私の友人の1人が大学のネットワーク環境にIPv6を実装する予定で、IPv4よりも安全であると彼に言われました。 IPv6はIPv4よりも安全ですか?もしそうなら、それはプロトコルレベルでどのように達成されますか?
化学エンジニアの発言に加えて、IPv6には次のような他の利点もあります。
エンドツーエンドの暗号化のネイティブサポート:これは、IPv4にかなり後に追加された機能ですが、IPv6の標準として提供されています。
セキュアネイバーディスカバリー:IPv6のネイバーディスカバリーの改善されたプロトコル(SEND)は、暗号化方式を使用して、ホストディスカバリー中に相手のIDを実際に確認します。
より大きなアドレス空間:アドレスをブルートフォースするのにより多くの時間が必要です(3.4×1038 古い4.3×10との比較9)
ただし、ほとんどの場合と同様に、設定を誤ると、脆弱性が高まるだけです。
スコット・ホッグは少し前に素晴らしい記事を書いた here 。それはこれらのポイントをより詳細にカバーしています。
要約:現在実装されているIPv6ネットワークは、実際にはIPv4よりも安全性が低い可能性があります。これは、IPv6の設計によるものではなく、ファイアウォールでのサポートが不十分なためです。ネットワーク管理者とセキュリティスペシャリストは、IPv6よりもIPv4に関する知識が豊富です。
IPv6がより高いセキュリティを念頭に置いて設計されたのは事実です。残念ながら、組み込みのIPSecなどの優れた機能のほとんどはオプションとして除外されていました。つまり、今日のIPv6接続はIPv4よりも保護されていません。
さらに悪いことに、多くのセキュリティ製品はIPv6をまだ完全には認識していません。したがって、OpenVPNや他のVPNインストール IPv4トラフィックのみをトンネルする であることは珍しくありませんが、明らかにセキュリティ上の問題であるIPv6トラフィックはそうではありません。また、IPv6のサポートがない、または制限されている、またはIPv6の最適化が行われていないファイアウォールや、IPv6トラフィックで したがって、遅くなる のファイアウォールも存在します。また、IPv6ネットワークの動作はIPv4ネットワークとわずかに異なります(自動構成、同じデバイス上の複数のIPv6アドレス...)。つまり、ネットワーク管理者やセキュリティ専門家の既存のIPv4知識をIPv6に単純に適用することはできません。そして、固定サイズのメインヘッダーを備えたIPv6のさまざまなオンザワイヤー表現がありますが、ファイアウォールで処理するIPv4とは異なる一連の課題を表す多くのスタックされたオプションヘッダーがあります。また、予期しない動作を引き起こし、セキュリティの問題を引き起こす可能性のある違いがさらにあります。
これにより、IPv6が実際にIPv4より安全になることは間違いありません。実際、IPv6はより安全に設計されているにもかかわらず、今日の現実ではIPv6の安全性は低いと言えます。参照 多数の講演 ブラックハットなどの会議からのこのトピックについて ハイエンドの回避IPS IPv6時代のデバイス =または フラグメンテーションを使用したIPv6実装への攻撃 。
ちょっと。
IPv4が設計されたとき、セキュリティは(意図的に一部の参加者によれば)設計から除外されていました。暗号化なし、認証なし、身元確認なし。
IPv6はIPv4の誤りを正す試みであり、これにはセキュリティの悲惨な欠如が含まれていました。暗号化や強力なIDなどの機能がプロトコルに組み込まれました。しかし、設計は 設計プロセス (これも意図的に一部に従って)によって少し逸脱しているため、セキュリティプロトコルは一般にオプションであり、使用するには複雑すぎることがよくあります。
したがって、ほとんどの場合、適切に実行されているIPv4ネットワークのセキュリティは、適切に実行されているIPv6ネットワークのセキュリティとほぼ同じです。典型的な形式のIPv6は、典型的な形式のIPv4よりも本質的に安全ではありません。
ただし、IPv6には明確な「あいまいさによるセキュリティ」の利点があります。マルウェアは通常IPv4を介して拡散し、脆弱なターゲットについてネットワークをスキャンするマルウェアはIPv4のみを使用します。
また、IPv6スペースでランダムなIPを選択すると、ほとんど常に未使用のアドレスが表示されるということもよくありますが、これは特に強力な保護ではありません。 IPv6スペースでターゲットを選択することは、ランダム選択または順次スキャンでは起こりません。アドレスを発見する他の方法があります。