在從IPV4向IPV6過(guò)渡的過(guò)程中,企業(yè)面臨著很多信息安全調(diào)整���,安全專家表示��。讓情況更糟糕的是�����,一些攻擊者已經(jīng)開(kāi)始使用IPV6地址空間來(lái)偷偷向IPV4網(wǎng)絡(luò)發(fā)起攻擊...
在從IPV4向IPV6過(guò)渡的過(guò)程中���,企業(yè)面臨著很多信息安全調(diào)整,安全專家表示。讓情況更糟糕的是�����,一些攻擊者已經(jīng)開(kāi)始使用IPV6地址空間來(lái)偷偷向IPV4網(wǎng)絡(luò)發(fā)起攻擊�����。
Sophos公司的技術(shù)策略主管James
Lyne表示����,眾所周知,企業(yè)間從IPV4向IPV6過(guò)渡過(guò)程非常緩慢�,而很多網(wǎng)絡(luò)罪犯就鉆了這個(gè)空子,很多攻擊者在IPV6基礎(chǔ)設(shè)施散步垃圾郵件并且利用了錯(cuò)誤配置的防火墻的缺點(diǎn)�����。
很多現(xiàn)代防火墻在默認(rèn)配置下都是讓IPV6流量自行通過(guò)的�,Lyne表示��。那些對(duì)IPV6流量不感興趣的企業(yè)就會(huì)設(shè)立明確的規(guī)則來(lái)嚴(yán)格阻止IPV6數(shù)據(jù)包����,IT管理人員需要“知道如何與IPV6對(duì)話”,這樣他們就可以編寫相應(yīng)的規(guī)則來(lái)處理該協(xié)議。
“從行業(yè)的角度來(lái)看�����,現(xiàn)在銷售IPV6的方式是錯(cuò)誤的����,”Lyne表示,他指出關(guān)于該協(xié)議的內(nèi)置功能如何幫助提高隱私性方面的問(wèn)題很少有人探討�。相反的,對(duì)IPV6難以部署的普遍觀念讓企業(yè)很容易受到潛在攻擊��。
從一般規(guī)則來(lái)看����,IPV4和IPV6網(wǎng)絡(luò)是并行運(yùn)行的。具有傳統(tǒng)IPV4地址的計(jì)算機(jī)不能訪問(wèn)在IPV6地址空間運(yùn)行的服務(wù)器和網(wǎng)站��。隨著IPV4地址“逐漸衰敗”���,業(yè)內(nèi)都鼓勵(lì)企業(yè)轉(zhuǎn)換到IPV6或者無(wú)法獲取新IP地址����。負(fù)責(zé)向亞太地區(qū)分配IP地址的亞太網(wǎng)絡(luò)信息中心近日宣布所有新的地址申請(qǐng)將被分配IPV6地址�����。
一位安全研究人員近日發(fā)現(xiàn)攻擊者可能通過(guò)IPV6網(wǎng)站發(fā)動(dòng)中間人攻擊。InfoSec研究所安全研究人員Alec
Waters表示�����,攻擊者可以覆蓋到目標(biāo)IPV4網(wǎng)絡(luò)上的“寄生”IPV6網(wǎng)絡(luò)來(lái)攔截互聯(lián)網(wǎng)流量���,他的概念證明攻擊只考慮了windows
7系統(tǒng)��,但是同樣也可能發(fā)生在Vista����、Windows 2008 Server和其他默認(rèn)情況下開(kāi)啟了IPV6的操作系統(tǒng)上��。
為成功發(fā)動(dòng)攻擊����,攻擊者需要獲取對(duì)目標(biāo)網(wǎng)絡(luò)的物理訪問(wèn)����,并且時(shí)間足以連接到IPV6路由器。在企業(yè)網(wǎng)絡(luò)的環(huán)境中�,攻擊者將需要連接IPV6路由器到現(xiàn)有的IP4樞紐�����,但是對(duì)于公眾無(wú)線熱點(diǎn)���,就非常簡(jiǎn)單了,只需要用IPV6路由器就能發(fā)動(dòng)攻擊�。
攻擊者的IPV6路由器將會(huì)使用假的路由器廣告來(lái)為網(wǎng)絡(luò)中啟用了IPV6的機(jī)器自動(dòng)創(chuàng)建新的IPV6地址。
路由器廣告的作用就像是IPV6地址的DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)�����,它提供了一個(gè)地址池供主機(jī)來(lái)選擇��,根據(jù)SANS研究所首席研究官Johannes
Ullrich表示����。在用戶或者IT管理人員不知情的情況下,他們的機(jī)器已經(jīng)變成IPV6獵物�。
雖然系統(tǒng)已經(jīng)有一個(gè)企業(yè)分配的IPV4地址,但是因?yàn)椴僮飨到y(tǒng)處理IPV6的方式���,系統(tǒng)會(huì)被打亂到IPV6網(wǎng)絡(luò)?��,F(xiàn)代操作系統(tǒng)將IPV6默認(rèn)為首選連接(如果系統(tǒng)同時(shí)被分配了IPV6和IPV4地址的話)����。
由于IPV6系統(tǒng)無(wú)法與企業(yè)真正的IPV4路由器進(jìn)行連接���,系統(tǒng)必須通過(guò)惡意路由器進(jìn)行路由�,Waters表示�����,攻擊者然后可以使用一個(gè)通道來(lái)將IPV6地址轉(zhuǎn)換到IPV4地址�,例如NAT-PT,這是一個(gè)實(shí)驗(yàn)性IPV4到IPV6轉(zhuǎn)換機(jī)制���,但是因?yàn)榇嬖诤芏鄦?wèn)題���,該機(jī)制并沒(méi)有獲得廣泛支持。
“但并不意味著它沒(méi)有作用�����,”Waters表示�。
通過(guò)NAT-PT,具有IPV6地址的機(jī)器就可以通過(guò)惡意路由器訪問(wèn)IPV4網(wǎng)絡(luò)�����,使攻擊者對(duì)他們的互聯(lián)網(wǎng)活動(dòng)有了全面了解�����。,
這種攻擊的嚴(yán)重程度還存在爭(zhēng)議���,InfoSec研究所安全計(jì)劃經(jīng)理Jack Koziol表示����。根據(jù)常見(jiàn)漏洞清單�,“IPV6符合RFC
3484(IPV6協(xié)議),以及試圖確定RA的合法性目標(biāo)仍位于主機(jī)操作系統(tǒng)推薦行為的范圍外仍然存在爭(zhēng)議�。”
不需要使用IPV6或者沒(méi)有完成過(guò)渡的企業(yè)應(yīng)該關(guān)閉所有系統(tǒng)上的IPV6���,或者�,企業(yè)應(yīng)該“像IPV4一樣對(duì)攻擊進(jìn)行監(jiān)控和抵御”��。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無(wú)意�����。如您是字體廠商��、圖片文字廠商等版權(quán)方���,且不允許本站使用您的字體和圖片文字等素材����,請(qǐng)聯(lián)系我們�,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用���,并索要賠償或上訴法院的����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解�����!
粵公網(wǎng)安備 44030402000264號(hào)