Fox-IT國際博客最近發表了一篇關於如何透過IPv6損害IPv4網路的文章。攻擊者依靠Windows作業系統中預設的IPv6設定,使用其作為惡意DNS服務器將流量重定向到攻擊者指定的端點來欺騙回覆假的DNS回應。Windows代理自動發現(WPAD)功能還可以搭配使用Fox-IT開發的稱為mitm6的工具來轉送憑證並對網路中的各種服務進行身份驗證。
本文提出了一些重要的觀點,IPv4和IPv6在基本上是不相容的,需要了解的是除了通過轉換設備之外,它們不能互相通訊。在區域網路上運行的一些安全性的自動配置機制(包括IPv6和IPv4)存在一些問題(包括此一問題),但是這些問題需要直接存取有線或無線網路。在任何網路中,如果攻擊者獲得第2層協定的存取權限(並未做任何安全管控),則任何第3層協定都可能受到危害。
因此,關閉IPv6不應該是這個問題的推薦解決方案。在網路上部署,配置和保護IPv6是比較好的選擇,這也將確保主機能夠與IPv6通訊。通過部署DHCPv6服務器以及端口安全,RA和DHCPv6 guard等網路安全機制以及其他“first hop security”機制,可以最大限度地降低網路被攻擊的風險。
在沒有基本的網路安全防護的情況下,我們不能簡單地期望關掉一個IPv6協定就能解決問題,所以若能多加保護網路基礎設施將可以減輕很多威脅。
有關IPv6 Security的介紹,請參考完以下完整原文網頁:
https://www.internetsociety.org/blog/2018/01/can-ipv4-networks-compromised-via-ipv6/
