淺析IPv6存在的攻擊漏洞
在從IPV4向IPV6過渡的過程中,企業面臨著很多信息安全調整,安全專家表示。讓情況更糟糕的是,一些攻擊者已經開始使用IPV6地址空間來偷偷向IPV4網絡發起攻擊。
Sophos公司的技術策略主管James Lyne表示,眾所周知,企業間從IPV4向IPV6過渡過程非常緩慢,而很多網絡罪犯就鉆了這個空子,很多攻擊者在IPV6基礎設施散步垃圾郵件并且利用了錯誤配置的防火墻的缺點。
很多現代防火墻在默認配置下都是讓IPV6流量自行通過的,Lyne表示。那些對IPV6流量不感興趣的企業就會設立明確的規則來嚴格阻止IPV6數據包,IT管理人員需要“知道如何與IPV6對話”,這樣他們就可以編寫相應的規則來處理該協議。
“從行業的角度來看,現在銷售IPV6的方式是錯誤的,”Lyne表示,他指出關于該協議的內置功能如何幫助提高隱私性方面的問題很少有人探討。相反的,對IPV6難以部署的普遍觀念讓企業很容易受到潛在攻擊。
從一般規則來看,IPV4和IPV6網絡是并行運行的。具有傳統IPV4地址的計算機不能訪問在IPV6地址空間運行的服務器和網站。隨著IPV4地址“逐漸衰敗”,業內都鼓勵企業轉換到IPV6或者無法獲取新IP地址。負責向亞太地區分配IP地址的亞太網絡信息中心近日宣布所有新的地址申請將被分配IPV6地址。
一位安全研究人員近日發現攻擊者可能通過IPV6網站發動中間人攻擊。InfoSec研究所安全研究人員Alec Waters表示,攻擊者可以覆蓋到目標IPV4網絡上的“寄生”IPV6網絡來攔截互聯網流量,他的概念證明攻擊只考慮了windows 7系統,但是同樣也可能發生在Vista、Windows 2008 Server和其他默認情況下開啟了IPV6的操作系統上。
為成功發動攻擊,攻擊者需要獲取對目標網絡的物理訪問,并且時間足以連接到IPV6路由器。在企業網絡的環境中,攻擊者將需要連接IPV6路由器到現有的IP4樞紐,但是對于公眾無線熱點,就非常簡單了,只需要用IPV6路由器就能發動攻擊。
攻擊者的IPV6路由器將會使用假的路由器廣告來為網絡中啟用了IPV6的機器自動創建新的IPV6地址。
路由器廣告的作用就像是IPV6地址的DHCP(動態主機配置協議),它提供了一個地址池供主機來選擇,根據SANS研究所首席研究官Johannes Ullrich表示。在用戶或者IT管理人員不知情的情況下,他們的機器已經變成IPV6獵物。
雖然系統已經有一個企業分配的IPV4地址,但是因為操作系統處理IPV6的方式,系統會被打亂到IPV6網絡。現代操作系統將IPV6默認為首選連接(如果系統同時被分配了IPV6和IPV4地址的話)。
由于IPV6系統無法與企業真正的IPV4路由器進行連接,系統必須通過惡意路由器進行路由,Waters表示,攻擊者然后可以使用一個通道來將IPV6地址轉換到IPV4地址,例如NAT-PT,這是一個實驗性IPV4到IPV6轉換機制,但是因為存在很多問題,該機制并沒有獲得廣泛支持。
“但并不意味著它沒有作用,”Waters表示。
通過NAT-PT,具有IPV6地址的機器就可以通過惡意路由器訪問IPV4網絡,使攻擊者對他們的互聯網活動有了全面了解。,
這種攻擊的嚴重程度還存在爭議,InfoSec研究所安全計劃經理Jack Koziol表示。根據常見漏洞清單,“IPV6符合RFC 3484(IPV6協議),以及試圖確定RA的合法性目標仍位于主機操作系統推薦行為的范圍外仍然存在爭議。”
不需要使用IPV6或者沒有完成過渡的企業應該關閉所有系統上的IPV6,或者,企業應該“像IPV4一樣對攻擊進行監控和抵御”。
【編輯推薦】
