IETF已经确定了许多安全威胁IPv6是人们期待已久的互联网主要通信协议升级。
关于IPv6部署的安全问题是真实存在的,尽管基于IPv6的攻击数量仍然很少。
“很明显,随着协议的采用,我们将看到更多的攻击,”Greg Brown说,他是McAfee网络防御业务部门的高级主管。“因为IPv6还没有广泛部署,我们还没有看到很多攻击。”
尽管如此,专家说,基于ipv6的攻击数量正在上升。
“我们没有看到IPv6上的拒绝服务攻击,因为人们想要攻击的大多数目标不是IPv6,”“公共IP网络的全球知识产权网络工程师高级互联网网络工程师说,”杰森席勒verizon业务。但Schiller说他正在看到僵尸网络命令和使用IPv6控制流量的“相当多的”。
席勒说,大多数IPv6安全风险来自代码漏洞、协议弱点和供应商糟糕的实施。他说,这些风险是网络行业对IPv6不像对IPv4那样熟悉的结果,IPv4已经有30年的历史了。
“你打开了IPv6,却没有意识到你的防火墙并不处理IPv6流量。它只是盲目地穿过。或者你忘记设置过滤器,”席勒解释道。“人们不得不有意识地进入IPv4,把所有的安全基础设施都复制到IPv6中。”
以下是网络供应商从企业客户那里听到的最常见的IPv6威胁:
1.流氓IPv6交通
那些没有运行IPv6,也不打算很快运行IPv6的组织,应该使用他们的防火墙来阻止IPv6流量进出他们的网络。大多数专家说,这应该是一个临时措施,因为越来越多的互联网流量是基于IPv6的,组织不希望限制全世界将使用IPv6的客户或商业伙伴的访问。Juniper联邦集团系统工程总监Tim LeMaster说:“客户需要在他们的入侵防御系统或防火墙内明确地寻找IPv6流量并丢弃它。”
2.IPv6隧道
三种类型的IPv6隧道-teredo,6to4和站点内部的自动隧道寻址协议(ISATAP) - 允许IPv6数据包封装在IPv4数据包内,该数据包可以通过IPv4的防火墙或网络地址转换设备发送。到网络管理器,隧道的IPv6数据包看起来像普通的IPv4流量。这就是为什么网络经理需要深度数据包检查系统,可以对隧道进行对等来检查它们的内部。布朗表示您需要有防火墙和“支持IPv6的防盗系统”,但它们还需要支持隧道模式的全面检查。“布朗表示,他看到了“传统的IPv4攻击”,利用IPv6隧道进入没有检查隧道流量的网络。
3.流氓IPv6设备
的的自动IPv6内建的能力允许攻击者定义一个流氓设备,分配IP地址给网络上的所有其他设备。勒马斯特说:“有人可能会设置一个流氓设备,比如路由器,在你的网络上分配IPv6地址,而你甚至都不知道。”
思科杰出工程师Eric Vyncke说,黑客可以设置一个伪装成IPv6路由器的流氓网络设备。Vyncke说:“所有的流量都可以被转移到流氓路由器,它可以嗅探流量、修改流量或丢弃流量。”
4.类型0路由报头
这个著名的IPv6的脆弱性为拒绝服务攻击创造了机会,因为它使黑客能够操纵Internet上的流量。IPv6的这个特性允许你在报文头中指定用来转发流量的路由。布朗说,黑客可以利用这一特性来渗透网络的某个特定部分。“我们还没有看到这种情况,”布朗说,并补充说,“这将是一次有针对性的袭击。”
5.内置ICMP和多播
与IPv4不同,IPv6功能内置Internet控制消息协议(ICMP),组播.这两种类型的网络流量对IPv6的工作原理是不可或缺的。使用IPv4,网络管理人员可以阻止ICMP和多播流量,以防止通过这些通道的攻击。但是对于IPv6,网络管理人员将需要调整防火墙或路由器上的过滤器,以允许一些ICMP和多播流量通过。“你必须明确配置ICMP6和IPv6组播,”席勒说。