ITL BULLETIN FÜR DEN JANUAR 2011
Internetprotokoll Version 6 (IPv6:) NIST Richtlinien helfen
Organisationen, den sicheren Einsatz des neuen Netzprotokolls zu
verwalten
Shirley Radack, Herausgeber
Rechnersicherheitsabteilung
Informationstechnologielabor
Nationale Institut von Standards und Technik
US-Handelsabteilung
Internetprotokoll Version 6 (IPv6) ist ein neues Netzprotokoll mit
aktualisierten Fähigkeiten und Merkmalen, die das erwartete zukünftige
Wachstum des Internet unterstützen. Das Internetprotokoll (IP)
kontrolliert den Transfer der Information von einem Gerät von einer
anderen über dem Internet durch das Management von bestimmten,
eindeutigen Netzadressen. Die Information, die gesandt wird, ist in
handhabbare Schachteln geteilt; jede Schachtel hat seinen eigenen Kopf,
der die Adresse, Zieladresse des Absenders enthält, und andere
Information, um die Schachtel durch das Internet über vielen
verschiedenen Pfaden zu führen. Wenn die Schachteln an ihrem Zielort
ankommen, werden sie in ihre Originalform wieder montiert.
Wegen der Beschränkungen auf die Adressgrößen, die für das gegenwärtige
Netzprotokoll (IPv4) verfügbar sind, gehen global eindeutige Adressen
dem Internet bald aus. IPv6 verbessert bedeutend die von IPv4
unterstützten Dienste, das in Verwendung seit den 1980ern gewesen ist.
Es wird erwartet, dass die verbesserte Kapazität von IPv6 ausreichende
Adressen liefert, um zukünftiger Weltforderung nach IP-Adressen zu
entsprechen, und verbessertere, effizientere Dienste, Beweglichkeit und
Sicherheit erbringt; diese Verbesserungen werden notwendig sein, wie
sich das Internet ausdehnt, um viele neue Benutzer zu bedienen.
Bundesregierungsorganisationen haben begonnen, sich auf den Einsatz von
IPv6 einzustellen. Das Büro von Management und Budget (OMB), in seinem
Memorandum für Hauptpressereferenten von leitenden Abteilungen und
Agenturen (September 2010), sagte das die Bundesregierung "ist zum
Betriebseinsatz und der Betriebsverwendung von Internetprotokoll Version
6 (IPv6) entschlossen ." OMB beschrieb bestimmte Maßnahmen, die
Agenturen ergreifen müssen, zu expedieren das Einsatzprozess. Um
Bundesorganisationen in diesem Prozess zu helfen, entwickelte das
Informationstechnologielabor vom nationalen Institut von Standards und
Technik (NIST) einen Führer, der die technischen Merkmale erklärt,
profitiert, und potentielle Sicherheit riskiert, um berücksichtigt zu
werden, wenn sich Organisationen auf ihren Einsatz von IPv6 einstellen.
NIST spezielle Veröffentlichung (SP ) 800-119,
Richtlinien für den sicheren Einsatz von IPv6
NISTs Neue Führer SP 800-119,
Richtlinien für den sicheren Einsatz von IPv6, beschreibt und analysiert
die neuen und ausgedehnten Protokolle, Dienste und Fähigkeiten, die IPv6
liefert, und berichtet Organisationen von den Sicherheitsfragen und
Einsatzstrategien, die zu berücksichtigen sind, wenn er die Bewegung zur
Durchführung von IPv6 plant.
Geschrieben von Sheila Frankel von NIST, Richard Graveman von RFG
Sicherheit, John Pearce von Booz Allen Hamilton und Mark Rooks von L -1
Identitätslösungen (früher von Booz Allen Hamilton), der Führer prüft
die Differenzen zwischen IPv4 und IPv6, die anzusprechenden
Sicherheitsfragen und andere Angelegenheiten, die könnten, beeinflussen
die zukünftige Verwendung von IPv6. Die Richtlinien stellen den IPv6
Einsatzprozess ausführlich dar, wenn sie Wechsel, Integration,
Konfiguration und das Testen einschließen. NIST SP 800-119 hebt hervor,
dass diese detaillierte Planung einer Organisation ermöglicht, den
Einsatzprozess glatt und sicher zu behandeln.
Zahlen und Tabellen der Information überall in dem Führer helfen dem
Benutzer, die bedeutsamen Merkmale von IPv6 und IPv4 zu vergleichen. Die
größeren Merkmale von IPv6 werden beschrieben und zusammengefasst. Die
Anhänge zur Veröffentlichung enthalten Akronyme und Abkürzungen Listen
und eine Liste von Referenzen und anderen IPv6 Ressourcen. NIST SP
800-119 ist verfügbar von der NIST Webseite
http://csrc.nist.gov/publications/PubsSPshtmll.
Warum ist IPv6 für vernetzte Systeme erforderlich
IPv4 wurde in den 1970ern und frühen 1980ern entwickelt, damit der
Gebrauch in Regierung und Hochschulgemeinden in den Vereinigten Staaten
Kommunikation und gemeinsame Informationsnutzung durch
Informationstechnologie- (es) Netze erleichtern. Heute wartet der Bedarf
zu vernetzen und schließt Netzzugang, E-Mail, Peer-to-Peer-Services und
die Verwendung von mobilen Geräten ein, ist über die Erwartungen der
frühen Netzentwickler gut geworden. IPv4 wurde dafür entworfen, eine
32-Bit Stelle von Netzadressen vorzusehen, die mehr als 4 Milliarden
Adressen unterbrachten. In Folge des verbreiteten Einsatzes und
Wachstums, Techniken und Mobilkommunikationen zu vernetzen, das IPv4
Adressfeld ist nicht mehr angemessen, um eine ausreichende Anzahl von
global eindeutigen Adressen zu liefern, die zukünftig erforderlich sein
werden.
Techniken waren dafür entworfen worden, die Beschränkungen auf
Adressfeld zu überwinden. Zum Beispiel ermöglicht Netzadressumsetzungs-
(NAT) Technik, dass Organisationen mit dem Internet, aber
Rechtsnachfolger private Adressen innerhalb der Organisation verbinden.
Jedoch haben diese Techniken Beschränkungen, da es sein kann, dass sie
nicht skalierbar sind; es kann auch Interoperabilitätsangelegenheiten
sowohl mit anderen Formen von NAT als auch mit anderen Protokollen und
Bewerbungen geben.
Eine andere Beschränkung von IPv4 ist sein Design, das Interoperabilität
über Sicherheit bevorzugt, und das enthält keine Merkmale, um die
Vertraulichkeit, Integrität oder Verfügbarkeit der Information zu
schützen. IPv4 unterstützte die Verwendung der Kryptographie nicht
ursprünglich, um Information vor lauschender oder unbefugter Änderung zu
schützen, und lieferte nicht für die Bestätigung von Netzbenutzern. Das
Freie, Netzen gemachter, die Drohungen und Angriffen gegenüber
verwundbar sind, Multipfadcharakter von IPv4.
Versuche, einen Nachfolger in IPv4 zu entwickeln, begannen in den frühen
1990ern innerhalb des Internet, das Arbeitsgruppe (IETF), eine große
offene Völkergemeinschaft von Netzdesignern, Vermittlungen, Verkäufern
konstruierte, und Forscher, die mit der Evolution der
Internetarchitektur und der glatten Operation des Internet beschäftigt
sind. Die IETF Bemühungen zielten
beim sowohl Lösen der Adressfeldbeschränkungen von IPv4 als auch dem
Liefern von zusätzlichen Funktionalität und Sicherheit für das
Internetprotokoll.
Größere Merkmale von IPv6
IPv6 ist ein Protokoll, das dafür entworfen ist, die Wachstumsrate vom
Internet zu behandeln, und die anspruchsvollen Erfordernisse von
Diensten, Beweglichkeit und durchgehender Sicherheit für
Netzkommunikation. Größere Merkmale beinhalten:
· IPv6 liefert für
erweiterte Netzadressgrößen von 128 Stücken, einer wesentlichen Zunahme
über den 32 Stücken sprechen Größen an, die mit IPv4. T verfügbar
sindDiese gesteigerte Größe berücksichtigt Billionen von global
eindeutigen Adressen, die dazu eingeteilt werden konnten, zukünftigen
Bedarf nach Übertragung von Daten, Stimme und Videodiensten zu
behandeln.
· IPv6 ermöglicht Plug-and-Play-Vernetzung, oder
Autokonfiguration, die ermöglicht, dass Geräte sich konfigurieren und
ihre IP-Adressen und andere Parameter ohne den Bedarf nach einem server.
A konfigurieren und unabhängig ein staatenloses Protokoll verwendenAuch
sind die Zeit und Bemühung, die ein Netz neu durch Ersetzen eines alten
Präfixes durch ein neues Präfix zu nummerieren verlangt sind, reduziert.
· IPv6 liefert ein
einfachere Kopf-Struktur als die IPv4 Kopf-Struktur, die die
verbessertere und schnellere Verarbeitung von Schachteln und
Protokollflexibilität berücksichtigt.
· IPv6 enthält Methoden für
Erweiterungsoptionen einschließlich kleiner Sprung von kleinem Sprung
Optionskopfs, die Kopf, Fragmentskopf, Zieloptionskopf, Bestätigungskopf
vertreiben und Sicherheitsnutzlast (ESP) header. verkapseln, TDiese
Optionen fördern die verbesserte Verarbeitung und vermeiden einige
Sicherheitsprobleme.
· IPv6 Unterstützungen
IP Sicherheit (IPsec), eine Suite von Protokollen, die verwendet werden
können, um IP Kommunikation durch Beglaubigen des Absenders zu sichern,
die Integritätsschutz gewährleistet, das und das Liefern für
fakultativen Schutz der Vertraulichkeit von gesendeter Information.
· IPv6 beinhaltet
Mobiles IPv6 (MIPv6), ein verbessertes Protokoll, das unterstützt,
herumzuwandern, dass ein mobiler Knoten dem Knoten ermöglicht, sich von
einem Netz zu einer anderen ohne aussichtslose IP Schicht connectivity.
zu bewegen, TDieses Merkmal führt jedoch Sicherheitsbedenken ein;
Operationen wie Streckenoptimierung erfordern, dass zwischen dem
Hausagenten und dem mobilen Knoten gesendete Daten passend geschützt
sind.
· IPv6 liefert
Service-Qualitätsoptionen, die benutzt werden können, um politikbasierte
Vernetzungswahlmöglichkeiten durchzuführen, um Prioritäten bei der
Lieferung von information. T zu setzenDieses Merkmal ist immer noch
unter Entwicklung und konnte Sicherheitsüberlegungen betreffen.
· IPv6 integriert eine hierarchial Adressierungsstruktur und hat ein
vereinfachtes Kopf-Erlauben für
verbesserte Wegeplanung der Information von einer Quelle zu einem
destination. TDas große Maß an Adressfeld ermöglicht Organisationen mit
vielen Verbindungen, Blöcke des zusammenhängenden Adressfelds zu
erhalten und Adressen unter einem Präfix für Identifikation im Internet
zusammenzufassen, die Informationsmengekoppler zu reduzieren, muss
behaupten und speichern.
· IPv6 Schachtelzersplitterungskontrolle tritt beim IPv6 Quellenhost mit
Hilfe des Pfadmaximalübertragungseinheits- (PMTU) Entdeckungsverfahrens
auf. Dieses Verfahren entfernt den Bedarf, dass Koppler Zersplitterung
ausführen, und liefert für
effiziente Übertragung der Information.
Im Einsatz von IPv6 zu berücksichtigende Sicherheitsfragen
Im Einsatz von IPv6 zu berücksichtigende allgemeine Risiken beinhalten:
· das
Angreifergemeinschaft nutzt IPv6 aus und entwickelt Techniken und
Werkzeuge exploitation. ichWenn die Befugniskontrollen einer
Organisation nicht schon für IPv6 Verkehr überwachen, kann es sein, dass
der Verkehr zu und von Kundengeräten nicht durch vorhandene
Befugniskontrollen feststellbar ist. Dieses Risiko kann durch
Rekonfigurieren oder Einsetzen von Befugniskontrollen gelindert sein, um
beide IPv4 zu sein, und IPv6 wissen.
· das
unbefugter Einsatz von IPv6 auf vorhandenen IPv4 Produktionsnetzen setzt
Verwundbarkeiten, die schwierig wahrzunehmen sein können, oder mitigate.
ich Organisationen ausIPv6 Unterstützung ist für die meisten
Betriebssysteme verfügbar. Die Befehle, IPv6 auf diesen Betriebssystemen
zu ermöglichen, sind leicht zugänglich und anwenderfreundlich. Als
Ergebnis kann IPv6 aktiviert standardmäßig sein.
· IPv6 beinhaltet das
Verwundbarkeiten, die inhärent in jedem neuen oder überarbeiteten
system. T sindDie Einbeziehung von IPsec in IPv6 fügt Mechanismen für
das Schützen der Vertraulichkeit und Integrität der Information hinzu.
Jedoch spricht IPv6 Angriffe an, die andere
Vermittlungsschichtkommunikation richten, wie schnüffeln verschiebt,
verschiebt, überflutend, bemannt in der Mitte Angriffe, Gaunergeräte
nicht, oder Adressresolutionsprotokoll- (ARP) Tabellenüberschuss greift
an. Manche dieser Angriffe werden teilweise in IPv6 behandelt, während
andere Angriffe, die in der Natur ähnlich sind, verschiedene Merkmale
ausnutzen.
· Organisationen können IPv6 einsetzen, außer fortzufahren, IPv4 für
Erbanwendungen, Dienste und Kunden zu unterstützen. Dies resultiert in
ein
zweifache Protokollumgebung und gesteigerte Komplexität . TDie
Verwendung von zwei Protokollen kann mehr Probleme verursachen und mehr
komplexe Konfigurationen erfordern, um neue Ausrüstung zu installieren
oder vorhandene Ausrüstung zu ändern. Angriffe gegen obere
Schichtprotokolle konnten eines verwenden, das das IPv4 oder die IPv6
stapeln, um den Kunden zu erreichen.
·
Es kann sein, dass mit IPv6 verbundene wahrgenommene Risiken bewirken,
dass eine Organisation Einsatz trotz der Tatsache verschiebt, dass IPv6
aktivierte Ausrüstung schon available. G istAllgemeine
Sicherheitskonzepte sind die Gleichen für den Einsatz von sowohl IPv4
als auch IPv6. Organisationen brauchen Zeit, um das
Betriebserfahrungsniveau und praktische Einsatzlösungen für IPv6 zu
erwerben, da sie für IPv4 über die Jahre entwickelt haben.
· viele Verkäufer, Lieferanten von Sicherheitsvorrichtungen
einschließend, warten auf Kundenanfrage vor dem Durchführen der
Unterstützung für IPv6, während Kunden sind
das Warten darauf, dass Verkäufer IPv6 vor Einkaufssoftware und systems.
S unterstützenEinige Verkäufer unterstützen IPv6 vollständig,
aber viel anbieten nur beschränkte Unterstützung. Die vielen Elemente,
die die Vernetzungsumgebung komponieren, können die Entwicklung von IPv6
Produkten verschieben.
NIST Empfehlungen für den sicheren Einsatz von IPv6
Die Wanderung in IPv6 Dienste ist notwendig, da das IPv4 Adressfeld fast
erschöpft ist. Dies bedeutet, dass Organisationen, die neue IP-Adressen
brauchen, nur IPv6 Adressen zugeteilt werden. Auf diese Art müssen
Organisationen, die schon ausreichende IPv4 Adressen haben, noch in der
Lage sein, mit Organisationen zu kommunizieren, die nur IPv6 Adressen
haben. Organisationen sollten beginnen, jetzt zu verstehen, dass sowohl
die Risiken, IPv6 einzusetzen, als auch die Strategien die Risiken
lindern mussten. Detaillierte Planung ermöglicht einer Organisation,
sich glatt und sicher zum Einsatz von IPv6 zu bewegen und Konnektivität
mit Internetbenutzern überall in der Welt zu behaupten.
Bundesagenturen stellen sich am wahrscheinlichsten
Sicherheitsherausforderungen überall in dem Einsatzprozess und schließen
ein:
· eine Angreifergemeinschaft, die als eine Organisation in den
Frühstadien des Einsatzes mehr Erfahrung und Trost mit IPv6 haben kann;
· Schwierigkeiten, unbekannte oder unbefugte IPv6 Vermögenswerte auf
vorhandener IPv4 Produktion wahrzunehmen, vernetzen;
· fügte Komplexität hinzu, als es IPv4 und IPv6 parallel bediente;
· Mangel an IPv6 Reife in Sicherheitsprodukten, wenn mit IPv4
Fähigkeiten verglichen; und
· Ausbreitung von wechselgesteuertem IPv6 (oder IPv4) gräbt einen
Tunnel, welches verkomplizieren Verteidigungen an Netzgrenzen selbst
wenn bevollmächtigt richtig, und welches kann völlig jene Verteidigungen
umgehen, wenn unbefugt, (z.B, host-gestützte von Endbenutzern initiierte
Tunnel).
Organisationen, die den Einsatz von IPv6 planen, sollten Folgendes
während des Planungsprozesses berücksichtigen:
· IPv6 ist ein neues Protokoll, das nicht zurück ist, - mit IPv4
kompatibel. Dies verlangt, dass Organisationen ihre
Netzwerkinfrastruktur und ihre Systeme wechseln, um IPv6 einzusetzen;
· in den meisten Fällen, IPv4 wird immer noch ein Bestandteil der
Informationstechnologieinfrastruktur sein. Sogar nach dem Einsatz von
IPv6 erfordern Organisationen Mechanismen für die Koexistenz von IPv6
und IPv4 Durchführungen;
· IPv6 kann so sicher wie IPv4 eingesetzt werden; Organisationen sollten
das erwarten Verwundbarkeiten innerhalb der sowohl Protokoll- als auch
Durchführungsfehler und Mangels der Betriebserfahrung, wird Führung zu
einer Anfangszunahme von IPv6 basierten Verwundbarkeiten? ; und
· IPv6 ist schon eingesetzt worden in großen Netzen und ist in ihnen
gegenwärtig in Betrieb global.
Um mögliche Hindernisse zu überwinden, die damit verbunden werden, IPv6
einzusetzen, sollten Organisationen die folgenden Empfehlungen
berücksichtigen:
· ermutigen Mitarbeiter, ihre Kenntnis von IPv6 auf eine mit ihrem
gegenwärtigen Verständnis von IPv4 vergleichbare Ebene zu erweitern;
· planen einen schrittweise durchgeführten IPv6 Einsatz, der Gebrauch
von entsprechenden Wechselmechanismen macht, um Geschäftsbedarf zu
unterstützen; setzen Sie keine mehr Wechselmechanismen als notwendig
ein; und
· Plan für eine lange Übergangszeit mit der Koexistenz von
Doppelsystemen, die sowohl IPv4 als auch IPv6 unterstützen.
Organisationen, die IPv6 noch nicht einsetzen, sollten die folgenden
Empfehlungen global durchführen:
· blockieren allen IPv6 Verkehr, Einheimischen und gruben einen Tunnel
an der Brandmauer der Organisation. Beide eingehend, und gehender
Verkehr sollte blockiert werden;
· machen alle IPv6 kompatiblen Häfen, Protokolle und Dienste auf aller
Software und Hardware unfähig;
· beginnen, Vertrautheit und Sachkenntnis mit IPv6 durch
Laborexperimentieren und/oder beschränkte Piloteinsätze zu erwerben; und
· machen Organisationsweb-Server, wenn sie sich Außenseite der über IPv6
Verbindungen zugänglichen organisatorischen Brandmauer befinden. Dies
ermöglicht nur IPv6 Benutzern, auf die Server zuzugreifen, und hilft der
Organisation dabei, Vertrautheit mit einigen Aspekten des IPv6 Einsatzes
zu erwerben.
Organisationen, die IPv6 einsetzen, sollten die folgenden Empfehlungen
durchführen, um IPv6 Drohungen zu lindern:
· wenden eine entsprechende Mischung von verschiedenen Arten von IPv6
Adressierung (Privatsphärenadressierung, einzigartiger lokaler
Adressierung, spärlichem Zuweisung, usw.) an, um Zugang und Kenntnis von
IPv6 angesprochenen Umgebungen einzugrenzen;
· Verwendung automatisierte Adressenverwaltungswerkzeuge, um manuellen
Eingang von IPv6 Adressen zu vermeiden, ein Prozess, der wegen der Länge
von IPv6 für Fehler anfällig ist, spricht an;
· entwickeln ein körniges ICMPv6 (Internetsteueranzeigeprotokoll für
IPv6), wenn sie Politik für das Unternehmen filtern. Stellen Sie sicher,
dass ICMPv6 Nachrichten, die IPv6 Operation wesentlich sind, erlaubt
sind, aber dass andere blockiert sind;
· verwenden IPsec, um Vertraulichkeit zu Vermögenswerten zu beglaubigen
und zu liefern, die an ein skalierbares Vertrauensmodell gebunden sein
können; zum Beispiel, Zugang zu Personalvermögenswerten durch interne
Angestellte gewähren, die die öffentliche Schlüsselinfrastruktur (PKI)
der Organisation benutzen, Vertrauen einzuführen ;
· identifizieren Fähigkeiten und Schwächen von Netzschutzgeräten in
einer IPv6 Umgebung;
· ermöglichen Kontrollen, die aufgrund einer niedrigeren Drohungsebene
nicht bei IPv4 während Anfangseinsatzes hätten verwendet werden können;
zum Beispiel führt Normalfall durch versagen Zugangskontrollpolitiken,
dass Routing-Protokoll-Sicherheit durchführen und andere ähnliche
Übungen ;
· Bezahlungsachtsamkeit zu den Sicherheitsaspekten von
Wechselmechanismen wie einen Tunnel grabender Protokolle;
· stellen sicher, dass IPv6 Koppler, Schachtelfilter, Brandmauern und
Tunnelendpunkte Sammelsendungsumfangsgrenzen durchsetzen, und
vergewissern sich, dass Sammelsendungszuhörerentdeckungs- (MLD)
Schachteln nicht unpassend wühlbar sind; und
· wissen, dass, von einer Umgebung umzuschalten, in der NAT eindeutigen
globalen IPv6 Adressen IP-Adressen liefert, eine Änderung in der
Definition von Systemgrenzen verursachen konnte, wie in der
Bundesinformation angegeben Sicherheitsmanagementgesetz (FISMA).
Zwecks weiterer Informationen
Information über das Internet, das Arbeitsgruppe, Aktivitäten und
Spezifikationen konstruiert, ist verfügbar von http://www.ietf.org/.
NIST Veröffentlichungen, die Information und Führung auf Planung und
durchführendem Netz und Informationssystemsicherheit liefern,
beinhalten:
Bundesinformationsverarbeitungsstandard (FIPS ) 199,
Normen für Sicherheitskategorisierung von Bundesinformation und
Informationssystemen
NIST spezielle Veröffentlichung (SP ) 500-287,
Ein Profil für IPv6 in der US-Regierung - dem US-Version 1,9
NIST SP 500-281,
USGv6 Testprogrammbenutzerhandbuch
NIST SP 500-273,
USGv6 Testverfahren: Rahmenbeschreibung und Bestätigung
NIST SP 800-54,
Grenztorprotokollsicherheit
***NIST SP 800-61, Rev. *** 1,
Rechnersicherheitsvorfallshandhabungsführer
***NIST SP 800-64, Rev. *** 2,
Sicherheitsüberlegungen im Systementwicklungslebenszyklus
NIST SP 800-77,
Leitfaden für IPsec VPNs
NIST SP 800-81,
Sicherer Domain Name System- (DNS) Einsatzführer
NIST SP 800-88,
Richtlinien für Medien Sanitization
Zwecks Informationen über diese NIST Standards und Richtlinien wie auch
andere sicherheitsbedingte Veröffentlichungen sehen Sie NISTs Webseite
http://csrc.nist.gov/publications/indexhtmll.
Information über NISTs Informationssicherheitsprogramme ist verfügbar
vom Rechnersicherheitsinformationszentrum http://csrc.nist.gov/.
Dementi
Jede Erwähnung von handelsüblichen Produkten oder jeder Verweis auf
kommerzielle Organisationen ist nur zwecks Information; es impliziert
keine Empfehlung oder Billigung durch NIST noch impliziert es, dass die
erwähnten Produkte sind, unbedingt am besten für den Zweck verfügbar.
Dieser Text wurde maschinell übersetzt