it-swarm-korea.com

ipv6를 활성화 할 때의 보안 위험은 무엇입니까?

우리는 웹 서버에서 ipv6를 활성화하여 ipv4 및 ipv6 모두에 연결할 수 있도록 고려하고 있습니다. ipv6를 활성화 할 때 고려해야 할 보안 문제가 있습니까?

27
Peter Smit

IPv6 만 :

  • 헤더 체인의 무제한 크기는 필터링을 어렵게 만들 수 있습니다.
  • IPsec은 만병 통치약이 아닙니다 :
    • IPv6는 IPsec의 구현을 요구합니다
    • IPv6에는 IPsec을 사용할 필요가 없습니다.
    • 일부 조직에서는 IPsec을 사용하여 모든 흐름을 보호해야한다고 생각합니다.
      • 흥미로운 확장 성 문제
      • 네트워크가 트래픽을 보호 할 수 없기 때문에 엔드 포인트와 최종 사용자를 신뢰해야합니다 : IPS, ACL, 방화벽 없음
      • 네트워크 원격 측정은 눈이 멀다
      • 네트워크 서비스 장애
  • 관리 도메인에서 종단 간 IPsec을 사용하지 않고 주거, 적대적 환경 또는 높은 프로필 대상에 사용하는 것이 좋습니다.

강력한 IPv4 유사성을 가진 IPv6 공격 :

  • 스니핑
    • IPSec이없는 IP, IPSec이없는 IP는 IPv6이 IPv4보다 스니핑 공격의 희생양이 될 가능성이 거의 없습니다.
  • 애플리케이션 계층 공격
    • IPSec을 사용하더라도 오늘날 인터넷에있는 대부분의 취약점은 응용 프로그램 계층에 있으며 IPSec은이를 방지하기 위해 아무것도하지 않습니다.
  • 불량 기기
    • Rogue 장치는 IPv4 에서처럼 IPv6 네트워크에 쉽게 삽입됩니다.
  • 중간자 공격 (MITM)
    • IPSec이 없으면 MITM을 사용하는 모든 공격은 IPv4와 IPv6에서 동일한 가능성을 갖습니다.
  • 홍수
    • 플러딩 공격은 IPv4와 IPv6간에 동일합니다.

IPv4 및 IPv6 이중 스택 (언급했듯이) :

  • 애플리케이션은 IPv6 및 IPv4 (가장 취약한 링크) 모두에서 공격을받을 수 있습니다.
  • 보안 제어는 두 IP 버전의 트래픽을 차단하고 검사해야합니다.
18
Jeff

많은 사이트가 네트워크 내부에서 개인 주소 지정을 사용하고 라우터는 NAT를 실행하므로 나가는 연결이 가능합니다. NAT는 구조상 외부 세계에서 내부 네트워크의 시스템 중 하나로 들어오는 연결을 차단하는 방화벽과 동일한 효과를 의미합니다.

IPv6를 활성화하면 내부 시스템이 외부에 표시됩니다. 따라서 방화벽에서 기준 필터링 규칙을 설정하는 것이 좋습니다 .이전 IPv6 활성화. 원격으로 악용 될 수있는 구멍으로 가득 찬 패치가 적용되지 않은 오래된 Windows 시스템을 생각해보십시오. 인터넷 전체에서 네트워크 활동을 수행하지 않고 내부 네트워크 (예 : 일부 인트라넷에만 연결하는 데만 사용되는 워크 스테이션)를 수행하지 않는 한 내부 네트워크에 있으면 무해합니다.

이것은 실제로 IPv6의 fault가 아닙니다. IPv6는 주소 부족이 없도록 설계되어 NAT가 불필요합니다. 저는 IPv6 배포에서 발생하는 대부분의 보안 문제가 이러한 패턴을 따를 것이라고 믿습니다. IPv6은 NAT의 "내재 된 방화벽"효과를 무효화하여 취약한 호스트를 찾아냅니다. 어느 정도는 일반 전선의 고유 한 물리적 보안을 무효화하는 WiFi의 출현과 같은 이야기입니다.

12
Thomas Pornin

나는 주제에 대한 최근 논문을 보았습니다 : CPNI VIEWPOINT-SECURITY IMPLICATIONS OF IPv6-MARCH 2011 . 주요 포인트는 많은 신기술이 공유하는 위험입니다.

  • iPv4보다 덜 성숙하므로 아마도 더 많은 버그
  • 보안 제품에 대한 지원 감소
  • 더 복잡함 => 더 큰 공격 표면, 특히 이중 스택 환경의 경우
  • 지원 직원의 익숙하지 않음

따라서 IPv6를 배포하기 전에 시간을내어 기술에 익숙해지고 능숙한 공급 업체와 협력하며 이러한 문제를 해결할 계획을 세워야합니다.

이 보고서는 예를 들어 조금 더 논의됩니다. NAT 프리 옵션.

IPv6에 정통한 보안 담당자를 위해 개발중인 좋은 시장처럼 들립니다. (다른 기회가없는 것처럼 ....)

4
nealmcb