IPv6 Безопасности

Безопасности в IPv6 сети существенно не отличается от безопасности в IPv4 сети. Многие из существующих известных IPv4 нападения могут быть выполнены с IPv6, поэтому наши средства для обеспечения данных аналогичны. Как и в IPv4 мире, всегда будет неэтичным хакеров, которые найти новые способы проникнуть наших сетей. В разработчики концепции безопасности и всей компьютерной безопасности сообществу придется быть наготове и держать найти механизмы, чтобы идти в ногу с хакеры и найти способы защиты своих сетей от новых нападений.

Если оба протоколов (IPv4 и IPv6) используются в сети, каждый протокол потребностей своей собственной концепции безопасности и положений, которые должны координироваться. IPv6 - брандмауэры способны иметь фильтр правил для IPv4 и отдельный фильтр правил для IPv6.

Еще один момент для наблюдения заключается в том, что IPv6 включен в большинстве операционных систем и обычно, а просто настроить. Иногда тоннель механизмы активированы по умолчанию. IPv4 сети администраторам считаем, что они не должны беспокоиться о IPv6, но они не осознают, что могут быть IPv6 трафика в своей сети уже. Этот факт используется IPv6 хакеров к вторгаться в IPv4 сетей.

Найдите IPv6 трафика в свою сеть, фильтрации отслеживать файлы 0x86DD в ВКП заголовок или протокол 41 в IPv4 тип протокола области. Можно найти удивительное количество Нейгбор Discovery messagesa хорошим показателем, что вы активно IPv6 узлы в сети.

IPsec, в то же время хороший механизм безопасности, - это не конец, - все, быть - все для безопасности. Большинство специалистов согласны безопасности, что не существует "серебряной пули" в обеспечении сети от внутренних или внешних атак. Объединение передовых методов обучения пользователей и свести к минимуму риски. Если развертывание IPv6 в ближайшем будущем, существуют некоторые проблемы безопасности, которые должны быть рассмотрены. Будьте сообщил, что это не полный список, как весь объем информации может быть написан по этому вопросу.

Родные IPv6

При подключении к IPv6 родной, некоторые вопросы безопасности, которые следует учитывать, рассматриваются в следующих разделах.

Инфраструктура открытых ключей (ИПК)

Хотя RFC 4301 определяет требования для IPSec в IPv6 протокола, она не распространяется, как ключи будут обмениваться. Можно вручную создать preshared ввода, но и на крупных предприятиях, эта задача становится утомительным и отнимает много времени. В таких условиях, с использованием центрального сервера сертификат является идеальным. В IPv6, не было таких централизованных серверов сертификата до недавнего времени. Это изменилось с серверами, основанной на IKEv2 протокола, которая определяется в RFC 4306. Преимущества IKEv2 его использования по обе IPv4 и IPv6 и его простой реализации. Она не совместима с первой версии IKE, но обе версии "заголовок форматы похожи, чтобы запустить их как однозначно за тот же порт UDP.

Брандмауэры и обнаружения / предотвращения систем

Хотя конечными IPSec считается одним из основных преимуществ IPv6, но и вводит новые проблемы с существующими firewalling и IDS / IPSes если ESP используется шифрование с включен. Если пакеты шифруются от конца до конца, каким пограничного устройства проверять пакеты без расшифровки их? Хранение всех ключей шифрования в центре листья как центрального провала и централизованный для blackhat хакера проникнуть и похитить все ключи шифрования для сети. Одна из идей, которая была представлена в сообщество - это клиент-сервер модель IDS / ИПС (аналог нынешней уровне предприятий, антивирусной защиты). А центральный сервер или серверы ведет базу данных нападения подписей или сети аномалия анализа. А клиент скачивает подписей на местах и на компьютере-клиенте сканирует пакеты самой оповещения центрального сервера, если он сочтет подписи совпадают. Вопросы текущего IPv4 IDS / ИПС относятся отсутствие системы обнаружения tunneled IPv6 протоколов и общее отсутствие нападения подписей IPv6 на базе нападения, хотя, как IPv6 широко более сетей, эти вопросы должны быть решены в конечном итоге.

Брандмауэры, поддерживающие IPv6 включены в большинство основных операционных систем, брандмауэров, а что оставлять состояния соединений (Stateful брандмауэров) недоступны в старых реализаций Linux или Windows XP/2003. Cisco, Checkpoint, и Netscreen (Juniper), среди прочего, Stateful инспекция IPv6 пакеты в новой версии своего программного обеспечения.

Вопросы осуществления

Поставщик IPSec реализация себя может также вызвать вопросы безопасности. Например, в нескольких нынешних IPv6 IPsec реализаций, только подлинности и целостности услуги доступны ESP с использованием шифрования Нулевой или AH. Не все ESP реализации поддержки конфиденциальности кусочки, которые могли бы спровоцировать ложное предположение служб безопасности могут быть развернуты, если вы не Проверьте поставщика осуществления.

Многие IPv6 реализаций достаточно новый. Это приводит к двум другим возможным вопросам безопасности. Первый вопрос - это отсутствие IPv6 оценки. Она является обычной практикой в области информационной безопасности для проверки вашей собственной сети с известными инструментами аудита безопасности, а затем обеспечить недостатки нашли в этих инструментов. Многие из этих популярных не переносился ревизии IPv6 сетей. Второй вопрос непроверенных код IPv6 реализаций (который также в связи, не имеющих средств для проверки реализаций). Код, который не был "поставить через wringer", вероятно, будет иметь больше недостатков безопасности, чем код, который был использован в производственных условиях.

Соседа Discovery вопросы

Другие безопасности, которые могут возникнуть, являются злоупотребления в Нейгбор Discovery протокола (НДП), повторяющиеся Адрес обнаружения, и Router Реклама. А цитату из RFC 2462 (IPv6 статусе Autoconfiguration) говорится:

"Если узел определяет, что ее предварительное ссылка местных адрес не уникален, автоматическую остановки и ручной конфигурации интерфейса не требуется."

Это создает возможности отказ в обслуживании нападения, как несколько адресов IPv6 может быть отнесен к одному интерфейсу. А изгои рабочих может быть несколько тысяч адресов и других рабочих отрицать возможность получить ссылку на местном адрес. Или даже намного проще, программное респондент может быть построено, что всегда отвечает "адрес в использовании."

Другой момент заключается в том, что связь локальных адресов можно приобрести без предварительной. Злоумышленник может получить доступ к ссылке без каких-либо дополнительных знаний о сети. Эта функция дает злоумышленнику возможность узел смонтировать нападении на любой другой узел при этой ссылке. Возможные способы защиты от этого либо ссылка слоя аутентификации или использование Cryptographically Генерированные адреса.

Маршрутизаторы Реклама спуфинг является еще одним безопасности. Поскольку несколько адресов разрешено на одном интерфейсе несколько маршрутов имеют а. А загрузка узел посылает Router Сбор на всех маршрутизаторов многоадресной адрес (FF02:: 2). Каждый маршрутизатор на ссылку ответов с Маршрутизаторы Реклама, содержащая информацию о конфигурации для клиента. Это открывает деятельности возможность направления движения через маршрутизатор, через который он не предполагается направлять (позволяя движения sniffing на подставных маршрутизатора). Очевидно, что такого рода атаки происходит в IPv4 мире; Она отличается лишь в используемых механизмов. Использование IPsec в AH компонента или SEcure Нейгбор Discovery - хороший способ для смягчения этого риска, в частности.

Спецификация в НДП предлагает использовать IPsec для защиты от нападения, без предоставления более подробной информации о том, как это сделать. Во многих случаях, особенно в общественной и беспроводных сетей, управления ключами использовать IPsec является слишком сложным и непрактичным.

Новая спецификация была опубликована в RFC 3971 для обеспечения НПР без использования IPsec. Он называется SEcure Нейгбор Discovery (ОТПРАВИТЬ). Данный подход предусматривает использование новых НДП варианты для выполнения открытых ключей на базе подписей. А нулевой конфигурации механизм используется для показа адреса собственности на отдельные узлы; Маршрутизаторы сертифицируются целевой якорь.

ARP в IPv4 была заменена ICMP- сообщения в IPv6. Без использования IPsec AH или ОТПРАВИТЬ Однако, НДП имеет многих проблем безопасности, что ARP в IPv4, такие как переадресация нападений (вредоносные узлы перенаправление пакетов от законных приемников), отказ в обслуживании (DoS) нападения, и наводнения нападений (перенаправление других узлов "трафик в жертву узла создания потока фиктивных перевозок).

Порт сканирования

Порт сканирования стала гораздо более сложной, если не нецелесообразным. Интерфейс идентификатор в IPv6 имеет 64 бит. проект - знать - v6ops - ворс - 02.txt говорится, что "злоумышленник должен отправить один просто нереально числа команд на карте сети, и вирус / червь распространения будет отброшена назад в этом процессе. На полный курс 40Gbps (400 раз типичные 100Mbps сеть, и 13.000 раз типичный DSL / кабельные доступ ссылка) она занимает более 5.000 лет сканировать один 64 бит пространстве. " Go рис. Если автоматическую используется без Конфиденциальность Вариант, некоторые части адреса (например, идентификатор поставщика), можно угадать, но это еще огромное пространство. Простая и хорошую защиту - это избегать легко догадаться, в решении схем, не используя такие слова, как ГОВЯЖЬЯ, F00D, CAFE, 1234, и ABCD качестве неотъемлемой части IPv6 адрес, а не с помощью сквозная нумерация или простой в угадать адреса на основные объекты инфраструктуры устройств (таких как х:: 1 для маршрутизаторов).

Многоадресная вопросы

IPv6 поддерживает многоадресной адресов с сайта сфера, которая может позволить атакующему определить некоторые важные ресурсы на сайте при неправильном использовании. Особое примерами являются все маршрутизаторы (FF05:: 2), а все серверы DHCP (FF05:: 1:3) адреса. Злоумышленник, способный проникнуть сообщение предназначенных для этих адресов на сайт будет потенциально получить в обмен информацией о ключевых ресурсов на сайте. Затем эта информация может быть использована для нападения направлены начиная от простого затопления более конкретные механизмы, направленные на подрыв устройства. Риск можно свести к минимуму, обеспечив, чтобы все брандмауэры и маршрутизаторы сайт границы настроены на снижение пакетов с сайта сферы назначения адресов. Кроме того, узлы не должны вступать многоадресной группы, для которых нет законного использования на сайте, а сайт маршрутизаторы должны быть настроены на снижение пакетов, направленных на эти неиспользованные адреса.

Переход по тоннелям и механизмы

IPv4, как ожидается, не исчезнет в любое ближайшее время. Весьма вероятно, что будет IPv4 узлами по сети на многие годы вперед. IPv4 хостов не может общаться с IPv6 хостов без определенного перехода или туннель механизм, который можно добавить сложность к существующей сетевой топологии и код для сетевого стека. Переходной туннель и механизмы могут также использоваться в качестве backdoors в как IPv4 - только сетями.

Использование IPv6 в качестве задней двери в IPv4 сетей была известна практика с 2002. 17 декабря, один из HoneyNet проекта (http://www.honeynet.org) Solaris 8 серверов был скомпрометирован. Разница между этим нападением и ранее было, что это злоумышленник создал IPv6 туннель в другую страну и tunneled из данных он пытался похитить. Это обход многих систем обнаружения того времени, и он сделает это сегодня. Эта практика была облегчена с приходом UDP туннель на базе механизмов, призванных разрешить IPv6 сзади NATs (практика, почти невозможно до этих механизмов имеются). Корабельный червь, древоточец и туннель Настройка протокола (TSP) два таких механизмов.

Вообще, с туннель нужно убедиться, что пакеты, введите сети через туннель не может обойти входящего пакетных фильтров. Злоумышленник из Интернета мог бы, например, направить в IPv4 пакет в туннель конечной (отправной точкой для нашей сети), что содержится IPv6 пакет с IPv6 Источник адрес из диапазона нашей внутренней сети. Тоннель конечной decapsulates пакета и направляет IPv6 пакет для внутренней сети. Ресивер считает, что этот пакет исходит от хоста из внутренней сети. Одним из примеров является то, что некоторые IPv6 механизмы безопасности полагаются на проверки, что хмеля предел - 255 и связь на местном Адрес используется. Такой пакет может использоваться в IPv6 сети через туннель. Автоматическое туннели являются более опасными в этом отношении, поскольку они принимать пакеты из любого источника. Поэтому частичную защиту можно настроить туннель конечной принимать только пакеты из туннеля в настройках точки входа или использовать только вручную настроить туннели. Но злоумышленник может еще обманывать этот адрес. Дополнительный фильтр механизмы, которые будут осуществляться на конечной точки туннеля. проект - знать - v6ops - ipsec - туннели - 02.txt, "Использование IPsec для безопасности IPv6 в IPv4 туннелей", попадает в более подробной информации и приводятся рекомендации по вопросам обеспечения вручную настроить IPv6 в IPv4 туннелей с использованием IPsec.

В 6to4 сценариев, есть особые соображения обсуждаются в RFC 3964, "Соображения безопасности для 6to4." Вопросы здесь, что: а) все 6to4 маршрутизаторы должны признать и decapsulate пакетов IPv4 у каждого 6to4 маршрутизатора и 6to4 реле, и б) все 6to4 реле маршрутизаторы должны принимать трафик от любых родной IPv6 узла. В маршрутизации сценариев для анализа являются:

• С 6to4 для 6to4

• От родной IPv6 для 6to4

• С 6to4 в родной IPv6

Обратитесь к RFC для подробного обсуждения сценариев и наилучшей практики защиты сети.

6 to4 туннелирование - это хорошо известный механизм перехода к сети, которые в настоящее время не имеют родной IPv6 сетям. Она состоит в использовании двойного штабелирования пограничного маршрутизатора с routable IPv4 адрес. В 6to4 маршрутизатора могут быть использованы для распределенной атаки на отказ от обслуживания (DDoS) нападение с использованием утилиты 4to6DDoS. 4 to6DDoS не требует IPv6 стек будет установлен либо на нападение или жертва пребывания. Он направляет IPv6 в IPv4 инкапсулированный пакеты непосредственно из v4 в v4. В маршрутизаторы, используемые для 6to4 туннель может быть DoS нападению просто подключиться к маршрутизатору несколько раз с частным IPv4 адрес. Эти маршрутизаторы должны признать и decapsulate пакетов IPv4, даже если они поддельные. Они должны также принимать трафик от любых родной IPv6 узла. 6 to4 также не гарантирует симметричный маршрут означает, что трафик может принять одно маршрутизации путь будет своего назначения, и принять совершенно иной путь после возвращения. Эта ситуация не может быть оптимальной с точки зрения безопасности.

Подключенные IPv4 решение может также привести к проблемам безопасности. Например, если злоумышленник передает один IPv6 пакет с Источник адрес:: ffff: 127.0.0.1 или:: ffff: 10.1.1.1 в IPv6 Источник поле адреса, то можно обойти Доступ Списков контроля (ACL) на границе маршрутизатор или брандмауэр.