Uno dei miei amici implementerà IPv6 nel suo ambiente di rete universitaria e mi ha detto che è più sicuro di IPv4. IPv6 è più sicuro di IPv4? In tal caso, come viene raggiunto a livello di protocollo?
Uno dei miei amici implementerà IPv6 nel suo ambiente di rete universitaria e mi ha detto che è più sicuro di IPv4. IPv6 è più sicuro di IPv4? In tal caso, come viene raggiunto a livello di protocollo?
Aggiungendo a ciò che ha detto l'ingegnere chimico, IPv6 ha anche altri vantaggi, come ad esempio:
Supporto nativo per la crittografia end-to-end : questa era una funzionalità che è stata aggiunta molto più tardi a IPv4, ma come standard per IPv6.
Scoperta contigua sicura : il protocollo migliorato (SEND) per la scoperta adiacente in IPv6 conferma effettivamente l'identità dell'altra parte durante l'individuazione dell'host, utilizzando un metodo crittografico.
Spazio degli indirizzi più grande : più tempo necessario per la forza bruta tramite gli indirizzi (3.4 × 10 38 rispetto ai precedenti 4.3 × 10 9 )
Ma come nella maggior parte dei casi, l'errata configurazione ti renderà più vulnerabile.
Scott Hogg ha scritto un articolo brillante qualche tempo fa qui . Copre questi punti in modo molto più dettagliato.
Riepilogo: poiché le reti IPv6 attualmente implementate potrebbero essere meno sicure di IPv4. Questo non dipende dal design IPv6 ma dal supporto inadeguato nei firewall e dal fatto che gli amministratori di rete e gli esperti di sicurezza hanno più conoscenza trattare con IPv4 rispetto a IPv6.
È vero che IPv6 è stato progettato con più sicurezza in mente. Sfortunatamente la maggior parte delle cose buone come l'IPSec incorporato è stata lasciata fuori come opzionale, il che significa che la connessione IPv6 di oggi non è protetta meglio di IPv4.
Peggio ancora è che molti prodotti per la sicurezza non sono ancora pienamente a conoscenza di IPv6. Pertanto, non è raro che OpenVPN e altre installazioni VPN solo tunnel il traffico IPv4 ma non il Traffico IPv6 che ovviamente è un problema di sicurezza. Inoltre ci sono ancora firewall che non hanno né supporto limitato per IPv6 o non hanno ottimizzazioni per IPv6 e diventa così lento con traffico IPv6. Inoltre, le reti IPv6 si comportano in modo leggermente diverso dalle reti IPv4 (autoconfigurazione, più indirizzi IPv6 sullo stesso dispositivo ...), il che significa che la conoscenza IPv4 esistente degli amministratori di rete e dei professionisti della sicurezza non può essere semplicemente applicata a IPv6. E poi c'è la diversa rappresentazione on-the-wire di IPv6 che presenta un'intestazione principale di dimensioni fisse, ma poi molte intestazioni opzionali impilate che rappresentano un diverso insieme di sfide da affrontare nei firewall rispetto a IPv4. E ci sono più differenze che potrebbero causare comportamenti imprevisti e quindi problemi di sicurezza.
Questo insieme sicuramente non rende IPv6 più sicuro di IPv4 nell'uso pratico. In effetti si potrebbe dire che IPv6 è meno sicuro nella realtà odierna anche se è stato progettato per essere più sicuro. Vedi anche i molti discorsi su questo argomento da conferenze come Black Hat con argomenti come Evasione di dispositivi IPS di fascia alta in Age of IPv6 o Attaccando IPv6 Implementazione con frammentazione .
Sort of.
Quando è stato progettato IPv4, la sicurezza è stata (intenzionalmente, secondo alcuni partecipanti) esclusa dal design; nessuna crittografia, nessuna autenticazione, nessuna verifica dell'identità.
IPv6 è stato un tentativo di correggere i torti di IPv4, e questo includeva la penosa mancanza di sicurezza. Funzionalità come la crittografia e la strong identità sono state integrate nel protocollo. Ma il design è stato leggermente deragliato dal processo di progettazione (di nuovo, intenzionalmente secondo alcuni) tale che i protocolli di sicurezza sono generalmente facoltativi e spesso troppo complesso per essere utilizzabile.
Quindi, per la maggior parte, la sicurezza di una rete IPv4 ben gestita è più o meno la stessa di una rete IPv6 ben gestita. IPv6 nella sua forma tipica non è intrinsecamente più sicuro di IPv4 nella sua forma tipica.
Però c'è un netto vantaggio di "sicurezza per oscurità" in IPv6. In genere il malware si diffonde su IPv4 e il malware che esegue la scansione della rete per le destinazioni vulnerabili utilizza quasi esclusivamente IPv4.
C'è anche il fatto spesso menzionato che la selezione di IP casuali nello spazio IPv6 genera quasi sempre indirizzi inutilizzati, ma questa non è una protezione particolarmente strong. La scelta degli obiettivi nello spazio IPv6 non avverrà tramite selezione casuale o scansioni sequenziali. Esistono altri modi per scoprire gli indirizzi.
Leggi altre domande sui tag ipv6