ipv6を有効にする際のセキュリティリスクとは
Ipv4とipv6の両方で到達できるように、ウェブサーバーでipv6を有効にすることを検討しています。 ipv6を有効にするときに考慮すべきセキュリティの問題はありますか?
IPv6のみ:
- ヘッダーチェーンのサイズが無制限の場合、フィルタリングが困難になる可能性があります。
- IPsecは万能薬ではありません:
- IPv6はIPsecの実装を義務付けています
- IPv6ではIPsecを使用する必要はありません
- 一部の組織は、IPsecを使用してすべてのフローを保護する必要があると考えています。
- 興味深いスケーラビリティの問題
- ネットワークはトラフィックを保護できないため、エンドポイントとエンドユーザーを信頼する必要があります。IPSなし、ACLなし、ファイアウォールなし
- ネットワークテレメトリーはブラインドされています
- 妨害されたネットワークサービス
- IPsecをエンドツーエンドで管理ドメインで使用するのではなく、住宅地、敵対的な環境、または注目度の高いターゲットに使用することをお勧めします。
強力なIPv4類似性を持つIPv6攻撃:
- スニッフィング
- IPSecなし、IPWithout IPSecなしの場合、IPv6はIPv4よりもスニッフィング攻撃の犠牲になりにくい
- アプリケーション層攻撃
- IPSecを使用しても、今日のインターネットの脆弱性の大部分はアプリケーションレイヤーにあります。これは、IPSecが防止するために何もしないことです。
- 不正なデバイス
- 不正なデバイスは、IPv4の場合と同じようにIPv6ネットワークに簡単に挿入できます。
- 中間者攻撃(MITM)
- IPSecがない場合、MITMを利用した攻撃は、IPv6でもIPv4と同じ可能性があります。
- 洪水
- フラッディング攻撃はIPv4とIPv6で同じです
IPv4とIPv6のデュアルスタック(言及したとおり):
- アプリケーションはIPv6とIPv4の両方で攻撃を受ける可能性があります(最も弱いリンク)
- セキュリティコントロールは、両方のIPバージョンからのトラフィックをブロックおよび検査する必要があります
多くのサイトはネットワーク内でプライベートアドレス指定を使用しており、ルーターはNATを実行するため、発信接続が可能です。NATということは、構造上、同じ効果を意味します外部ネットワークから内部ネットワーク内のマシンの1つへの着信接続を防ぐファイアウォールよりも。
IPv6を有効にすると、内部マシンが外部から見えるようになります。したがって、ファイアウォールにベースラインフィルタリングルールを設定することをお勧めしますbefore IPv6を有効にします。リモートで悪用可能なホールがたくさんあるパッチが適用されていない古いWindowsシステムについて考えてみてください。これは、インターネット全体でネットワークアクティビティを行わずに内部ネットワークにとどまっている限りは無害でした(たとえば、ワークステーションは、イントラネットへの接続にのみ使用されます)。
これは実際にはIPv6のfaultではありません。 IPv6はアドレス不足が発生しないように設計されているため、NATが不要になります。IPv6の展開で発生するほとんどのセキュリティ問題はそのパターンに従うと思います:IPv6は「固有のファイアウォールを無効にします「NATの影響、多くの脆弱なホストが明らかになります。これは、ある程度、WiFiの出現と同じ話です。これは、プレーンワイヤの固有の物理的セキュリティを無効にします。
私はこの件に関する最近の論文に出くわしました CPNI VIEWPOINT-IPv6のセキュリティの影響-2011年3月 。それが行う主なポイントは、多くの新しいテクノロジーによって共有されるリスクです。
- iPv4よりも成熟度が低いため、おそらくより多くのバグ
- セキュリティ製品のサポートが少ない
- より複雑=>より大きな攻撃面、特にデュアルスタック環境の場合
- サポートスタッフの親しみやすさの低下
したがって、IPv6を展開する前に、時間をかけてテクノロジに慣れ、知識のあるサプライヤーと協力し、これらの問題に対処する計画を立てる必要があります。
レポートは、たとえば、 NATフリーオプション。
IPv6に精通したセキュリティ担当者のために開発された良い市場のようです。 (あそこに他の機会がなかったかのように....)