24 de abril de 2024

NSA Publica Guia de Segurança para Organizações em Transição para IPv6

24 de janeiro de 2023

A NSA publica orientações para ajudar os administradores de sistema a identificar e mitigar os riscos cibernéticos associados à transição para o IPv6.

A Agência de Segurança Nacional (NSA) publicou orientações para ajudar o Departamento de Defesa (DoD) e outros administradores de sistema a identificar e mitigar os riscos cibernéticos associados à transição para o Protocolo de Internet versão 6 (IPv6).

Desenvolvido pela Internet Engineering Task Force (IETF), o IPv6 é a mais recente iteração do protocolo usado para identificar e localizar sistemas e rotear o tráfego pela Internet, oferecendo benefícios técnicos e melhorias de segurança em relação ao seu antecessor, o IPv4, incluindo uma espaço de endereçamento.

Espera-se que a transição para o IPv6, aponta a NSA, tenha o maior impacto na infraestrutura de rede, com todo o hardware e software de rede afetados de uma forma ou de outra, e também afetará a segurança cibernética.

“Os problemas de segurança do IPv6 são bastante semelhantes aos do IPv4. Ou seja, os métodos de segurança usados ​​com IPv4 normalmente devem ser aplicados ao IPv6 com as adaptações necessárias para lidar com as diferenças com o IPv6. Os problemas de segurança associados à implementação do IPv6 geralmente surgem em redes que são novas no IPv6 ou nas fases iniciais da transição para o IPv6”, diz a orientação de segurança do IPv6 da NSA (PDF).

De acordo com a NSA, espera-se que as redes novas para o IPv6 encontrem a falta de configuração madura e ferramentas de segurança de rede e a falta de experiência do administrador em IPv6.

Durante a transição para a versão mais recente do protocolo, espera-se que as redes federais e DoD operem pilha dupla, executando IPv4 e IPv6 simultaneamente, o que gera preocupações adicionais de segurança e aumenta a superfície de ataque.

“A arquitetura de rede e o conhecimento de quem configura e gerencia uma implementação IPv6 tem um grande impacto na segurança geral da rede. Como resultado, a postura de segurança real de uma implementação do IPv6 pode variar”, diz a NSA.

O uso da configuração automática de endereço sem estado (SLAAC), um método automático de atribuir endereços IPv6 a hosts, diz a NSA, levanta questões de privacidade porque as informações contidas no endereço atribuído podem ser usadas para identificar equipamentos de rede e indivíduos que os utilizam.

“A NSA recomenda atribuir endereços a hosts por meio de um servidor Dynamic Host Configuration Protocol versão 6 (DHCPv6) para mitigar o problema de privacidade do SLAAC. Como alternativa, esse problema também pode ser mitigado usando um ID de interface gerado aleatoriamente que muda com o tempo, dificultando a correlação de atividades e ainda permitindo a visibilidade necessária dos defensores da rede ”, observa a agência.

Além disso, a NSA recomenda evitar o uso de túneis para transportar pacotes, observando que o tunelamento aumenta a superfície de ataque. “Configurar dispositivos de segurança de perímetro para detectar e bloquear protocolos de tunelamento que são usados ​​como métodos de transição. Além disso, desative os protocolos de tunelamento em todos os dispositivos sempre que possível”, diz a agência.

Para redes dual-stack, a NSA recomenda a implantação de mecanismos de segurança cibernética IPv6 que correspondam aos implementados para IPv4, como regras de firewall, e o bloqueio de outros mecanismos de transição, como tunelamento e tradução.

Como vários endereços de rede são comumente atribuídos à mesma interface no IPv6, os administradores devem revisar as regras de filtragem ou as listas de controle de acesso (ACLs) para garantir que apenas o tráfego de endereços autorizados seja permitido e também devem registrar todo o tráfego e revisar os logs regularmente.

Para melhor proteger e melhorar a segurança do IPv6 em uma rede, a NSA também recomenda garantir que os administradores de rede recebam treinamento e educação adequados sobre redes IPv6.

“Embora existam razões convincentes para a transição do IPv4 para o IPv6, a segurança não é a principal motivação. Os riscos de segurança existem no IPv6 e serão encontrados, mas devem ser mitigados com uma combinação de orientação de configuração rigorosamente aplicada e treinamento para proprietários e administradores de sistema durante a transição”, observa a NSA.

Fonte: https://www.securityweek.com

Matérias Relacionadas

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Criminosos entregam malware por meio de cracks de videogame no YouTube

3 de abril de 2024

O aumento das táticas de malware impulsiona uma epidemia global de crimes cibernéticos

2 de abril de 2024

Veja mais..

Criminosos colocam a venda bilhões de mensagens privadas de usuários do Discord

24 de abril de 2024

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto

24 de abril de 2024

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

23 de abril de 2024

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024