Stiamo pensando di abilitare ipv6 sui nostri server web, in modo che siamo raggiungibili con ipv4 e ipv6. Ci sono problemi di sicurezza che dovremmo prendere in considerazione quando abilitiamo ipv6?
Stiamo pensando di abilitare ipv6 sui nostri server web, in modo che siamo raggiungibili con ipv4 e ipv6. Ci sono problemi di sicurezza che dovremmo prendere in considerazione quando abilitiamo ipv6?
Solo IPv6:
Attacchi IPv6 con forti similarità IPv4:
Doppio stack IPv4 e IPv6 (come indicato):
Molti siti utilizzano l'indirizzamento privato all'interno della loro rete e il router esegue NAT in modo che le connessioni in uscita siano fattibili. La cosa NAT implica, per costruzione, lo stesso effetto di un firewall che impedirebbe qualsiasi connessione in entrata dal mondo esterno a una delle macchine nella rete interna.
Quando abiliti IPv6, le macchine interne diventano visibili esternamente. Quindi è meglio configurare le regole di filtraggio di base sul firewall prima che abilita IPv6. Pensa a un vecchio sistema Windows senza patch, pieno di buchi sfruttabili a distanza, che era innocuo purché si trovasse semplicemente nella rete interna senza svolgere alcuna attività di rete con Internet in generale (ad esempio una workstation utilizzata solo per connettersi ad una intranet).
Questo non è proprio il difetto di IPv6. È che IPv6 è stato progettato in modo che non vi sia una carenza di indirizzi, rendendo il NAT non necessario. Credo che la maggior parte dei problemi di sicurezza che si verificheranno con la distribuzione IPv6 seguiranno questo schema: IPv6 annulla l'effetto "firewall intrinseco" del NAT, scoprendo molti host vulnerabili. In una certa misura, questa è la stessa storia dell'avvento del WiFi, che annulla la sicurezza fisica intrinseca dei cavi semplici.
Ho trovato un documento recente sull'argomento: CPNI VIEWPOINT - IMPLICAZIONI DI SICUREZZA DI IPv6 - MARZO 2011 . I punti principali che fa sono i rischi condivisi da molte nuove tecnologie:
Quindi, prima di implementare IPv6, dovresti prendere il tempo necessario per familiarizzare con la tecnologia, lavorare con fornitori esperti e avere un piano per risolvere questi problemi.
Il rapporto introduce un po 'più di discussione ad es. l'opzione NAT-free.
Sembra un buon mercato in via di sviluppo per i responsabili della sicurezza di IPv6. (Come se non ci fossero altre opportunità là fuori ....)