web-dev-qa-db-fra.com

Quels sont les risques de sécurité dans la mise en place d'IPv6

Nous envisageons d'activer IPv6 sur nos serveurs Web afin que nous soyons accessibles avec IPv4 et IPv6. Existe-t-il des problèmes de sécurité que nous devrions envisager lors de l'activation de l'IPv6?

27
Peter Smit

IPv6 uniquement:

  • La taille illimitée de la chaîne d'en-tête peut rendre le filtrage difficile.
  • IPsec n'est pas une panacée:
    • IPv6 charge la mise en œuvre de IPSec
    • IPv6 ne nécessite pas l'utilisation d'IPSec
    • Certaines organisations pensent que IPSec devrait être utilisé pour sécuriser tous les flux:
      • Problème d'évolutivité intéressant
      • Besoin de faire confiance aux points finaux et aux utilisateurs finaux, car le réseau ne peut pas sécuriser le trafic: pas d'IPS, pas de ACL, pas de pare-feu
      • La télémétrie du réseau est aveuglée
      • Services de réseau entravé
  • Je recommande de ne pas utiliser IPSec Fin pour mettre fin à un domaine administratif, mais pour des objectifs résidentiels, hostiles ou des cibles de haut niveau.

Attaques IPv6 avec des similitudes IPv4 fortes:

  • Reniflement
    • Sans IPsec, IPWithout Ipsec, IPv6 n'est plus ou moins susceptible de tomber victime d'une attaque reniflant que IPv4
  • Attaque de couche d'application [.____]
    • Même avec IPSec, la majorité des vulnérabilités sur Internet sont aujourd'hui à la couche d'application, ce que IPsec ne fera rien pour prévenir
  • Appareils voyous
    • Les appareils voyous seront aussi faciles à insérer dans un réseau IPv6 comme dans IPv4
  • Attaques man-in-théières (MITM)
    • Sans IPSec, toute attaque utilisant MITM aura la même probabilité de IPv6 que dans IPv4
  • Inondation
    • Les attaques d'inondation sont identiques entre IPv4 et IPv6

IPv4 et IPv6 Dual Stack (comme vous l'avez mentionné):

  • Les applications peuvent être soumises à une attaque sur IPv6 et IPv4 (lien le plus faible)
  • Les contrôles de sécurité doivent bloquer et inspecter le trafic des deux versions IP
18
Jeff

De nombreux sites utilisent l'adressage privé à l'intérieur de leur réseau et le routeur exécute NAT afin que les connexions sortantes soient réalisables. Le NAT Thing implique, par construction, le même effet qu'un pare-feu empêchant toute connexion entrante du monde extérieur à l'une des machines du réseau intérieur.

Lorsque vous activez IPv6, les machines intérieures deviennent visibles de manière externe. Donc, vous préférez configurer les règles de filtrage de base sur le pare-feu avant Activation IPv6. Pensez à un ancien système Windows non corrompu, rempli de trous exploitants à distance, qui était inoffensif, tant qu'il est simplement assis dans le réseau interne sans effectuer d'activité réseau avec Internet en général (par exemple, une station de travail utilisée uniquement pour se connecter à un intranet).

Ce n'est pas vraiment IPv6 faute. Il est que IPv6 ait été conçu de manière à ce qu'il n'y ait pas de pénurie d'adresse, rendant NAT inutile. Je pense que la plupart des problèmes de sécurité qui se produiront avec le déploiement IPv6 suivront ce modèle: IPv6 annule le "pare-feu inhérent "Effet de NAT, découvrant de nombreux hôtes vulnérables. Dans une certaine mesure, c'est la même histoire que l'avènement du WiFi, qui annule la sécurité physique inhérente des fils ordinaires.

12
Thomas Pornin