IPv6: Ups, den er som standard på

Microsoft begynte å aktivere IPv6-protokollen som standard med utgivelsen av Vista. Denne policyen fortsatte med Windows Server 2008 og vil med Windows 7. Apple, Linux og Solaris sender også sine siste distribusjoner med IPv6 aktivert.

Før jeg fortsetter, må jeg forklare noe. Vi forstår alle at IPv6 er viktig. Jeg møtte til og med nok mot med Joe Kleins (direktør for IPv6 sikkerhet ved Command Information) vennlig hjelp til å skrive flere artikler om det. Så det er ikke lenger på radaren min.

Hva er det på radaren min?

Jeg er ikke sikker på hvorfor, men datamaskiner sendes nå med IPv6 aktivert. Min gjetning vil være at de fleste OS-utviklere regnet med at IPv6-nettverk ville være mer dominerende nå. Eller at det ikke er noen ulempe med å aktivere IPv6, så hvorfor vente.

Jeg vet om en Microsoft-tjeneste som krever IPv6. Det kalles Windows Meeting Space. Den bruker peer-to-peer-rammeverket og IPv6 for å sette opp ad hoc-nettverk automatisk.

Hvilke tall snakker vi om

Antall datamaskiner som kjører IPv6 er svimlende. Carolyn Duffy Marsan i en NetworkWorld-artikkel siterte Joe Klein som sa:

"Vi snakker sannsynligvis om 300 millioner systemer som har IPv6 som standard aktivert. Vi ser på dette som en stor risiko."

Det jeg lurer på, er hvor mange av de som bruker 300 millioner datamaskiner som innser at IPv6 er aktivert eller vet hva det betyr?

Hva blir utnyttet

I en samtidig artikkel spurte Marsan eksperter hva de anser som de mest alvorlige problemene med å kjøre en dobbel stabel bestående av IPv6 og IPv4. Her er hva de sa:

  • Rogue IPv6-trafikk : Angripere innser at de fleste nettverksadministratorer ikke overvåker IPv6-trafikk, eller at de ikke kan. Fordi eksisterende brannmurer, IDS eller nettverksadministrasjonsverktøy ikke er IPv6-bevisste. Derfor kan en angriper sende ondsinnet trafikk til hvilken som helst datamaskin som kjører IPv6, og den vil komme gjennom.
  • IPv6-tunneling : Protokoller som Teredo og Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) innkapsler IPv6-pakker i IPv4-pakker. De omformede pakker kan enkelt passere gjennom IPv4-brannmurer og nettverksadresseoversettelsesutstyr (NAT) -utstyr, og beseire omkretsforsvar som er ment å føle og slippe IPv6-pakker.
  • Rogue IPv6-utstyr : Fordi IPv6 bruker auto-konfigurasjon, kan en angriper få betydelig kontroll over datamaskiner som kjører IPv6, ganske enkelt ved å plassere en useriøs enhet som kan utstede IPv6 IP-adresser på nettverket som blir angrepet. For å gjøre vondt verre kan enheten ha ruterattributter. Å tvinge all trafikk til å passere gjennom den, slik at angripere kan snuse, endre eller slippe trafikk på sitt innfall.
  • Innebygd ICMP og multicast : I motsetning til IPv4, krever IPv6 ICMP og multicast-trafikk. Dette faktum vil endre betydelig hvordan administratorer nærmer seg nettverkssikkerhet. Akkurat nå er det godkjent å blokkere ICMP og multicast-trafikk på IPv4-nettverk. Det vil ikke lenger fungere, og komplisert filtrering av ICMP og multicast-pakker vil være nødvendig for å opprettholde en viss sans for sikkerhet.
La IPv6 være aktivert eller ikke

Hvorvidt å la IPv6 "aktivert eller ikke" er omtrent like tydelig som gjørme. Det er ja-leiren, og det er nei-leiren med hele det grå området imellom strødd med andre meninger. Jeg trodde jeg ville la ekspertene introdusert i Marsans artikkel presentere deres synspunkter:

Tim LeMaster : Direktør for systemteknikk for Juniper's føderale gruppe nevner:

"Hvis du ikke er forberedt på IPv6, er den forsvarlige tingen å gjøre å ikke la den komme inn i nettverket ditt, " sier LeMaster. "Men du bør ikke blokkere all IPv6-trafikk i løpet av de neste fem årene. Du bør bare sperre den før du har en policy og forstår truslene."

Lisa Donnan : Visepresident for avanserte teknologiløsninger på Command Information har et annet synspunkt:

"Vi anbefaler ikke at du blokkerer IPv6-trafikk. Vi anbefaler at du gjør en revisjon og finner ut hvor mange IPv6-enheter og applikasjoner som er i nettverket ditt. Hvis du har IPv6-trafikk i nettverket, må du planlegge, trene og implementer IPv6. "

Sheila Frankel : Dataforsker i datasikkerhetsdivisjonen til National Institutes of Standards and Technology (NIST) uttrykker et midtpunkt synspunkt:

"Bedrifter må skaffe seg et minimum av kompetanse innen IPv6, som vil bidra til å beskytte dem mot trusler. Den andre tingen de bør gjøre er å ta sine utovervendte servere, de som er eksterne for selskapets brannmurer, og aktivere IPv6 på dem . På den måten vil kunder fra Asia med IPv6-adresser kunne nå disse serverne, og deres egne folk vil skaffe seg kompetanse innen IPv6. Dette vil være et første skritt i prosessen. "

Frankel fortsetter:

"IPv6 kommer. Den beste måten er å møte den på hodet og bestemme at du skal gjøre det på en mest mulig sikker måte."

Så snart jeg begynte å motta datamaskiner med IPv6 aktivert, slo jeg av protokollen. Min rasjonelle var hvorfor ta en sjanse når det ikke er nødvendig. Tilsynelatende lønner meg valget, da datamaskinene til kunden min ikke er sårbare for disse nye utnyttelsesvektorene.

Det fungerer i det minste for meg for tiden. Jeg later ikke til å tro at valget mitt vil fungere for alle. Fra de ovennevnte meningene, er det eneste jeg vet helt sikkert at det er viktig å få oppdatering på IPv6. Da kunnskapen vil hjelpe deg med å finne ut hva som er interessert i nettverket og datasystemene dine.

Slik deaktiverer du IPv6

Heldigvis er det ganske enkelt å deaktivere IPv6. Jeg har gitt lenker til nettsteder som forklarer prosessen for flere av operativsystemene, hvis du er så tilbøyelig:

Deaktiver IPv6 i Linux

Deaktiver IPv6 i Windows Vista

Deaktiver IPv6 i Mac OS X

Siste tanker

Dette er definitivt et tornete emne og full av overraskelser. Akkurat som hver ny og uprøvd teknologisk endring. Det kan jeg akseptere. Det som er vanskelig å akseptere, er at sikkerhet nok en gang ikke ser ut til å være et hovedhensyn. Jeg håper det bare er et midlertidig tilsyn.

Bekymret for sikkerhetsproblemer? Hvem er det ikke? Levert hver tirsdag gir TechRepublics IT-sikkerhetsnyhetsbrev deg praktiske råd du trenger for å låse systemene dine og sørge for at de holder seg slik.

© Copyright 2021 | pepebotifarra.com