Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
KommunikationE-Mail & VerschlüsselungKommunikatioskanäleLichtwellenleiterpraktische Lösungen
Allgemeine Fragen zu Problemen der Kommunikation im kybernetischen Raum

INTERNET PROTOCOL VERSION 6 (IPv6): NIST GUIDELINES HELP ORGANIZATIONS MANAGE THE SECURE DEPLOYMENT OF THE NEW NETWORK PROTOCOL

Internetprotokoll Version 6 (IPv6:) NIST Richtlinien helfen Organisationen, den sicheren Einsatz des neuen Netzprotokolls zu verwalten
 
 
 
 
 
 
 
 
 
 
12312
ITL BULLETIN FÜR DEN JANUAR 2011
Internetprotokoll Version 6 (IPv6:) NIST Richtlinien helfen Organisationen, den sicheren Einsatz des neuen Netzprotokolls zu verwalten
Shirley Radack, Herausgeber
Rechnersicherheitsabteilung
Informationstechnologielabor
Nationale Institut von Standards und Technik
US-Handelsabteilung
Internetprotokoll Version 6 (IPv6) ist ein neues Netzprotokoll mit aktualisierten Fähigkeiten und Merkmalen, die das erwartete zukünftige Wachstum des Internet unterstützen. Das Internetprotokoll (IP) kontrolliert den Transfer der Information von einem Gerät von einer anderen über dem Internet durch das Management von bestimmten, eindeutigen Netzadressen. Die Information, die gesandt wird, ist in handhabbare Schachteln geteilt; jede Schachtel hat seinen eigenen Kopf, der die Adresse, Zieladresse des Absenders enthält, und andere Information, um die Schachtel durch das Internet über vielen verschiedenen Pfaden zu führen. Wenn die Schachteln an ihrem Zielort ankommen, werden sie in ihre Originalform wieder montiert.
Wegen der Beschränkungen auf die Adressgrößen, die für das gegenwärtige Netzprotokoll (IPv4) verfügbar sind, gehen global eindeutige Adressen dem Internet bald aus. IPv6 verbessert bedeutend die von IPv4 unterstützten Dienste, das in Verwendung seit den 1980ern gewesen ist. Es wird erwartet, dass die verbesserte Kapazität von IPv6 ausreichende Adressen liefert, um zukünftiger Weltforderung nach IP-Adressen zu entsprechen, und verbessertere, effizientere Dienste, Beweglichkeit und Sicherheit erbringt; diese Verbesserungen werden notwendig sein, wie sich das Internet ausdehnt, um viele neue Benutzer zu bedienen.
Bundesregierungsorganisationen haben begonnen, sich auf den Einsatz von IPv6 einzustellen. Das Büro von Management und Budget (OMB), in seinem Memorandum für Hauptpressereferenten von leitenden Abteilungen und Agenturen (September 2010), sagte das die Bundesregierung "ist zum Betriebseinsatz und der Betriebsverwendung von Internetprotokoll Version 6 (IPv6) entschlossen ." OMB beschrieb bestimmte Maßnahmen, die Agenturen ergreifen müssen, zu expedieren das Einsatzprozess. Um Bundesorganisationen in diesem Prozess zu helfen, entwickelte das Informationstechnologielabor vom nationalen Institut von Standards und Technik (NIST) einen Führer, der die technischen Merkmale erklärt, profitiert, und potentielle Sicherheit riskiert, um berücksichtigt zu werden, wenn sich Organisationen auf ihren Einsatz von IPv6 einstellen.
NIST spezielle Veröffentlichung (SP ) 800-119,
Richtlinien für den sicheren Einsatz von IPv6
NISTs Neue Führer SP 800-119,
Richtlinien für den sicheren Einsatz von IPv6, beschreibt und analysiert die neuen und ausgedehnten Protokolle, Dienste und Fähigkeiten, die IPv6 liefert, und berichtet Organisationen von den Sicherheitsfragen und Einsatzstrategien, die zu berücksichtigen sind, wenn er die Bewegung zur Durchführung von IPv6 plant.
Geschrieben von Sheila Frankel von NIST, Richard Graveman von RFG Sicherheit, John Pearce von Booz Allen Hamilton und Mark Rooks von L -1 Identitätslösungen (früher von Booz Allen Hamilton), der Führer prüft die Differenzen zwischen IPv4 und IPv6, die anzusprechenden Sicherheitsfragen und andere Angelegenheiten, die könnten, beeinflussen die zukünftige Verwendung von IPv6. Die Richtlinien stellen den IPv6 Einsatzprozess ausführlich dar, wenn sie Wechsel, Integration, Konfiguration und das Testen einschließen. NIST SP 800-119 hebt hervor, dass diese detaillierte Planung einer Organisation ermöglicht, den Einsatzprozess glatt und sicher zu behandeln.
Zahlen und Tabellen der Information überall in dem Führer helfen dem Benutzer, die bedeutsamen Merkmale von IPv6 und IPv4 zu vergleichen. Die größeren Merkmale von IPv6 werden beschrieben und zusammengefasst. Die Anhänge zur Veröffentlichung enthalten Akronyme und Abkürzungen Listen und eine Liste von Referenzen und anderen IPv6 Ressourcen. NIST SP 800-119 ist verfügbar von der NIST Webseite http://csrc.nist.gov/publications/PubsSPshtmll.
Warum ist IPv6 für vernetzte Systeme erforderlich
IPv4 wurde in den 1970ern und frühen 1980ern entwickelt, damit der Gebrauch in Regierung und Hochschulgemeinden in den Vereinigten Staaten Kommunikation und gemeinsame Informationsnutzung durch Informationstechnologie- (es) Netze erleichtern. Heute wartet der Bedarf zu vernetzen und schließt Netzzugang, E-Mail, Peer-to-Peer-Services und die Verwendung von mobilen Geräten ein, ist über die Erwartungen der frühen Netzentwickler gut geworden. IPv4 wurde dafür entworfen, eine 32-Bit Stelle von Netzadressen vorzusehen, die mehr als 4 Milliarden Adressen unterbrachten. In Folge des verbreiteten Einsatzes und Wachstums, Techniken und Mobilkommunikationen zu vernetzen, das IPv4 Adressfeld ist nicht mehr angemessen, um eine ausreichende Anzahl von global eindeutigen Adressen zu liefern, die zukünftig erforderlich sein werden.
Techniken waren dafür entworfen worden, die Beschränkungen auf Adressfeld zu überwinden. Zum Beispiel ermöglicht Netzadressumsetzungs- (NAT) Technik, dass Organisationen mit dem Internet, aber Rechtsnachfolger private Adressen innerhalb der Organisation verbinden. Jedoch haben diese Techniken Beschränkungen, da es sein kann, dass sie nicht skalierbar sind; es kann auch Interoperabilitätsangelegenheiten sowohl mit anderen Formen von NAT als auch mit anderen Protokollen und Bewerbungen geben.
Eine andere Beschränkung von IPv4 ist sein Design, das Interoperabilität über Sicherheit bevorzugt, und das enthält keine Merkmale, um die Vertraulichkeit, Integrität oder Verfügbarkeit der Information zu schützen. IPv4 unterstützte die Verwendung der Kryptographie nicht ursprünglich, um Information vor lauschender oder unbefugter Änderung zu schützen, und lieferte nicht für die Bestätigung von Netzbenutzern. Das Freie, Netzen gemachter, die Drohungen und Angriffen gegenüber verwundbar sind, Multipfadcharakter von IPv4.
Versuche, einen Nachfolger in IPv4 zu entwickeln, begannen in den frühen 1990ern innerhalb des Internet, das Arbeitsgruppe (IETF), eine große offene Völkergemeinschaft von Netzdesignern, Vermittlungen, Verkäufern konstruierte, und Forscher, die mit der Evolution der Internetarchitektur und der glatten Operation des Internet beschäftigt sind. Die IETF Bemühungen zielten
beim sowohl Lösen der Adressfeldbeschränkungen von IPv4 als auch dem Liefern von zusätzlichen Funktionalität und Sicherheit für das Internetprotokoll.
Größere Merkmale von IPv6
IPv6 ist ein Protokoll, das dafür entworfen ist, die Wachstumsrate vom Internet zu behandeln, und die anspruchsvollen Erfordernisse von Diensten, Beweglichkeit und durchgehender Sicherheit für Netzkommunikation. Größere Merkmale beinhalten:
· IPv6 liefert für
erweiterte Netzadressgrößen von 128 Stücken, einer wesentlichen Zunahme über den 32 Stücken sprechen Größen an, die mit IPv4. T verfügbar sindDiese gesteigerte Größe berücksichtigt Billionen von global eindeutigen Adressen, die dazu eingeteilt werden konnten, zukünftigen Bedarf nach Übertragung von Daten, Stimme und Videodiensten zu behandeln.
· IPv6 ermöglicht Plug-and-Play-Vernetzung, oder
Autokonfiguration, die ermöglicht, dass Geräte sich konfigurieren und ihre IP-Adressen und andere Parameter ohne den Bedarf nach einem server. A konfigurieren und unabhängig ein staatenloses Protokoll verwendenAuch sind die Zeit und Bemühung, die ein Netz neu durch Ersetzen eines alten Präfixes durch ein neues Präfix zu nummerieren verlangt sind, reduziert.
· IPv6 liefert ein
einfachere Kopf-Struktur als die IPv4 Kopf-Struktur, die die verbessertere und schnellere Verarbeitung von Schachteln und Protokollflexibilität berücksichtigt.
· IPv6 enthält Methoden für
Erweiterungsoptionen einschließlich kleiner Sprung von kleinem Sprung Optionskopfs, die Kopf, Fragmentskopf, Zieloptionskopf, Bestätigungskopf vertreiben und Sicherheitsnutzlast (ESP) header. verkapseln, TDiese Optionen fördern die verbesserte Verarbeitung und vermeiden einige Sicherheitsprobleme.
· IPv6 Unterstützungen
IP Sicherheit (IPsec), eine Suite von Protokollen, die verwendet werden können, um IP Kommunikation durch Beglaubigen des Absenders zu sichern, die Integritätsschutz gewährleistet, das und das Liefern für fakultativen Schutz der Vertraulichkeit von gesendeter Information.
· IPv6 beinhaltet
Mobiles IPv6 (MIPv6), ein verbessertes Protokoll, das unterstützt, herumzuwandern, dass ein mobiler Knoten dem Knoten ermöglicht, sich von einem Netz zu einer anderen ohne aussichtslose IP Schicht connectivity. zu bewegen, TDieses Merkmal führt jedoch Sicherheitsbedenken ein; Operationen wie Streckenoptimierung erfordern, dass zwischen dem Hausagenten und dem mobilen Knoten gesendete Daten passend geschützt sind.
· IPv6 liefert
Service-Qualitätsoptionen, die benutzt werden können, um politikbasierte Vernetzungswahlmöglichkeiten durchzuführen, um Prioritäten bei der Lieferung von information. T zu setzenDieses Merkmal ist immer noch unter Entwicklung und konnte Sicherheitsüberlegungen betreffen.
· IPv6 integriert eine hierarchial Adressierungsstruktur und hat ein vereinfachtes Kopf-Erlauben für
verbesserte Wegeplanung der Information von einer Quelle zu einem destination. TDas große Maß an Adressfeld ermöglicht Organisationen mit vielen Verbindungen, Blöcke des zusammenhängenden Adressfelds zu erhalten und Adressen unter einem Präfix für Identifikation im Internet zusammenzufassen, die Informationsmengekoppler zu reduzieren, muss behaupten und speichern.
· IPv6 Schachtelzersplitterungskontrolle tritt beim IPv6 Quellenhost mit Hilfe des Pfadmaximalübertragungseinheits- (PMTU) Entdeckungsverfahrens auf. Dieses Verfahren entfernt den Bedarf, dass Koppler Zersplitterung ausführen, und liefert für
effiziente Übertragung der Information.
Im Einsatz von IPv6 zu berücksichtigende Sicherheitsfragen
Im Einsatz von IPv6 zu berücksichtigende allgemeine Risiken beinhalten:
· das
Angreifergemeinschaft nutzt IPv6 aus und entwickelt Techniken und Werkzeuge exploitation. ichWenn die Befugniskontrollen einer Organisation nicht schon für IPv6 Verkehr überwachen, kann es sein, dass der Verkehr zu und von Kundengeräten nicht durch vorhandene Befugniskontrollen feststellbar ist. Dieses Risiko kann durch Rekonfigurieren oder Einsetzen von Befugniskontrollen gelindert sein, um beide IPv4 zu sein, und IPv6 wissen.
· das
unbefugter Einsatz von IPv6 auf vorhandenen IPv4 Produktionsnetzen setzt Verwundbarkeiten, die schwierig wahrzunehmen sein können, oder mitigate. ich Organisationen ausIPv6 Unterstützung ist für die meisten Betriebssysteme verfügbar. Die Befehle, IPv6 auf diesen Betriebssystemen zu ermöglichen, sind leicht zugänglich und anwenderfreundlich. Als Ergebnis kann IPv6 aktiviert standardmäßig sein.
· IPv6 beinhaltet das
Verwundbarkeiten, die inhärent in jedem neuen oder überarbeiteten system. T sindDie Einbeziehung von IPsec in IPv6 fügt Mechanismen für das Schützen der Vertraulichkeit und Integrität der Information hinzu. Jedoch spricht IPv6 Angriffe an, die andere Vermittlungsschichtkommunikation richten, wie schnüffeln verschiebt, verschiebt, überflutend, bemannt in der Mitte Angriffe, Gaunergeräte nicht, oder Adressresolutionsprotokoll- (ARP) Tabellenüberschuss greift an. Manche dieser Angriffe werden teilweise in IPv6 behandelt, während andere Angriffe, die in der Natur ähnlich sind, verschiedene Merkmale ausnutzen.
· Organisationen können IPv6 einsetzen, außer fortzufahren, IPv4 für Erbanwendungen, Dienste und Kunden zu unterstützen. Dies resultiert in ein
zweifache Protokollumgebung und gesteigerte Komplexität . TDie Verwendung von zwei Protokollen kann mehr Probleme verursachen und mehr komplexe Konfigurationen erfordern, um neue Ausrüstung zu installieren oder vorhandene Ausrüstung zu ändern. Angriffe gegen obere Schichtprotokolle konnten eines verwenden, das das IPv4 oder die IPv6 stapeln, um den Kunden zu erreichen.
·
Es kann sein, dass mit IPv6 verbundene wahrgenommene Risiken bewirken, dass eine Organisation Einsatz trotz der Tatsache verschiebt, dass IPv6 aktivierte Ausrüstung schon available. G istAllgemeine Sicherheitskonzepte sind die Gleichen für den Einsatz von sowohl IPv4 als auch IPv6. Organisationen brauchen Zeit, um das Betriebserfahrungsniveau und praktische Einsatzlösungen für IPv6 zu erwerben, da sie für IPv4 über die Jahre entwickelt haben.
· viele Verkäufer, Lieferanten von Sicherheitsvorrichtungen einschließend, warten auf Kundenanfrage vor dem Durchführen der Unterstützung für IPv6, während Kunden sind
das Warten darauf, dass Verkäufer IPv6 vor Einkaufssoftware und systems. S unterstützenEinige Verkäufer unterstützen IPv6 vollständig,
aber viel anbieten nur beschränkte Unterstützung. Die vielen Elemente, die die Vernetzungsumgebung komponieren, können die Entwicklung von IPv6 Produkten verschieben.
NIST Empfehlungen für den sicheren Einsatz von IPv6
Die Wanderung in IPv6 Dienste ist notwendig, da das IPv4 Adressfeld fast erschöpft ist. Dies bedeutet, dass Organisationen, die neue IP-Adressen brauchen, nur IPv6 Adressen zugeteilt werden. Auf diese Art müssen Organisationen, die schon ausreichende IPv4 Adressen haben, noch in der Lage sein, mit Organisationen zu kommunizieren, die nur IPv6 Adressen haben. Organisationen sollten beginnen, jetzt zu verstehen, dass sowohl die Risiken, IPv6 einzusetzen, als auch die Strategien die Risiken lindern mussten. Detaillierte Planung ermöglicht einer Organisation, sich glatt und sicher zum Einsatz von IPv6 zu bewegen und Konnektivität mit Internetbenutzern überall in der Welt zu behaupten.
Bundesagenturen stellen sich am wahrscheinlichsten Sicherheitsherausforderungen überall in dem Einsatzprozess und schließen ein:
· eine Angreifergemeinschaft, die als eine Organisation in den Frühstadien des Einsatzes mehr Erfahrung und Trost mit IPv6 haben kann;
· Schwierigkeiten, unbekannte oder unbefugte IPv6 Vermögenswerte auf vorhandener IPv4 Produktion wahrzunehmen, vernetzen;
· fügte Komplexität hinzu, als es IPv4 und IPv6 parallel bediente;
· Mangel an IPv6 Reife in Sicherheitsprodukten, wenn mit IPv4 Fähigkeiten verglichen; und
· Ausbreitung von wechselgesteuertem IPv6 (oder IPv4) gräbt einen Tunnel, welches verkomplizieren Verteidigungen an Netzgrenzen selbst wenn bevollmächtigt richtig, und welches kann völlig jene Verteidigungen umgehen, wenn unbefugt, (z.B, host-gestützte von Endbenutzern initiierte Tunnel).
Organisationen, die den Einsatz von IPv6 planen, sollten Folgendes während des Planungsprozesses berücksichtigen:
· IPv6 ist ein neues Protokoll, das nicht zurück ist, - mit IPv4 kompatibel. Dies verlangt, dass Organisationen ihre Netzwerkinfrastruktur und ihre Systeme wechseln, um IPv6 einzusetzen;
· in den meisten Fällen, IPv4 wird immer noch ein Bestandteil der Informationstechnologieinfrastruktur sein. Sogar nach dem Einsatz von IPv6 erfordern Organisationen Mechanismen für die Koexistenz von IPv6 und IPv4 Durchführungen;
· IPv6 kann so sicher wie IPv4 eingesetzt werden; Organisationen sollten das erwarten Verwundbarkeiten innerhalb der sowohl Protokoll- als auch Durchführungsfehler und Mangels der Betriebserfahrung, wird Führung zu einer Anfangszunahme von IPv6 basierten Verwundbarkeiten? ; und
· IPv6 ist schon eingesetzt worden in großen Netzen und ist in ihnen gegenwärtig in Betrieb global.
Um mögliche Hindernisse zu überwinden, die damit verbunden werden, IPv6 einzusetzen, sollten Organisationen die folgenden Empfehlungen berücksichtigen:
· ermutigen Mitarbeiter, ihre Kenntnis von IPv6 auf eine mit ihrem gegenwärtigen Verständnis von IPv4 vergleichbare Ebene zu erweitern;
· planen einen schrittweise durchgeführten IPv6 Einsatz, der Gebrauch von entsprechenden Wechselmechanismen macht, um Geschäftsbedarf zu unterstützen; setzen Sie keine mehr Wechselmechanismen als notwendig ein; und
· Plan für eine lange Übergangszeit mit der Koexistenz von Doppelsystemen, die sowohl IPv4 als auch IPv6 unterstützen.
Organisationen, die IPv6 noch nicht einsetzen, sollten die folgenden Empfehlungen global durchführen:
· blockieren allen IPv6 Verkehr, Einheimischen und gruben einen Tunnel an der Brandmauer der Organisation. Beide eingehend, und gehender Verkehr sollte blockiert werden;
· machen alle IPv6 kompatiblen Häfen, Protokolle und Dienste auf aller Software und Hardware unfähig;
· beginnen, Vertrautheit und Sachkenntnis mit IPv6 durch Laborexperimentieren und/oder beschränkte Piloteinsätze zu erwerben; und
· machen Organisationsweb-Server, wenn sie sich Außenseite der über IPv6 Verbindungen zugänglichen organisatorischen Brandmauer befinden. Dies ermöglicht nur IPv6 Benutzern, auf die Server zuzugreifen, und hilft der Organisation dabei, Vertrautheit mit einigen Aspekten des IPv6 Einsatzes zu erwerben.
Organisationen, die IPv6 einsetzen, sollten die folgenden Empfehlungen durchführen, um IPv6 Drohungen zu lindern:
· wenden eine entsprechende Mischung von verschiedenen Arten von IPv6 Adressierung (Privatsphärenadressierung, einzigartiger lokaler Adressierung, spärlichem Zuweisung, usw.) an, um Zugang und Kenntnis von IPv6 angesprochenen Umgebungen einzugrenzen;
· Verwendung automatisierte Adressenverwaltungswerkzeuge, um manuellen Eingang von IPv6 Adressen zu vermeiden, ein Prozess, der wegen der Länge von IPv6 für Fehler anfällig ist, spricht an;
· entwickeln ein körniges ICMPv6 (Internetsteueranzeigeprotokoll für IPv6), wenn sie Politik für das Unternehmen filtern. Stellen Sie sicher, dass ICMPv6 Nachrichten, die IPv6 Operation wesentlich sind, erlaubt sind, aber dass andere blockiert sind;
· verwenden IPsec, um Vertraulichkeit zu Vermögenswerten zu beglaubigen und zu liefern, die an ein skalierbares Vertrauensmodell gebunden sein können; zum Beispiel, Zugang zu Personalvermögenswerten durch interne Angestellte gewähren, die die öffentliche Schlüsselinfrastruktur (PKI) der Organisation benutzen, Vertrauen einzuführen ;
· identifizieren Fähigkeiten und Schwächen von Netzschutzgeräten in einer IPv6 Umgebung;
· ermöglichen Kontrollen, die aufgrund einer niedrigeren Drohungsebene nicht bei IPv4 während Anfangseinsatzes hätten verwendet werden können; zum Beispiel führt Normalfall durch versagen Zugangskontrollpolitiken, dass Routing-Protokoll-Sicherheit durchführen und andere ähnliche Übungen ;
· Bezahlungsachtsamkeit zu den Sicherheitsaspekten von Wechselmechanismen wie einen Tunnel grabender Protokolle;
· stellen sicher, dass IPv6 Koppler, Schachtelfilter, Brandmauern und Tunnelendpunkte Sammelsendungsumfangsgrenzen durchsetzen, und vergewissern sich, dass Sammelsendungszuhörerentdeckungs- (MLD) Schachteln nicht unpassend wühlbar sind; und
· wissen, dass, von einer Umgebung umzuschalten, in der NAT eindeutigen globalen IPv6 Adressen IP-Adressen liefert, eine Änderung in der Definition von Systemgrenzen verursachen konnte, wie in der Bundesinformation angegeben Sicherheitsmanagementgesetz (FISMA).
Zwecks weiterer Informationen
Information über das Internet, das Arbeitsgruppe, Aktivitäten und Spezifikationen konstruiert, ist verfügbar von http://www.ietf.org/.
NIST Veröffentlichungen, die Information und Führung auf Planung und durchführendem Netz und Informationssystemsicherheit liefern, beinhalten:
Bundesinformationsverarbeitungsstandard (FIPS ) 199,
Normen für Sicherheitskategorisierung von Bundesinformation und Informationssystemen
NIST spezielle Veröffentlichung (SP ) 500-287,
Ein Profil für IPv6 in der US-Regierung - dem US-Version 1,9
NIST SP 500-281,
USGv6 Testprogrammbenutzerhandbuch
NIST SP 500-273,
USGv6 Testverfahren: Rahmenbeschreibung und Bestätigung
NIST SP 800-54,
Grenztorprotokollsicherheit
***NIST SP 800-61, Rev. *** 1,
Rechnersicherheitsvorfallshandhabungsführer
***NIST SP 800-64, Rev. *** 2,
Sicherheitsüberlegungen im Systementwicklungslebenszyklus
NIST SP 800-77,
Leitfaden für IPsec VPNs
NIST SP 800-81,
Sicherer Domain Name System- (DNS) Einsatzführer
NIST SP 800-88,
Richtlinien für Medien Sanitization
Zwecks Informationen über diese NIST Standards und Richtlinien wie auch andere sicherheitsbedingte Veröffentlichungen sehen Sie NISTs Webseite http://csrc.nist.gov/publications/indexhtmll.
Information über NISTs Informationssicherheitsprogramme ist verfügbar vom Rechnersicherheitsinformationszentrum http://csrc.nist.gov/.
Dementi
Jede Erwähnung von handelsüblichen Produkten oder jeder Verweis auf kommerzielle Organisationen ist nur zwecks Information; es impliziert keine Empfehlung oder Billigung durch NIST noch impliziert es, dass die erwähnten Produkte sind, unbedingt am besten für den Zweck verfügbar.

Dieser Text wurde maschinell übersetzt