IPv6下一代互联网协议并没有让太多的美国首席信息官和网络经理在晚上担心。但或许应该如此。
专家说,大多数美国组织隐藏了IPv6流量运行在他们的网络上,很少有网络管理人员配备看到、管理或阻止它。越来越多的非法IPv6流量包括诸如僵尸网络命令和控制。
“如果您不监视网络的IPv6Juniper联邦集团系统工程总监蒂姆·勒马斯特(Tim LeMaster)说。“网络管理人员不明白的是,他们可以让一个用户在主机上运行IPv6,而有人可能在他们不知情的情况下向该主机发送恶意流量。”
大多数美国网络管理者对流氓IPv6流量视而不见,因为他们没有IPv6-aware防火墙、入侵检测系统或网络管理工具。此外,IPv6流量正在被使用隧道在IPv4连接上,除非有组织部署,否则看起来是常规的IPv4数据包安全可以检查隧道交通的机制。(参见:面临的5大基于IPv6的威胁cio)。
“至少有一半的美国首席信息官不知道他们的网络上有IPv6,但黑客知道,”北美技术总监亚尼克·普法里(Yanick Pouffary)说IPv6特遣部队以及惠普杰出的技术专家。“您不能忽略IPv6。您需要采取最低限度的措施来保护您的周边环境。您需要了解IPv4和IPv6的防火墙。您需要了解IPv4和IPv6的网络管理工具。”
思科公共部门系统工程主管戴夫•韦斯特表示赞同:“尽管他们没有考虑IPv6,但对于大多数《财富》500强公司来说,无论如何IPv6都在他们的网络中。”“今天,你可能不会把IPv6看作是一个商业驱动力。但不管你喜不喜欢,你的网络正在运行IPv6。”
IPv6是人们期待已久的对互联网主要通信协议IPv4的升级。IPv6具有更大的地址空间、内置的安全性以及对流媒体和对等应用程序的增强支持。IPv6在美国的普及已经有十年的时间了。现在,未分配的IPv4地址已被广泛使用期望2020欧洲杯夺冠热门2011年用完,美国运营商和公司面临着在未来几年部署IPv6的压力。
基于ipv6的威胁还没有被很好地理解,但它们正变得越来越突出。例如,基于ipv6的攻击问题在6月的会议上被提出国家安全电信咨询委员会这是一个高级别的行业组织,为白宫提供网络安全方面的建议。
“我们看到相当多的命令和控制流量是IPv6的,”威瑞森商业公司(Verizon Business)公共IP网络全球IP网络工程高级Internet网络工程师Jason Schiller说。“黑客正试图利用IPv6在雷达下飞行。我们看到很多机器人网络的命令和控制都是基于IPv6的。我们还看到利用IPv6进行点对点通信的非法文件共享。”
非法IPv6流量是网络管理人员的一个新兴威胁。最大的风险是那些已经决定这样做的组织延迟IPv6部署因为他们没有看到商业驱动升级——这一类别包括大多数美国公司。
美国联邦机构在保护自己免受基于IPv6的威胁方面处于一个更好的位置,因为他们已经在其骨干网中启用了IPv6。联邦机构正在推进将IPv6集成到企业架构和资本投资中的计划。
国家标准与技术研究院(NIST)计算机安全部门的计算机科学家希拉·弗兰克尔(Sheila Frankel)说,流氓IPv6流量“是一个非常现实的威胁”。
“人们可能不知道IPv6在他们的网络上运行。计算机和其他设备可以在运输时开启IPv6。理想情况下,如果你还没有准备好防范IPv6,你应该关闭网络上的所有设备。你得做好准备,把它挡在你的警戒线外。你想要阻止它进入和离开,”弗兰克尔说。
Frankel建议那些不想在生产模式下运行IPv6的组织购买防火墙和入侵防御系统,这些系统可以阻止本地和隧道IPv6通信。
Frankel说:“你不仅应该屏蔽纯IPv6流量,还应该屏蔽隧道式的IPv6流量。”“网络运营商必须意识到IPv6在IPv4流量和不同类型的转换机制中通常使用的隧道方式,他们必须意识到阻止这些不同类型的流量所需的规则。”
流氓IPv6流量从何而来?
IPv6流量会进入您的网络,因为许多操作系统(包括Microsoft Vista、Windows Server 2008、Mac OS X、Linux和Solaris)在默认情况下都启用了IPv6。网络管理员必须在其网络上安装的每个设备上禁用IPv6,或者这些设备能够接收和发送IPv6流量。
IPv6咨询公司Command Information的IPv6安全主管Joe Klein估计:“我们可能在谈论3亿个默认启用IPv6的系统。”“我们认为这是一个很大的风险。”
专家表示,网络管理人员很可能会忘记在他们网络上的一些桌面、服务器或移动设备上更改IPv6默认设置。同时,大多数组织都有基于ipv4的防火墙和网络管理工具,它们不会自动阻止进入他们网络的IPv6流量。
Klein说:“我们现在看到的最常见的基于IPv6的攻击是当您的网络边缘有双栈设备时,这意味着它们正在运行IPv4和IPv6。如果您只有IPv4防火墙,您可以在您和攻击者之间运行IPv6。”。“攻击者正在通过IPv6穿越您的防火墙,此时IPv6是完全开放的。”
另一个常见的问题是IPv6流量在IPv4上使用诸如船蛆,或替代的6to4和站点内自动隧道寻址协议(ISATAP)方法。
Klein说:“典型的IPv4安全设备并没有调整到寻找IPv6隧道。”“他们提供的防御非常薄弱,这有点可怕。”
Klein说,网络管理员在他们的网络上发现IPv6设备的唯一方法是运行IPv6。即便如此,要发现IPv6隧道还是非常困难。
克莱因说:“你可能能找到最上面的三条隧道,但找不到其他的子隧道。”“你可以通过HTTP和IPv4隧道IPv6。你要怎么找呢?”
为了对抗这些威胁,Command Information公司提供了一款名为Assure6的软件,该软件与深度包检测系统一起运行,以识别通过IPv4隧道的IPv6流量。类似地,McAfee网络安全平台提供全IPv6和隧道检测。思科Juniper提供支持IPv6的路由器、防火墙和其他系统,允许网络管理员设置与IPv6相关的安全策略。
Klein说,他每个月都会接到一两个来自被非法IPv6流量攻击的组织的电话。
Klein说:“我们建立的一个蜜罐发现了一个只使用ipv6攻击的僵尸网络。”“它通过我们的路由器将自己隐藏为IPv4,并攻击远东的一个僵尸网络,并发出命令和控制。”
勒马斯特说,IPv6攻击的数量虽然不多,但仍在增长。
LeMaster补充道:“启用IPv6的人越来越少,因此它不像IPv4那样成为一个丰富的目标,大多数漏洞都是通过HTTP攻击的。”。它们与应用程序相关,而IPv6只是这些安全问题的传输。”
Frankel说,基于IPv6的威胁非常普遍,每个网络管理者都需要一个缓解威胁的计划。
Frankel补充道:“今天没有人会否认他们必须对病毒或垃圾邮件做些什么。”“公平地说,流氓IPv6流量属于这类威胁,如果你忽视它,就会攻击你。”
阻止或不阻止IPv6
对于网络管理人员最好是阻止IPv6流量还是为了监控目的启用IPv6流量,专家们意见不一。
大多数人说,如果一个组织不准备支持IPv6,它应该使用支持IPv6的路由器、防火墙、入侵预防系统和入侵检测系统来阻止IPv6流量进出其网络。
LeMaster说,网络管理人员“应该创建策略……寻找IPv6流量,如果他们看到它就丢弃该数据包。”“在他们的安全事件管理解决方案中,他们需要查看进入他们网络的流量概况。他们需要那种能见度。如果他们看到IPv6流量,他们需要找出它来自或将要来自哪个主机,并关闭该流量。”
但这些专家承认,阻止IPv6通信是一个临时解决方案,因为越来越多的客户和商业伙伴将支持IPv6。
勒马斯特说:“如果你还没有为IPv6做好准备,那么谨慎的做法是不要让它进入你的网络。”。“但在未来五年内,您不应该阻止所有IPv6流量。您应该在制定策略并了解威胁之前阻止它。”
专家表示,从长远来看,更好的解决方案是开始运行IPv6,这样您就可以了解IPv6流量并体验新协议。
"我们不建议您阻止IPv6通信。我们建议您进行审核,了解您的网络上有多少IPv6设备和应用程序。如果你的网络上有IPv6流量,那么你就必须规划、培训和实施IPv6,”指挥信息部高级技术解决方案副总裁Lisa Donnan说。
思科建议其客户对IPv4和IPv6采用相同的安全策略,并使用分层的方法实现这些策略。
“配置管理、配置控制和策略现在将非常关键,因为所有这些IPv6设备都出现在网络上,”West说。“配置管理可能是我们在IPv6方面面临的最大威胁。”
Frankel说,现在是公司开始培训IPv6员工并获得IPv6经验的时候了,这样他们就可以保护自己免受基于IPv6的攻击。
Frankel说:“公司需要获得IPv6的最低水平的专业知识,这将有助于保护他们免受威胁。”“他们应该做的另一件事是将他们的外部服务器,也就是公司防火墙的外部服务器,启用IPv6。通过这种方式,拥有IPv6地址的亚洲客户将能够访问这些服务器,他们自己的员工将获得IPv6的专业知识。这将是整个过程的第一步。”
弗兰克尔说,IPv6正在“到来”。“最好的方法是直面它,并决定以最安全的方式去做。”