Quali sono i rischi per la sicurezza nell'abilitazione di ipv6

27

Stiamo pensando di abilitare ipv6 sui nostri server web, in modo che siamo raggiungibili con ipv4 e ipv6. Ci sono problemi di sicurezza che dovremmo prendere in considerazione quando abilitiamo ipv6?

    
posta Peter Smit 16.11.2010 - 07:33
fonte

3 risposte

18

Solo IPv6:

  • La dimensione illimitata della catena di intestazione può rendere difficile il filtro.
  • IPsec non è una panacea:
    • IPv6 impone l'implementazione di IPsec
    • IPv6 non richiede l'uso di IPsec
    • Alcune organizzazioni credono che IPsec debba essere usato per proteggere tutti i flussi:
      • Interessante problema di scalabilità
      • È necessario affidarsi a endpoint e utenti finali perché la rete non è in grado di proteggere il traffico: nessun IPS, nessun ACL, nessun firewall
      • La telemetria di rete è accecata
      • Servizi di rete ostacolati
  • Mi raccomando di non utilizzare IPsec end-to-end in un dominio amministrativo ma per ambienti residenziali, ostili o target di alto profilo.

Attacchi IPv6 con forti similarità IPv4:

  • Sniffing
    • Senza IPSec, IPWithout IPSec, IPv6 non ha più o meno probabilità di essere vittima di un attacco di sniffing rispetto a IPv4
  • Attacchi a livello di applicazione
    • Anche con IPSec, la maggior parte delle vulnerabilità su Internet oggi sono a livello di applicazione, qualcosa che IPSec non farà nulla per impedire
  • Dispositivi Rogue
    • I dispositivi Rogue saranno facili da inserire in una rete IPv6 come in IPv4
  • Man-in-the-Middle Attacks (MITM)
    • Senza IPSec, qualsiasi attacco che utilizza MITM avrà la stessa probabilità in IPv6 come in IPv4
  • Inondazioni
    • Gli attacchi di inondazione sono identici tra IPv4 e IPv6

Doppio stack IPv4 e IPv6 (come indicato):

  • Le applicazioni possono essere soggette ad attacchi sia su IPv6 che su IPv4 (link più debole)
  • I controlli di sicurezza dovrebbero bloccare e ispezionare il traffico da entrambe le versioni IP
risposta data 16.11.2010 - 09:01
fonte
12

Molti siti utilizzano l'indirizzamento privato all'interno della loro rete e il router esegue NAT in modo che le connessioni in uscita siano fattibili. La cosa NAT implica, per costruzione, lo stesso effetto di un firewall che impedirebbe qualsiasi connessione in entrata dal mondo esterno a una delle macchine nella rete interna.

Quando abiliti IPv6, le macchine interne diventano visibili esternamente. Quindi è meglio configurare le regole di filtraggio di base sul firewall prima che abilita IPv6. Pensa a un vecchio sistema Windows senza patch, pieno di buchi sfruttabili a distanza, che era innocuo purché si trovasse semplicemente nella rete interna senza svolgere alcuna attività di rete con Internet in generale (ad esempio una workstation utilizzata solo per connettersi ad una intranet).

Questo non è proprio il difetto di IPv6. È che IPv6 è stato progettato in modo che non vi sia una carenza di indirizzi, rendendo il NAT non necessario. Credo che la maggior parte dei problemi di sicurezza che si verificheranno con la distribuzione IPv6 seguiranno questo schema: IPv6 annulla l'effetto "firewall intrinseco" del NAT, scoprendo molti host vulnerabili. In una certa misura, questa è la stessa storia dell'avvento del WiFi, che annulla la sicurezza fisica intrinseca dei cavi semplici.

    
risposta data 10.06.2011 - 21:19
fonte
4

Ho trovato un documento recente sull'argomento: CPNI VIEWPOINT - IMPLICAZIONI DI SICUREZZA DI IPv6 - MARZO 2011 . I punti principali che fa sono i rischi condivisi da molte nuove tecnologie:

  • meno maturo di IPv4, quindi probabilmente più bug
  • minore supporto nei prodotti di sicurezza
  • più complesso = > superficie di attacco più grande, specialmente per gli ambienti dual-stack
  • minore familiarità da parte dello staff di supporto

Quindi, prima di implementare IPv6, dovresti prendere il tempo necessario per familiarizzare con la tecnologia, lavorare con fornitori esperti e avere un piano per risolvere questi problemi.

Il rapporto introduce un po 'più di discussione ad es. l'opzione NAT-free.

Sembra un buon mercato in via di sviluppo per i responsabili della sicurezza di IPv6. (Come se non ci fossero altre opportunità là fuori ....)

    
risposta data 10.06.2011 - 20:45
fonte

Leggi altre domande sui tag