Sådan udnytter hackerne det nye IPv6

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Læs også:

Din hjemmeside skal understøtte IPv6 inden 2012

Computerworld News Service: Selv hvis din IPv6-strategi er at udsætte implementeringen så længe som muligt, så er det visse sikkerhedshensyn ved IPv6, som du er nødt til at imødekomme med det samme.

Har du planer om at køre såkaldt dual-stack med både IPv4 og IPv6, giver det heller ikke garantier, når det gælder sikkerheden. Og hvis du tror, du bare kan slå IPv6 fra, så kan du også godt tro om.

Den største sikkerhedstrussel i horisonten har at gøre med det faktum, at stort set alle netværk i store virksomheder har masser af apparater, der er klar til IPv6, heriblandt hver eneste computer med styresystemerne Windows Vista eller Windows 7, Mac OS X, Linux og BSD.

Og til forskel fra forgængeren, DHCP til IPv4, kræver IPv6 et minimum af manuel konfiguration. Denne autokonfiguration betyder, at "IPv6-enheder blot venter på et enkelt router-signal for at identificere sig på netværket," siger Eric Vyncke, der er distinguished systems engineer hos Cisco og medforfatter af bogen IPv6 Security.

Her er hullerne

Han advarer om, at "routere og switche, der kun kan bruges til IPv4, ikke kan genkende eller besvare signaler fra IPv6-enheder, men en kompromitteret IPv6-router kan sende og læse denne trafik."

Autokonfiguration gør det muligt for enhver IPv6-enhed at kommunikere med enhver anden IPv6-enhed eller -service på det samme lokale netværk. Det sker ved, at enheden annoncerer sin tilstedeværelse og lokaliseres via IPv6 Neighbor Discovery Protocol (NDP).

Men uden opsyn kan NDP blive en tand for nabovenlig og potentielt blotte enheder overfor angreb, der forsøger at finde ud af, hvad der foregår i netværket, eller endda gøre det muligt for et angreb at kapre en enhed og gøre den til en såkaldt "zombie" i et botnet.

Dette er ifølge Vyncke en ganske reel trussel.

"Vi har på verdensplan observeret, at botnet i stigende grad udnytter IPv6 som en skjult kanal til at kommunikere med deres botmaster."

Blandt mange forskellige forklædninger kan malware, der udnytter IPv6, tage form som skadelige data skjult i en eller flere IPv4-pakker.

Uden IPv6-specifikke sikkerhedsforanstaltninger såsom dyb pakkeinspektion kan denne type angreb glide ubemærket gennem IPv4-perimeteren og DMZ-forsvaret.

Oversat af Thomas Bøndergaard.

Læs også:

Din hjemmeside skal understøtte IPv6 inden 2012