5. Đảm bảo an toàn trong triển khai IPv6
5.1.1. Cộng đồng tấn công sửdụng IPv6
Kẻ tấn công là cộng đồng thích ứng với môi trường IPv6, đặt ra một nguy cơ nghiêm trọng đối với tất cả các tổ chức kết nối Internet. Cộng đồng tấn công thúc đẩy IPv6 xâm nhập và tấn công cả IPv4 và IPv6. Do đó Tổ chức Whitepaer US-CERT công bố công khai các công cụ tấn công kích hoạt IPv6.
Kẻ tấn công triển khai IPv6 và sử dụng IPv6 cho hệ thống thỏa hiệp Whitepaer US-CERT cảnh báo quản trị viên phần mềm độc hại có thể sử dụng IPv6 cho thong tin lien lạc bí mật và đường tunnel của mạng IPv4. US- CERT trích dẫn hai nguyên nhân trong whitepaper:
• Hầu hết các hệ điều hành hiện tại hỗ trợ IPv6 một cách mặch định. • Firewall và IDS không được cấu hình để nhận lưu lượng IPv6 có thể
được bỏ qua.
Những cảnh báo rằng kẻ tấn công có thể sử dụng IPv6 để tao tunnel gây sự ngạc nhiên cho cộng động bảo mật như đầu năm 2002. Các nhà nghiên cứu
bảo mật đã bắt đầu tài liệu trường hợp của IPv6 cho phép kẻ tấn công trên hệ thống để tránh IPv4 kiểm soat an ninh. Cũng trong 2005, một nhà nghiên cứu bảo mật đã phát hành một bộ công cụ tấn công IPv6 tại một hội nghị an ninh. Bộ công cụ này bao gồm các công cụ để tấn công ICMPv6, phát hiện host IPv6, chiếm quyền điều khiển tự động cấu hình. Hai sự kiện này đã chứng minh rằng công đồng kẻ tấn công là tận dụng lợi thế của IPv6 và đang phát triển kỹ thuật và các công cụ khai thác.
5.1.2. Khách hàng IPv6 trái phép
Internet đang tích cự triển khai IPv6. Hỗ trợ IPv6 hiện có sẵn cho hầu hết các hệ điều hành. Các lệnh để kích hoạt IPv6 trên các hệ điều hành rất rễ dàng và than thiện với người sử dụng. Sử dụng IPv6 tự động, một máy chủ có thể cấu hình địa chỉ toàn cầu nếu nó là có thể tìm thấy một tiền tố.Hệ điều hành mới không chỉ hỗ trợ IPv6 nhưng cũng thường cho phép IPv6 theo mặc định. này cho thấy nhiều tổ chức với các lỗ hổng, nó có thể không thể phát hiện hoặc giảm nhẹ. Các tùy chọn sau có sẵn để giảm nguy cơ này:
• Xác định vị trí và vô hiệu hóa bất kỳ thiết bị kích hoạt IPv6. • Khối IPv6 và traffig tunnel IPv6
• Bao gồm các chính sách sử dụng IPv6 trong kế hoạch an ninh của tổ chức
5.1.3. Lỗ hổng trong IPv6
An ninh IETF như là một rang buộc thiết kế quan trọng khi phát triển các tiêu chuẩn cho IPv6. làm việcđể giải quyết sự thiếu bảo mật và tính toàn vẹn trong IPv4 đã dẫn đến sự phát triển của IPsec. IPv6 với IPsec giải quyết những vấn đề này, nhưng IPsec đã không giải quyết điểm yếu khác được tìm thấy trong giao thức TCP / IP ngăn xếp giao thức. IPv6 không giải quyết được nhiều lớp truyền thống 2 cuộc tấn công như đánh hơi giao thông, lũ lụt giao thông, các cuộc tấn công man-in-the-middle, các thiết bị giả mạo Address Resolution Protocol (ARP) các cuộc tấn công tràn bảng.
Một số các cuộc tấn công được giải quyết một phần trong IPv6 trong khi các cuộc tấn công khác, tương tự như trong tự nhiên, khai thác khác nhau tính
năng. Mặc dù hầu hết các hệ điều hành hiện đại đã hỗ trợ IPv6 ít nhất là từ 2003, các ngăn xếp giao thức các hệ điều hành này đã không được chứng minh. Một đánh giá của các lỗ hổng bảo mật cơ sở dữ liệu quốc gia cho thấy lỗ hổng chồng trong hầu hết các hệ điều hành. Khi lỗ hổng mới tiếp xúc, các nhà cung cấp sẽ phát hành bản cập nhật. Với bất kỳ mã mới, các nhà cung cấp sẽ cần thời gian để ổn định hoặc cứngmã của họ. Khi triển khai IPv6, một tổ chức cần hiểu rằng mã sử dụng trong IPv6 ngăn xếp giao thức có thể là tương đối mới. IPv4 lớp 2 và lớp 3 cuộc tấn công là có thể bởi vì IPv4 giả định tất cả các nút mạng sẽ cư xử theo một đáng tin cậy theo cách. IPv4 sử dụng ARP để liên kết vật lý địa chỉ địa chỉ logic. Giả định này cho phép các cuộc tấn công can thiệp với độ phân giải địa chỉ IP và hiệp hội về thể chất địa chỉ với địa chỉ logic. IPv6 không sử dụng ARP để ánh xạ IP địa chỉ để giao diện vật lý. Thay vào đó, IPv6 sử dụng ICMPv6. IPv6 sử dụng ICMP cho người hàng xóm phát hiện và không quốc tịch quá trình tự động cấu hình địa chỉ liên kết các địa chỉ vật lý và logic. IPv6 là vẫn còn dễ bị tổn thương lớp 3 lần tấn công. Một kiểu tấn công 3 lớp là khởi tạo máy chủ tấn công. ba chung máy chủ tấn công khởi tạo là:
• Neighbor Solicitation (NS). Cho người hàng xóm phát hiện, một nút khách hàng sẽ gửi một thông báo NS.các vấn đề là bất kỳ nút có thể khẳng định được bất kỳ nút khác trong mạng LAN. Một kẻ tấn công có thể làm sai lệch một NS tin nhắn với địa chỉ MAC và địa chỉ IP giả mạo. Kỹ thuật này tương tự như ARP spoofing trong IPv4 và chỉ hoạt động trên link-local.
• Router Solicitation (RS). Với tự động cấu hình địa chỉ không quốc tịch, nút khách gửi một RS tin nhắn. Giống như các cuộc tấn công NS, bất kỳ nút nào cũng có thể yêu cầu bồi thường là router mặc định và lật đổ khởi tạo quá trình. Những cuộc tấn công liên kết địa phương scoped. • Duplicate Địa chỉ phát hiện (DAD) Process. Khi một node cố gắng để
cấu hình link-local địa chỉ, nó chạy DAD. Một kẻ tấn công có thể gây ra một cuộc tấn công từ chối dịch vụ bằng cách đáp ứng một DAD yêu cầu. Kết quả là, giao diện của nạn nhân sẽ thất bại để khởi tạo.
Kích thước subnet trong IPv6 có thể trình bày những thách thức an ninh riêng của mình. Những thách thức này sẽ được thảo luận trong RFC5157, IPv6 ảnh hưởng đối với mạng lưới quét. Subnet kích thước lớn hơn nhiều hơn so với trong IPv4, mặc định subnet có thể có 264 địa chỉ. Những vấn đề với quét một không gian địa chỉ lớn này đã được thảo luận tại mục 2.4. Subnet kích thước và kết quả các lần quét dài thường được trình bày như các tính năng bảo mật kể từ khi họ sẽ làm chậm một máy quét độc hại hoặc tuyên truyền của logic độc hại. Kích thước subnet, tuy nhiên, gây khó khăn cho quản trị mạng và hệ thống quản lý tài sản. Kẻ tấn công và cán bộ quản lý cần phải dựa vào các kỹ thuật phát hiện khác như lớp 2 phát hiện và DNS để tìm host. lớn không gian địa chỉ làm cho nó khó khăn hơn để tìm host giả mạo, có thể gây ra các quản trị viên để dựa vào kỹ thuật phát hiện thụ động. Quản trị viên có thể cần phải nghỉ mát để dự đoán hoặc số tuần tự lược đồ để giải quyết các thiết bị. Để giảm thiểu lớp 3 lỗ hổng bảo mật, quản trị nên xem xét việc sử dụng cố định địa chỉ hoặc DHCPv6 với phát hiện DHCP giả mạo thay vì tự động cấu hình địa chỉ không quốc tịch. tự động cấu ND có thể được bảo đảm bằng SEND. Thông tin thêm về SEND hiện có sẵn kiểm soát truy cập mạng dựa trên 802.1x, và thực tiễn quản lý cấu hình tốt sẽ giúp để giảm thiểu lớp 3 lỗ hổng. Việc triển khai IPv6 củng cố bài học bảo mật cơ bản đã học với IPv4. Những bảo mật thực hành bao gồm quốc phòng trong chiều sâu, đa dạng, vá, quản lý cấu hình, kiểm soát truy cập, và hệ thống và quản trị mạng thực hành tốt nhất. Thực hành an toàn vẫn không thay đổi với việc triển khai IPv6. Thực hành an toàn sẽ làm giảm thời gian tiếp xúc và phục hồi trong trường hợp của một sự kiện an ninh.
5.1.4. Hoạt động kép
Một tổ chức triển khai IPv6 có thể hỗ trợ IPv4 cho các ứng dụng di sản, dịch vụ, và các khách hàng. Điều này sẽ cho kết quả trong một môi trường giao thức kép và phức tạp tăng lên. Nguy cơ là một tổ chức của an ninh cơ sở hạ tầng có thể không được nhận thức của cả hai giao thức. Giao thức kép sẽ làm tăng sự phức tạp của môi trường. Hai giao thức có nghĩa là gấp đôi so với nhiều điều có thể đi sai, và hai lần số lượng cấu hình được yêu cầu phải lắp đặt thiết bị mới hoặc thay đổi thiết bị hiện có. Tấn công chống lại trên giao
thức lớp có thể sử dụng hoặc stack IPv4 hoặc IPv6 để tiếp cận với khách hàng. Quản trị viên sẽ cần phải duy trì cùng một mức độ bảo hiểm cho cả hai giao thức để giảm thiểu rủi ro.
5.1.5. Nhận thức rủi ro
Một quan niệm sai lầm về IPv6 IPv6 tự giới thiệu nhiều rủi ro an ninh hơn IPv4
giao thức. Nhận thức rủi ro có thể gây ra một tổ chức để trì hoãn triển khai mặc dù thực tế là kích hoạt IPv6 thiết bị đã có trên tay. Như đã thảo luận tại mục 2.4 của tài liệu này, IPv6 là không có nhiều hơn hoặc ít hơn an toàn hơn IPv4. Khái niệm bảo mật nói chung là giống nhau cho cả hai giao thức IP. Tuy nhiên, nó sẽ mất thời gian để có được mức độ kinh nghiệm hoạt động và giải pháp triển khai thực tế đã được phát triển cho IPv4 trong những năm qua.
5.1.6. Nhà cung cấp hỗ trợ
Nhiều hãng bảo mật đang chờ đợi cho nhu cầu của khách hàng trước khi thực hiện hỗ trợ cho IPv6, trong khi khách hàng đang chờ đợi cho các nhà cung cấp để hỗ trợ IPv6 trước khi mua phần mềm và hệ thống. Điều này có dẫn đến một vấn đề con gà và quả trứng ". Trong khi một số nhà cung cấp hỗ trợ đầy đủ IPv6, không hỗ trợ IPv6 tại tất cả hoặc chỉ cung cấp hỗ trợ hạn chế. Các tổ chức cần phân tích hiện có cơ sở hạ tầng an ninh của họ IPv4 và phát triển cơ sở yêu cầu rằng một cơ sở hạ tầng IPv6 phải đáp ứng để đạt được an ninh tương tự hoặc tốt hơn như IPv4 của họ môi trường. Yêu cầu cơ sở mới có thể được thêm vào để giải quyết các yêu cầu chỉ IPv6 hoặc thiếu sót trong môi trường hiện tại. Một số IPv4 hiện có thiết bị có thể hỗ trợ cả hai yêu cầu IPv4 và IPv6, nhưng các tổ chức nên có kế hoạch để đánh giá các sản phẩm với sự hỗ trợ IPv6 để bổ sung và / hoặc thay thế thiết bị hiện có hoặc các lỗ hổng bảo mật của cây cầu. Sử dụng các yêu cầu cơ bản bảo mật phát triển để đánh giá IPv6 sản phẩm bảo mật. Đánh giá sản phẩm, lựa chọn và mua sắm có thể làm chậm việc triển khai lịch trình cho IPv6. Tổ chức lập kế hoạch triển khai IPv6 nên bắt đầu một cuộc đối thoại với an ninh của họ nhà cung cấp để hỗ trợ IPv6 càng sớm càng tốt. Không có tiêu chuẩn công nghiệp để xác định hỗ trợ IPv6. Các tổ chức phải hiểu họ sẽ có đạt được và mất đi khả năng bằng cách triển khai IPv6 và điều này sẽ thay đổi thế trận an ninh của họ. Khi các nhà
cung cấp yêu cầu bồi thường hỗ trợ IPv6, nó là tổ chức để đánh giá liệu họ có thể hoạt động với các các nhà cung cấp "mức độ hỗ trợ IPv6. Thường hỗ trợ IPv6 không phải là hoàn chỉnh như IPv4 hỗ trợ. Một ví dụ về đây là rằng nhiều thiết bị an ninh IPv6 yêu cầu địa chỉ IPv4 cho quản lý và cấu hình. NIST đã ban hành một ấn phẩm đặc biệt để xác định khả năng IPv6 thiết bị cần hỗ trợ. NIST SP 500-267, Một hồ sơ cho IPv6 trong Chính phủ Hoa Kỳ - Phiên bản 1.0 21 sẽ giúp các tổ chức xác định và lựa chọn sản phẩm có hỗ trợ IPv6. Tài liệu này có một phần dành riêng cho các thiết bị bảo vệ mạng thảo luận về các khả năng tường lửa, tường lửa ứng dụng, và hệ thống phát hiện xâm nhập hỗ trợ. Khi đánh giá các loại thiết bị an ninh, tổ chức phải đảm bảo các thiết bị phù hợp với hồ sơ. Để tạo điều kiện thuận lợi cho mục tiêu đó, NIST đã đưa ra một USGv6 (Chính phủ Hoa Kỳ IPv6) chương trình thử nghiệm 52 để xác minh sự phù hợp IPv6 và khả năng tương tác của ba lớp học của các thiết bị IPv6: host thiết bị định tuyến và thiết bị bảo vệ mạng (NPDs). Thử nghiệm được thực hiện bởi các phòng thí nghiệm độc lập, các phòng thí nghiệm được công nhận để thực hiện các thử nghiệm của ISO- chứng nhận kiểm định. Các nhà cung cấp tuyên bố sản phẩm có đủ điều kiện như tuân thủ-USGv6 thông qua việc sử dụng các Tuyên bố của Nhà cung cấp về sự phù hợp (SDOC), cho phép người dùng tiềm năng của sản phẩm để chứng minh khả năng đã được thử nghiệm và phòng thí nghiệm đã tiến hành thử nghiệm NIST SP 500-267 không giải quyết một vài lớp học của các thiết bị an ninh bao gồm cả sự kiện an ninh / log quản lý, dễ bị tổn thương / quản lý bản vá, dòng chảy (NetFlow, sFlow), các công cụ pháp y, và xác thực hệ thống. Nhiều nhà cung cấp có thể để xử lý lưu lượng truy cập IPv6 nhưng thiếu khả năng để trình bày các thông tin hiệu quả, yêu cầu IPv4 thiết bị cho phép quản lý, hoặc không đầy đủ tính năng. Tổ chức sẽ phải phát triển hồ sơ năng lực cho các công cụ an ninh của họ.Tổ chức phải chấp nhận khả năng rằng họ có thể không đạt được đầy đủ tính chẵn lẻ trong IPv4 và IPv6 môi trường và thực hiện các bước để giảm thiểu rủi ro liên quan.