在從IPV4向IPV6過渡的過程中,企業(yè)面臨著很多信息安全調(diào)整�����,安全專家表示��。讓情況更糟糕的是�����,一些攻擊者已經(jīng)開始使用IPV6地址空間來偷偷向IPV4網(wǎng)絡(luò)發(fā)起攻擊...
在從IPV4向IPV6過渡的過程中��,企業(yè)面臨著很多信息安全調(diào)整��,安全專家表示��。讓情況更糟糕的是����,一些攻擊者已經(jīng)開始使用IPV6地址空間來偷偷向IPV4網(wǎng)絡(luò)發(fā)起攻擊。
Sophos公司的技術(shù)策略主管James
Lyne表示����,眾所周知,企業(yè)間從IPV4向IPV6過渡過程非常緩慢����,而很多網(wǎng)絡(luò)罪犯就鉆了這個空子,很多攻擊者在IPV6基礎(chǔ)設(shè)施散步垃圾郵件并且利用了錯誤配置的防火墻的缺點(diǎn)����。
很多現(xiàn)代防火墻在默認(rèn)配置下都是讓IPV6流量自行通過的,Lyne表示��。那些對IPV6流量不感興趣的企業(yè)就會設(shè)立明確的規(guī)則來嚴(yán)格阻止IPV6數(shù)據(jù)包�����,IT管理人員需要“知道如何與IPV6對話”�����,這樣他們就可以編寫相應(yīng)的規(guī)則來處理該協(xié)議�����。
“從行業(yè)的角度來看,現(xiàn)在銷售IPV6的方式是錯誤的���,”Lyne表示��,他指出關(guān)于該協(xié)議的內(nèi)置功能如何幫助提高隱私性方面的問題很少有人探討����。相反的����,對IPV6難以部署的普遍觀念讓企業(yè)很容易受到潛在攻擊。
從一般規(guī)則來看���,IPV4和IPV6網(wǎng)絡(luò)是并行運(yùn)行的����。具有傳統(tǒng)IPV4地址的計(jì)算機(jī)不能訪問在IPV6地址空間運(yùn)行的服務(wù)器和網(wǎng)站���。隨著IPV4地址“逐漸衰敗”,業(yè)內(nèi)都鼓勵企業(yè)轉(zhuǎn)換到IPV6或者無法獲取新IP地址���。負(fù)責(zé)向亞太地區(qū)分配IP地址的亞太網(wǎng)絡(luò)信息中心近日宣布所有新的地址申請將被分配IPV6地址�。
一位安全研究人員近日發(fā)現(xiàn)攻擊者可能通過IPV6網(wǎng)站發(fā)動中間人攻擊。InfoSec研究所安全研究人員Alec
Waters表示����,攻擊者可以覆蓋到目標(biāo)IPV4網(wǎng)絡(luò)上的“寄生”IPV6網(wǎng)絡(luò)來攔截互聯(lián)網(wǎng)流量,他的概念證明攻擊只考慮了windows
7系統(tǒng)���,但是同樣也可能發(fā)生在Vista��、Windows 2008 Server和其他默認(rèn)情況下開啟了IPV6的操作系統(tǒng)上�����。
為成功發(fā)動攻擊��,攻擊者需要獲取對目標(biāo)網(wǎng)絡(luò)的物理訪問����,并且時間足以連接到IPV6路由器����。在企業(yè)網(wǎng)絡(luò)的環(huán)境中,攻擊者將需要連接IPV6路由器到現(xiàn)有的IP4樞紐����,但是對于公眾無線熱點(diǎn)���,就非常簡單了,只需要用IPV6路由器就能發(fā)動攻擊����。
攻擊者的IPV6路由器將會使用假的路由器廣告來為網(wǎng)絡(luò)中啟用了IPV6的機(jī)器自動創(chuàng)建新的IPV6地址。
路由器廣告的作用就像是IPV6地址的DHCP(動態(tài)主機(jī)配置協(xié)議)����,它提供了一個地址池供主機(jī)來選擇,根據(jù)SANS研究所首席研究官Johannes
Ullrich表示���。在用戶或者IT管理人員不知情的情況下���,他們的機(jī)器已經(jīng)變成IPV6獵物。
雖然系統(tǒng)已經(jīng)有一個企業(yè)分配的IPV4地址��,但是因?yàn)椴僮飨到y(tǒng)處理IPV6的方式�����,系統(tǒng)會被打亂到IPV6網(wǎng)絡(luò)?��,F(xiàn)代操作系統(tǒng)將IPV6默認(rèn)為首選連接(如果系統(tǒng)同時被分配了IPV6和IPV4地址的話)����。
由于IPV6系統(tǒng)無法與企業(yè)真正的IPV4路由器進(jìn)行連接����,系統(tǒng)必須通過惡意路由器進(jìn)行路由,Waters表示�����,攻擊者然后可以使用一個通道來將IPV6地址轉(zhuǎn)換到IPV4地址����,例如NAT-PT,這是一個實(shí)驗(yàn)性IPV4到IPV6轉(zhuǎn)換機(jī)制��,但是因?yàn)榇嬖诤芏鄦栴}�,該機(jī)制并沒有獲得廣泛支持。
“但并不意味著它沒有作用��,”Waters表示���。
通過NAT-PT�����,具有IPV6地址的機(jī)器就可以通過惡意路由器訪問IPV4網(wǎng)絡(luò)���,使攻擊者對他們的互聯(lián)網(wǎng)活動有了全面了解����。,
這種攻擊的嚴(yán)重程度還存在爭議���,InfoSec研究所安全計(jì)劃經(jīng)理Jack Koziol表示�����。根據(jù)常見漏洞清單����,“IPV6符合RFC
3484(IPV6協(xié)議)���,以及試圖確定RA的合法性目標(biāo)仍位于主機(jī)操作系統(tǒng)推薦行為的范圍外仍然存在爭議�?!?/p>
不需要使用IPV6或者沒有完成過渡的企業(yè)應(yīng)該關(guān)閉所有系統(tǒng)上的IPV6,或者��,企業(yè)應(yīng)該“像IPV4一樣對攻擊進(jìn)行監(jiān)控和抵御”。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺��。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的���,皆為無意。如您是字體廠商����、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材����,請聯(lián)系我們,本站核實(shí)后將立即刪除�����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟(jì)賠償!敬請諒解��!
粵公網(wǎng)安備 44030402000264號