IPv6- 下一代互联网协议 - 不会在晚上保持太多的美国和网络经理令人担忧。但也许它应该。
专家表示,大多数美国组织都有隐藏在其网络上运行的IPv6流量,并且很少有网络经理能够查看,管理或阻止它。越来越多地,这个流氓IPv6流量包括攻击僵尸网络指挥和控制。
如果你没有监控你的网络IPv6交通,IPv6的途径可以作为攻击的途径,“蒂姆LeMaster,为Juniper的联邦集团系统工程总监说,”什么样的网络管理者不明白的是,他们可以有一个用户一台主机,有人上运行IPv6如果没有他们知道它,可能会向该主机发送恶意流量。“
大多数美国网络管理人员对恶意IPv6流量视而不见,因为他们没有IPv6的感知防火墙,入侵检测系统或网络管理工具。此外,IPv6流量正在隧道在IPv4连接,似乎是普通的IPv4数据包,除非组织已部署安全可以检查隧道流量的机制。(也可以看看:面临的5个最大的基于ipv6的威胁CIO。)
“至少有一半的美国CIO在他们的网络上有IPv6,他们不了解,但黑客的工作,”北美的技术总监Yanick Pouffary说IPv6任务力量惠普杰出技术专家“你不能忽视IPv6。你需要采取最低限度的措施来保护你周围的安全。您需要了解IPv4和IPv6的防火墙。你需要了解IPv4和IPv6的网络管理工具。”
“虽然他们没有考虑IPv6的,对于大多数的财富500强,这是在他们的网络不管怎么说,”同意戴夫西,思科公共部门集团系统工程总监。“你可能不会看到今天的IPv6作为一个商业驱动力,但喜欢与否,你是你的网络中运行IPv6。”
IPv6是人们期待已久的互联网主要通信协议IPv4的升级版本。IPv6具有更多的地址空间、内置的安全性和对流媒体和点对点应用程序的增强支持。IPv6已经有十年的历史了,但在美国流行起来很慢。雷竞技比分现在,未分配的IPv4地址被期望2011年耗尽在美国,未来几年美国运营商和企业将面临部署IPv6的压力。
基于IPv6的威胁尚不清楚,但它们变得更加突出。例如,基于IPv6的攻击问题在6月份会议上提出国家安全电信咨询委员会是一个高级别的工业集团,建议白宫关于网络安全。
“我们正在看到IPv6的一系列命令和控制流量,”Verizon业务公共IP网络的全球IP网络工程高级互联网网络工程师Jason Schiller说。“黑客正在尝试利用IPv6在雷达下飞行。我们看到了很多Bot网络,其中命令和控制在IPv6下。我们还看到了利用IPv6的非法文件共享,以便对等通信来利用IPv6。“
Rogue IPv6流量是网络管理人员的新兴威胁。最大的风险是针对已决定的组织延迟IPv6部署因为他们没有看到升级的业务驱动程序 - 一个包含大多数美国公司的类别。
美国联邦机构处于更好的位置,以保护自己免受IPv6的威胁,因为它们在其骨干网络上启用了IPv6。联邦机构正在推进将IPv6整合到企业架构和资本投资的计划。
美国国家标准与技术研究院(NIST)计算机安全部门的计算机科学家希拉·弗兰克尔(Sheila Frankel)说,恶意IPv6通信“是一个非常现实的威胁”。
“人们可以在他们的网络上运行IPv6而不知道。计算机和其他设备可以使用IPv6打开。理想情况下,如果您不准备保护IPv6,则应为网络上的所有设备关闭它。你需要准备挡住你的周边。你想阻止它进入并出去,“弗兰克尔说。
弗兰克尔建议是做企业不希望在生产模式购买防火墙和入侵防御系统能够阻止本地和隧道的IPv6流量使用IPv6。
“你应该不仅阻止纯粹的IPv6流量,而且应该阻止IPv6流量在其他流量内部,”Frankel说。“网络运营商必须意识到IPv6通常在IPv4流量中隧道的方式以及不同类型的转换机制,并且必须了解阻止这些各种流量所需的规则。”
流氓IPv6流量来自哪里?
IPv6流量进入你的网络是因为许多操作系统-包括微软Vista, Windows Server 2008, Mac OS X, Linux和Solaris -出厂时默认启用了IPv6。网络管理人员必须禁用他们安装在网络上的每一台设备上的IPv6,否则这些设备就能够接收和发送IPv6流量。
“我们可能正在谈论默认情况下拥有IPv6的3亿系统,”IPv6咨询公司IPv6安全主任Joe Klein估计Joe Klein。“我们认为这是一个很大的风险。”
专家表示,网络管理人员可能会忘记在其网络上更改某些桌面,服务器或移动设备上的IPv6默认设置。与此同时,大多数组织都有基于IPv4的防火墙和网络管理工具,不会自动阻止IPv6流量进入其网络。
“我们现在看到的最常见的基于IPv6的攻击是当你的网络边缘有双栈设备时,这意味着它们运行IPv4和IPv6。如果你只有一个IPv4防火墙,你可以让IPv6在你和攻击者之间运行,”Klein说。“攻击者正在通过IPv6穿越你的防火墙,在这一点上是完全开放的。”
另一个常见的问题是IPv6流量通过IPv4隧道,使用的技术如下teredo.,或替代6to4和站点内自动隧道寻址协议(ISATAP)方法。
“典型的IPv4网络安全设备不调整来寻找IPv6的隧道,”克莱因说。“他们提供非常薄弱的防守,这是一种可怕的。”
Klein表示,网络管理者可以在其网络上发现IPv6设备的唯一方式是运行IPv6。即便如此,发现IPv6隧道非常困难。
“你也许能找到前三名隧道但不是所有的其他子隧道,”克莱因说。“你可以隧道的IPv6 over HTTP通过IPv4。你打算怎么找到的?”
战斗这些威胁,命令信息提供软件称为Assure6,经营与深度包检测系统相结合,以确定隧道通过IPv4的IPv6流量。同样,McAfee网络安全平台提供完整的IPv6和隧道检查。思科Juniper提供支持ipv6的路由器、防火墙和其他系统,允许网络管理员设置与ipv6相关的安全策略。
Klein说,他从通过流氓IPv6流量攻击的组织获得一个或两个电话。
“我们的一个蜜罐,我们已经使用纯IPv6攻击成立锯僵尸网络,”克莱因说。“它通过我们的路由器隐藏为IPv4,它正在攻击和发出命令并控制远东的僵尸网络。”
Lemaster说,IPv6攻击的数量很小,但增长了。
“启用IPv6的人更少,所以它的目标不像IPv4那么丰富,”LeMaster补充道。“大多数漏洞都是通过HTTP的。它们与应用程序相关,而IPv6只是这些安全问题的传输工具。”
Frankel说,基于ipv6的威胁非常普遍,每个网络管理员都需要一个计划来减轻它们。
“今天没有人会否认他们必须做一些关于病毒或垃圾邮件的事情,”Frankel补充道。“说Rogue IPv6流量在这类威胁中,这是公平的,如果你忽略它,这会触及你的威胁。”
阻止或不阻止IPv6
专家不同意它是否最适合网络管理员阻止IPv6流量或启用IPv6流量以进行监控。
大多数人说,如果一个组织不准备支持IPv6,它应该使用启用IPv6的路由器、防火墙、入侵防御系统和入侵检测系统,阻止IPv6流量进出其网络。
网络经理“应该是创建策略......寻找IPv6流量,如果他们看到它会删除该数据包,”Lemaster说。“在他们的安全事件经理解决方案中,他们需要查看进入其网络的流量的概况。他们需要这种能见度。如果他们看到IPv6流量,他们需要找出它来自或转向的主持人,然后转向交通离开。”
但这些专家承认阻止IPv6流量是临时解决方案,因为越来越多的客户和业务合作伙伴将支持IPv6。
“如果你还没有准备好使用IPv6,那么谨慎的做法是不允许它进入你的网络,”LeMaster说。“但你不应该在未来5年内屏蔽所有IPv6通信。你应该在制定政策并了解威胁之前阻止它。”
专家说,从长远来看,更好的解决方案是开始运行IPv6,这样你就可以看到你的IPv6流量,体验新的协议。
“我们不建议你阻止IPv6流量。我们建议你做一个审计,找出有多少IPv6设备和应用程序在你的网络上。如果你的网络上有IPv6流量,那么你就必须计划、培训和实施IPv6,”指挥信息公司高级技术解决方案副总裁Lisa Donnan说。
思科建议其客户对IPv4和IPv6采用相同的安全策略,并使用分层方法实现这些策略。
“配置管理、配置控制和策略将是非常关键的,因为所有这些IPv6设备只是出现在网络上,”韦斯特说。“配置管理可能是IPv6面临的最大威胁。”
Frankel说,现在是企业开始对员工进行IPv6培训并获得IPv6经验的时候了,这样他们就可以保护自己免受基于IPv6的攻击。
“公司需要获得专业知识在IPv6的最低水平,这将有助于保护他们免受威胁,”弗兰克尔说。“他们应该做的另一件事是把他们朝外的服务器,那些外部公司的防火墙,并在其上启用IPv6。这样的客户来自亚洲的IPv6地址将能达到这些服务器和自己的人将在IPv6中获取专业知识。这将是该过程的第一步。“
IPv6是“来的,”弗兰克尔说。“最好的方法是面对它,并决定你将以最安全的方式做到这一点。”