.
A segurança em uma rede IPv6 não é substancialmente diferente da segurança em uma rede IPv4. Muitos dos ataques IPv4 well-known existentes podem ser executados com o IPv6, assim que nossos meios para fixar dados são similares. Apenas como no mundo IPv4, haverá sempre os hackers unethical que encontram maneiras novas quebrar em nossas redes. Os desenhadores de conceitos da segurança e a comunidade inteira da segurança do computador terão que permanecer o alerta e manter-se encontrar mecanismos para manter o ritmo com os hackers e para encontrar maneiras proteger suas redes dos ataques novos.
Se ambos os protocolos (IPv4 e IPv6) forem usados em uma rede, nas necessidades de cada protocolo seu próprio conceito da segurança e nas provisões, que necessitem ser coordenadas. Os guarda-fogos de IPv6-capable têm réguas do filtro para IPv4 e separam réguas do filtro para IPv6.
Um outro ponto a observar é que IPv6 está incluído em a maioria de sistemas se operando e é geralmente rather simples configurarar. Os mecanismos do túnel são ativados às vezes pelo defeito. Os administradores da rede IPv4 podem acreditar que não têm que se preocupar sobre IPv6, mas não realizam que pode haver o tráfego IPv6 em sua rede já. Este fato é usado por hackers de IPv6 intrude nas redes IPv4.
Encontre o tráfego IPv6 em sua rede filtrando suas limas do traço para 0x86DD no encabeçamento do MAC ou para o protocolo 41 no tipo campo do protocolo IPv4. Você pode encontrar um número surpreendendo do indicador bom do messagesa vizinho da descoberta que você tem os nós IPv6 ativos em sua rede.
IPsec, ao ser um mecanismo bom da segurança, não é o extremidade-todo, est-todo para a segurança. A maioria de profissionais da segurança concordam que não há nenhuma "bala de prata" em fixar uma rede dos ataques internos ou externos. As combinações das mais melhores práticas e treinamento de usuário podem minimizar riscos. Se você estiver desdobrando IPv6 no futuro próximo, há alguns interesses da segurança que devem ser dirigidos. Seja recomendado que esta não é uma lista completa, porque os volumes inteiros da informação poderiam ser escritos no assunto.
Ao conectar a IPv6 nativa, algumas edições de segurança que devem ser consideradas são discutidas nas seguintes seções.
Quando o RFC 4301 especificar a exigência para IPSec no protocolo IPv6, não cobre como as chaves serão trocadas. Você poderia manualmente ajustar-se acima preshared fechar à chave, mas em empresas grandes, esta tarefa torna-se tedious e time-consuming. Em tais ambientes, usar um usuário central do certificado é ideal. Com IPv6, não havia nenhum tal usuário centralizado do certificado até recentemente. Isto mudou com usuários que são baseados no protocolo IKEv2, que é especificado em RFC 4306. Os benefícios de IKEv2 são sua usabilidade em IPv4 e em IPv6 e sua execução mais simples. Não é compatível com a primeira versão de IKE, mas os formatos do encabeçamento de ambas as versões são similares bastante funcioná-lo unambiguously ambos excesso o mesmo porto do UDP.
Quando IPSec end-to-end for considerado uma das vantagens principais de IPv6, introduz também problemas novos com firewalling existente e o IDS/IPSes se for usado ESP com o encryption girado sobre. Se os pacotes forem cifrados do fim à extremidade, como um dispositivo da beira inspeciona os pacotes sem os descifrar? Armazenar todas as chaves do encryption em uma posição central sae de um ponto central da falha e de uma posição central para um hacker do blackhat à ruptura em e rouba todas as chaves do encryption para a rede. Uma das idéias que foi apresentada à comunidade é um modelo do usuário de cliente para IDS/IPS (similar à proteção atual do antivirus do empresa-nível). Um usuário ou uns usuários centrais mantêm uma base de dados da análise da anomalia das assinaturas ou da rede do ataque. Um cliente downloads as assinaturas localmente e o computador faz a varredura dos pacotes próprio do cliente, alertando o usuário central se encontrar um fósforo da assinatura. As edições em sistemas atuais de IPv4 IDS/IPS incluem a falta da deteção de tunneled os protocolos IPv6 e uma falta geral de assinaturas do ataque para ataques de IPv6-based, embora enquanto IPv6 proliferates a mais redes, estas edições devam eventualmente ser resolvidas.
Os guarda-fogos que suportam IPv6 são incluídos em a maioria dos sistemas operando-se principais, mas nos guarda-fogos que mantêm o estado das conexões (guarda-fogos de Stateful) não estão disponíveis em umas execuções mais velhas de Linux ou em Windows XP/2003. O Cisco, o ponto de verificação, e Netscreen (juniper), entre outro, têm a inspeção de Stateful dos pacotes IPv6 em umas versões mais novas de seu software.
As execuções elas mesmas de IPSec do vendedor podem também causar edições de segurança. Para o exemplo, em diversas execuções atuais de IPv6 IPsec, somente o authentication e os serviços da integridade são usar-se disponível ESP com encryption nulo ou AH. Não todos ESP execuções suportam as partes do confidentiality, que poderiam provocar uma suposição falsa dos serviços de segurança disponíveis a ser desdobrada se você não verificasse sua execução do vendedor.
Muitas execuções IPv6 são razoavelmente novas. Isto conduz outras a duas edições de segurança possíveis. A primeira edição é a falta de ferramentas da avaliação IPv6. É uma prática comum no campo de segurança da informação examinar sua própria rede com a segurança well-known que examina ferramentas, e fixar então as falhas encontradas com aquelas ferramentas. Muitas destas ferramentas populares não foram movidas para examinar as redes IPv6. A segunda edição é o código untested nas execuções IPv6 (que amarra também em não ter as ferramentas para testar as execuções). Codifique que "não foi posto completamente o wringer" está indo provavelmente ter mais falhas de segurança do que para codificar que foi usado em ambientes da produção.
Outros interesses da segurança a estar cientes de são abusos do protocolo vizinho da descoberta (NDP), da deteção duplicada do endereço, e de anunciar do router. Umas citações dos estados do RFC 2462 (autoconfiguration IPv6 stateless):
"se um nó determina que seu endereço ligação-local tentative não é original, o autoconfiguration para e a configuração manual da relação é requerida."
Isto poses uma negação possível do ataque do serviço, porque os endereços IPv6 múltiplos podem ser atribuídos a uma única relação. Uma estação de trabalho do rogue podia ser atribuída diverso mil endereços e negar a outras estações de trabalho a abilidade de adquirir um endereço ligação-local. Ou nivele muito mais simples, um responder do software pode ser construído que responda sempre com "endereço no uso."
Um outro ponto é que os endereços ligação-locais podem ser adquiridos sem preconfiguration. Um atacante pode começar o acesso a uma ligação sem nenhum conhecimento mais adicional sobre a rede. Esta característica dá a um nó malicioso a oportunidade de montar um ataque em todo o outro nó unido a esta ligação. As maneiras possíveis proteger desta são authentication da ligação-camada ou o uso de endereços gerados Cryptographically.
A propaganda do router que spoofing é um outro interesse da segurança. Desde que os endereços múltiplos são permitidos em uma única relação, as rotas múltiplas são permitidas também. Um nó do booting emite um solicitation do router ao endereço do multicast dos todo-all-routers (FF02::2). Cada router na ligação responde com uma propaganda do router que contem a informação da configuração para o cliente. Isto oferece acima da possibilidade de emitir o tráfego através de um router através de que não se supõe para ser emitido (permitindo o tráfego que sniffing no router do rogue). Obviamente, este tipo de ataque acontece no mundo IPv4 também; difere somente nos mecanismos usados. Usar a descoberta vizinha componente ou segura de IPsec AH é uma maneira boa mitigate este risco, entre outro.
A especificação em NDP sugere usando IPsec proteger dos ataques, sem fornecer uma informação mais detalhada em como a faça isto. Em muitos casos, especial em redes públicas e wireless, a gerência chave usada com IPsec é demasiado complexa e pouco prática.
Uma especificação nova foi publicada em RFC 3971 para fixar NDP sem usar IPsec. É chamado descoberta de Seguro Vizinho (EMITA). Esta aproximação envolve o uso de opções novas de NDP carregar assinaturas chave-baseadas público. Um mecanismo da zero-configuração é usado mostrando a posse do endereço em nós individuais; os routers são certificados por uma escora da confiança.
O ARP em IPv4 foi substituído com as mensagens do ICMP em IPv6. Sem usar IPsec AH ou EMITA, entretanto, NDP tem muitos dos problemas da segurança que o ARP apresentou em IPv4, como dirige de novo ataques (nós maliciosos que dirigem de novo pacotes away dos receptores legitimate), negação de ataques do serviço (DoS), e o flooding ataca (dirigindo de novo o tráfego de outros anfitriões a um nó da vítima que cría uma inundação do tráfego bogus).
A exploração portuária tornou-se muito mais complexa, if.not pouco prático. O identificador da relação em IPv6 tem 64 estados dos bocados draft-ietf-v6ops-nap-02.txt que "um atacante tem que emitir para fora a um número simplesmente unrealistic dos sibilos para traçar a rede, e a propagação de virus/worm thwarted no processo. Em 40Gbps de varredura completa (400 vezes o LAN 100Mbps típico, e 13.000 vezes a ligação típica do acesso de DSL/Cable) faz exame sobre 5.000 anos para fazer a varredura de um único espaço de 64 bocados." Vai a figura. Se o autoconfiguration for usado sem a opção da privacidade, algumas partes do endereço (por exemplo, vendedor ID) podem ser supostas, mas ele são ainda um espaço vasto. Uma proteção simples e boa deve evitar fácil-à-supõe os esquemas dirigindo-se, não usando palavras tais como a CARNE, F00D, CAFÉ, 1234, e ABCD como parte de um endereço IPv6, e não se usando numerado sequencialmente ou fácil-à-supõe endereços para fechar à chave dispositivos do infrastructure (tais como x::1 para routers).
IPv6 suporta endereços do multicast com espaço do local, que pode potencial permitir que um atacante identifique determinados recursos importantes no local se empregado mal. Os exemplos particulares são todos os routers (FF05::2) e todos os endereços dos usuários de DHCP (FF05::1:3). Um atacante que possa infiltrate uma mensagem destined para estes endereços no local receberá potencial na informação do retorno que identifica os recursos chaves no local. Esta informação pode então ser usada para os ataques dirigidos que variam do flooding simples a uns mecanismos mais específicos projetados subvert o dispositivo. O risco pode ser minimizado assegurando-se de que todos os guarda-fogos e routers do limite do local estejam configurarados para deixar cair pacotes com endereços de destino do espaço do local. Também, os nós não devem juntar os grupos do multicast para que não há nenhum uso legitimate no local, e os routers do local devem ser configurarados para deixar cair os pacotes dirigidos a estes endereços não utilizados.
IPv4 não se espera partir a qualquer momento logo. É muito provável que haverá os nós IPv4 em redes por muitos anos a vir. Os anfitriões IPv4 não podem comunicar-se com os anfitriões IPv6 sem alguma sorte de transitioning ou o mecanismo tunneling, que pode adicionar a complexidade à topologia existente da rede e ao código subjacente para a pilha da rede. Transitioning e os mecanismos tunneling podem também ser usados como backdoors normalmente em redes de IPv4-only.
Usar IPv6 como uma porta traseira nas redes IPv4 foi uma prática sabida desde 2002. Dezembro em 17, um do Solaris do projeto de HoneyNet(http://www.honeynet.org) 8 usuários foi comprometido. A diferença entre este ataque e mais cedo uns era que este atacante ajustou acima um túnel IPv6 a um outro país e tunneled para fora dos dados que estava tentando roubar. Isto contorneou muitos sistemas da deteção do intrusion do tempo, e faria assim hoje. Esta prática foi feita mais fácil com o advent dos mecanismos UDP-BASEADOS tunneling projetados permitir IPv6 de NATs de trás (uma prática que fosse quase impossível antes que estes mecanismos estiveram disponíveis). O protocolo da instalação do teredo e do túnel (TSP) é dois tais mecanismos.
Geralmente, com tunneling um tem que certificar-se de que os pacotes que incorporam a rede através de um túnel não podem circumvent filtros entrantes do pacote. Um atacante do Internet poderia, por exemplo, emitir um pacote IPv4 ao endpoint do túnel (o ponto de entrada a nossa rede) que contem um pacote IPv6 com um endereço da fonte IPv6 fora da escala de nossa rede interna. Os decapsulates do endpoint do túnel o pacote e envíam o pacote IPv6 à rede interna. O receptor acredita que este pacote origina de um anfitrião da rede interna. Um exemplo é que os mecanismos da segurança algum IPv6 confiam em se certificar de que o limite do hop seja 255 e que um endereço de destino ligação-local está usado. Tal pacote pode ser introduzido em uma rede IPv6 através de um túnel. Os túneis automáticos são mais perigosos nesse respeito porque têm que aceitar pacotes de toda a fonte. Assim uma proteção parcial pode dever configurarar o endpoint do túnel para aceitar somente pacotes de um ponto de entrada configurarado do túnel ou para usar somente túneis manualmente configurarados. Mas o atacante pode acalmar o spoof que se dirige. Os mecanismos adicionais do filtro têm que ser executados no endpoint. draft-ietf-v6ops-ipsec-tunnels-02.txt do túnel, "usando IPsec fixar os túneis IPv6-in-IPv4," entra em mais detalhes e dá a orientação em fixar os túneis IPv6-in-IPv4 manualmente configurarados usando IPsec.
Nos scenarios 6to4, há umas considerações especiais discutidas em RFC 3964, da "considerações segurança para 6to4." As edições aqui são aquela: a) todos os routers 6to4 devem aceitar e pacotes do decapsulate IPv4 de cada outro router 6to4 e dos relés 6to4, e b) todos os routers do relé 6to4 devem aceitar o tráfego de todo o nó IPv6 nativo. Os scenarios do roteamento a ser analisados são como segue:
De 6to4 a 6to4
De IPv6 nativo a 6to4
De 6to4 a IPv6 nativo
Consulte por favor ao RFC para uma discussão detalhada dos scenarios e das mais melhores práticas proteger sua rede.
tunneling 6to4 é um mecanismo well-known da transição para as redes que não têm atualmente o connectivity IPv6 nativo. Consiste usar um router duplo-empilhado da beira com um endereço IPv4 routable. O router 6to4 pode ser usado para uma negação distribuída do ataque do serviço (DDoS) usando uma ferramenta chamada 4to6DDoS. 4to6DDoS não requer uma pilha IPv6 ser instalado no ataque ou no anfitrião da vítima. Emite IPv6 em pacotes encapsulated IPv4 diretamente de v4 a v4. Os routers usados tunneling 6to4 podem também ser DoS atacado simplesmente conectando ao router diversas vezes com um endereço IPv4 confidencial. Estes routers devem aceitar e pacotes do decapsulate IPv4 mesmo se são forjados. Devem também aceitar o tráfego de todo o nó IPv6 nativo. 6to4 também não garante o roteamento symmetric, meaning que o tráfego pode fazer exame de um trajeto de distribuição que vai a seu destino, e faz exame de um trajeto completamente diferente em cima do retorno. Esta situação não pode ser optimal de um ponto de vista da segurança.
Dirigir-se IPv4 traçado pode também causar edições de segurança. Para o exemplo, se um atacante transmitir um pacote IPv6 com endereço da fonte de::ffff:127.0.0.1 ou de::ffff:10.1.1.1 no campo de endereço da fonte IPv6, é possível contornear as listas do controle de acesso (ACLs) do router ou do guarda-fogo da beira.
Online: 371 users browsing the articles directory
. |