門家が存在しないことに同意する"銀の弾丸"を確保するため内部または外部ネットワークからの攻撃します。 ベストプラクティスの組み合わせとユーザーのトレーニングのリスクを最小限に抑えることができます。 もしあなたが展開ipv6のは、近い将来、いくつかの安全保障上の懸念に対処しなければならないします。 助言したではありませんが、この完全なリストは、全体としてのボリュームの情報を書いた可能性があるに服従しています。
に接続した際のipv6ネイティブに、いくつかのセキュリティ上の問題が議論すべきであると考え、以下のセクションがあります。
中のrfc 4301を指定し必要なのipsecのipv6のプロトコルで、どのようにしていませんカバーと交換されるというキーをします。 アップpresharedキーイングを手動で設定することができますが、大企業は、このタスクが単調で退屈な時間がかかるとします。 このような環境では、サーバー証明書を使用する中央が理想的です。 ipv6では、ありませんでした最近までこのようなサーバー証明書を集中します。 このサーバーが変わったことをしてikev2プロトコルに基づいて、これは指定さのrfc 4306です。 メリットikev2は、ユーザビリティの両方でipv4とipv6とそのシンプルな実装します。 それは、最初のバージョンと互換性がないのアイクが、両方のバージョン'ヘッダーファイル形式は、似たようなことの両方を実行するに十分な明確同udpポートします。
パケットを暗号化している場合は、端から端へ、国境はどのようなデバイスを点検して復号化せずにパケットのでしょうか? すべての暗号化キーを格納する場所の葉の中央に失敗の両方の中心点の位置を中心とするblackhatハッカーに侵入するとすべての暗号化キーを盗むためのネットワークです。 1つのアイデアを提示されてきたコミュニティは、クライアントサーバーモデルのためのid /アドレス(アンチウイルスと同様に現在のエンタープライズレベルの保護)します。 中央のサーバーに、またはサーバーのデータベースが保管さ攻撃の署名またはネットワーク異常解析します。 クライアントをダウンロードすると、クライアントコンピュータのローカルの署名をスキャンし、パケット自体のように、中央のサーバーに警告があれば試合に署名します。 問題が、現在のipv4のid /アドレス不足のシステムには、トンネルのipv6プロトコルを検出すると、攻撃の全般的な欠如署名ipv6のベースの攻撃は、ともあれ、 ipv6のproliferates 、より多くのネットワークでは、これらの問題を解決すべきでしょうします。
ファイアウォールで、 ipv6をサポートが含まれ、ほとんどの主要オペレーティングシステムでは、しかし、ファイアウォールの状態を維持して接続(ファイアウォールステート)が利用できません。 linuxや年上の実装でwindows xp/2003ではします。 シスコ、検問所、およびnetscreen (ジュニパー)は、他の間で、ステート検査ipv6のパケットで、新しいバージョンのソフトウェアです。
ベンダーのipsec実装してセキュリティ上の問題を引き起こすこともできます。 たとえば、現在のipv6のipsecいくつかの実装は、認証との整合性だけでサービスが利用可能にnullを使用して暗号化またはespああします。 esp守秘義務の実装をサポートしていないすべての作品が、それを呼び起こす誤った前提には、セキュリティサービスを利用できるように配置していない場合はベンダーの実装を確認しています。
多くのipv6実装がかなり新しいです。 このセキュリティ上の問題につながる可能性が他の2つです。 最初の問題のないことが、 ipv6の評価ツールです。 これは、共通の練習場での情報セキュリティ監査を独自のネットワークでおなじみのセキュリティ監査ツール、そしてこれらのツールを確保するの欠陥が見つかったとします。 人気の多くは、これらのツールを移植されていない監査ipv6ネットワークします。 2つ目の問題は、試されていないコードをipv6の実装(もしていなかったこととの関係のツールをテストして実装)します。 コードされていない"と苦境に立たされ"は、おそらくこれからももっとセキュリティ上の欠陥よりもコードされてきた環境での生産に使用されます。
他の安全保障上の懸念を認識するべきでは隣人の乱用ディスカバリープロトコル( ndp )は、重複アドレスの検出、およびルータの広告します。 見積もりが必要ですからrfc 2462 ( ipv6のステートレス自動設定)州:
"ノードと判断した場合は、暫定的ではありませんユニークなリンクローカルアドレスは、自動停止して手動設定のインターフェースが必要"と述べた。
このポーズをする可能性がある、サービス拒否の攻撃は、複数のアドレスを割り当てることができ、 1つのインターフェイスをします。 ならず者ワークステーション数千人のアドレスが割り当てられた可能性があると他のワークステーションを否定する能力を獲得するリンクローカルアドレスです。 あるいはずっとシンプルで、ソフトウェアを内蔵して応答することができ、常に応答で"アドレスを使用する"と述べた。
別のポイントは、リンクローカルアドレスを取得することができずにpreconfigurationます。 アタッカーのアクセスを得ることができ、リンクをせずに、ネットワークのさらなるについての知識です。 この機能により、悪意のあるノードを攻撃する機会をマウントし、他のノードに接続してこのリンクをクリックします。 この中には、より可能性を守るための方法のいずれかを使用してリンク層の暗号化または認証のアドレスを生成します。
ルータ広告なりすましは別のセキュリティ懸念します。 複数のアドレスが許可されて以来、 1つのインターフェースでは、複数の路線が認められています。 起動するノードに送信するすべてのルータの勧誘をルーターマルチキャストアドレス( ff02 : : 2 )です。 各ルータのリンクを返信するルータ広告を含む設定情報をクライアントにします。 このオファーする可能性があるルーターを介してトラフィックを送信することはできませんが、これに送られる(トラフィックを探知できるようにしてならず者ルータ)します。 明らかに、このタイプの攻撃が起こるのipv4世界でも;それだけで異なるメカニズムを使用しています。 あぁのipsecのコンポーネントを使用して検出や隣人を確保するには、よい方法この危険を緩和する、などがあります。
仕様ndp提案を使って攻撃からのipsecを守るため、より詳細な情報を提供せずにこれを行うにはどのようにします。 多くの場合、特に、公共および無線ネットワークでは、鍵の管理に使用されたipsecはあまりにも複雑であり、非現実的だ。
新しい仕様は公開されてはrfc 3971を確保するndpを使用せずにのipsecます。 それは隣人の検出(送信)と呼ばれるセキュリティで保護されます。 このアプローチでは、新しいndpオプションを使用する公開鍵ベースの署名を運んでいます。 ゼロ設定メカニズムが使用されるアドレスの所有権を個別に表示ノード;ルーターには、認定を受けたアンカーの信頼します。
アルプでのipv4てきたicmpメッセージに置き換えられてipv6のです。 あぁのipsecを使用せずに送信したり、しかし、 ndpは、セキュリティ上の問題の多くは、提示してアルプでのipv4など、リダイレクト攻撃(悪意のあるノードから離れて合法的にリダイレクトパケットの受信)は、 dos (サービス不能攻撃)の攻撃は、攻撃や洪水(リダイレクト他のホスト'にトラフィックを誘導するノードを作成する洪水の被害者の偽のトラフィック)します。
ポートスキャンもっと複雑になっていない場合は非現実的だ。 インターフェイスの識別子でのipv6は64ビットです。 入稿のietf - v6ops - - - 02.txt州昼寝して"を送信するには、攻撃者の数を単にpingを非現実的に、ネットワークマップ、およびウイルス/ワーム伝播される過程で、挫折させられました。フルレート40gbps ( 400回典型的な100mbpにラニ、および1万3000回の典型的なdsl /ケーブルアクセスリンク)を引き継ぎ5000年をスキャンして、 1つの64ビットスペースが必要です。 " 図にします。 自動設定せずに使用された場合は、プライバシー保護のオプションを選択し、いくつかの部品のアドレス(例えば、ベンダーid )推測することができ、それはまだ広大なスペースが必要です。 シンプルで良いの保護を避けるためには、推測しやすいアドレッシングスキーム、などの言葉を使用していない牛肉、 f00d 、カフェ、 1234 、およびabcdの部分としてipv6アドレス、または番号を順番に使用していないと推測しやすいアドレスデバイスを鍵インフラ(例えば× : : 1ルータのための)します。
ipv6のをサポートしており、サイトをマルチキャストアドレスの範囲は、潜在的にできるようにすることができ、攻撃者を特定する場合にはサイト上の特定の重要な資源を悪用します。 特定の例としては、すべてのルーター( ff05 : : 2 )およびすべてのdhcpサーバ( ff05 : : 1時03分)のアドレスです。 潜入して、攻撃者ができるようにするために、これらのアドレスに入ると、運命のメッセージは、潜在的にサイトの情報を受け取る代わりに、サイト上のリソースを識別するキーです。 この情報はその後の攻撃に使用される指示に至るまでの簡単な洪水のメカニズムをより具体的に設計されたデバイスを覆すます。 のリスクを最小化されることを確認することができ、すべてのサイトの境界ファイアウォールやルーターの設定を破棄パケットの送信先アドレスの範囲でサイトをします。 また、ノードのマルチキャストグループに参加すべきではないではありません、合法的使用して、サイト、およびサイトのルータに設定されなければならない、これらの未使用のアドレス宛てにパケットをドロップします。
ipv4のではありません予想され、いつでもどこかへ行く予定です。 することは非常に可能性があるだろうipv4のノードのネットワークを何年もやってきました。 ipv4のホストと通信できませんipv6のホストまたは移行せずに何らかのトンネリング機構は、複雑さを追加することができ、既存のネットワークトポロジの基礎とコードは、次のネットワークスタックします。 トンネルメカニズムに移行することもでき、バックドアとして使用され、通常のipv4のみをネットワークします。
を使ってのipv6としてバックドアをipv4のネットワークに知られてきました練習を2002年からです。 12月17日の1つ、 honeynetプロジェクトの( http://www.honeynet.org ) solaris 8にサーバーが侵害されます。 この攻撃との違いは以前のものだったが、この攻撃を設置するipv6トンネルを別の国とトンネルアウトしようとしたのデータを盗んだ。 このバイパス侵入検知システムの多くの時間を、そしてそれは今日のようです。 このような行為が容易に出現されたudpのメカニズムに基づいたトンネリングできるように設計さipv6の背後からnats (ほぼ不可能だった練習をする前に、これらのメカニズムが利用可能な場合)します。 フナクイムシとトンネルのセットアップは、 2つのプロトコル( tsp )がこのようなメカニズムだ。
通常、 1つのトンネルでは、入力していることを確認し、ネットワークパケットのトンネルを抜けて、受信パケットフィルタを回避することはできませんします。 インターネットから、攻撃者が、例えば、送信するipv4パケットをトンネルのエンドポイント(私たちのネットワークへのエントリポイント)を含んでいipv6パケットをipv6の送信元アドレスの範囲のうち、私たちの内部ネットワークにします。 トンネルの終点decapsulatesのパケットを転送してipv6パケットを内部ネットワークにします。 このパケット受信機と信じているから始まり、ホストから内部ネットワークにします。 1つの例は、いくつかのipv6セキュリティメカニズムに頼っていることを確認してホップの限度額は255とリンク先のリンクローカルアドレスが使用されます。 このようなパケットを導入することができ、 ipv6ネットワークのトンネルを抜けています。 自動トンネルは、より危険なので、その点では、任意のソースからのパケットを受け入れています。 というわけで、部分的な保護を設定することができ、トンネルエンドポイントからのパケットだけを受け入れるように設定またはトンネルのエントリポイントのみを使用するトンネルを手動で設定します。 しかし、攻撃者がこのアドレスになりすますことができます。 フィルタの追加メカニズムを実装されなければならないトンネルのエンドポイントします。 入稿- - v6ops - ietfのトンネルのipsec - - 02.txt 、 "を使用したipsecを確保するのipv6でipv4のトンネル"に注がれるの詳細および固定を与え指導して手動で設定さipv6のインipv4のトンネルのipsecを使用します。
は、 6 to4のシナリオでは、特別な考慮議論はrfc 3964 、 "安全面での配慮を6 to4 "と述べた。 ここでは問題にして: a )すべての6 to4ルーターカプセル開放のipv4からのパケットを受け入れる必要があり、他の6 to4ルータとごとから6 to4リレー、とb )すべての6 to4リレールータからのトラフィックを受け入れなければならないipv6のネイティブノード。 ルーティングのシナリオを分析は以下のとおりです:
から6 to4を6 to4
よりipv6のネイティブを6 to4
から6 to4をipv6のネイティブ
のrfcを参照してください。詳細については、シナリオやベストプラクティスをして、ネットワークを保護します。
6 to4トンネル遷移メカニズムはよく知られていないため、現在のネットワークがipv6のネイティブ接続します。 それを使用するには、デュアルスタック境界ルータでroutable ipv4アドレスします。 4 to6ddos必要はありませんがipv6スタックを攻撃するのどちらかがインストールされたり、被害者のホストになります。 送信のipv6でipv4のカプセル化パケットから直接v4の時点でv4の時点でいます。 ルーターに使用される6 to4トンネリングすることもできドス攻撃されただけでは、ルーターに接続して数回に民間ipv4アドレスします。 ルーターを受け入れる必要があり、これらのカプセル開放のipv4パケットたとえ彼らは偽造します。 でも受け入れなければならないからのトラフィックをすべてipv6のネイティブノード。 6 to4も対称ルーティング保証はありません、という意味でのトラフィックのルーティングのパスを取ることができ、目的地に行くと、完全に異なるパスを取るに戻りました。 このような状況ではありません安全保障の観点から最適です。
マップのipv4アドレッシングセキュリティ上の問題を引き起こすこともできます。 たとえば、送信した場合、攻撃者にipv6パケットを送信元アドレス: :をffff : 127.0.0.1または: :をffff : 10.1.1.1のipv6の送信元アドレス欄に入力し、アクセスすることが可能バイパス制御リスト( aclの)の境界ルータまたはファイアウォールです。
Online: 336 users browsing the articles directory
|
|