仅IPv6将无法保护IOT,WARNS GE CISO
Internet协议版本6(IPv6)单独不会使Internet internicals(IoT)Communications Secure,Warns Hanns Proenen(Ciso)警告Hanns Proenen(Ciso)在GE Europe。
虽然IPv6也被称为Internet协议下一代(IPNG),但通过使每个设备在互联网上拥有自己的地址,这是IPv6比IPv4更安全的神话是至关重要的,但他告诉计算机每周。
“事实上,IPv6介绍了需要认可和理解的新风险,特别是那些与可用性和保密有关的风险,”Penenen说。
他说,常见的误解是IPv6自动应用内置IPv6的Internet安全协议(IPSec),与IPv4不同。
但是,现实是,虽然符合IPv6实现必须支持IPSec,但IPv6不需要或保证使用IPSec。
“拥有IPSec内置IPv6只是意味着IPSec是一个选项,但这并不意味着它是为所有IPv6流量而启用的,”Perenen说。
虽然他建议使用IPv6,但应该启用IPsec,他指出,IPSec可能仍然与IPv4一起使用,实际上提供了IPv6的安全机制。
为IPv4引入了网络地址转换(NAT)以减少组织所需的IP地址数,但它也有助于提高安全性,因为并非每个IP地址都直接曝光到Internet。
“因为当您使用所有IPv6时,NAT消失,我的建议是使用IPv4和IPv6的混合,仅使用IPv6,只使用您真正拥有并留下其余的IPv4,”Perenen说。
在IOT的上下文中,这意味着仅使用IPv6了解需要通过Internet可访问的设备。“仅需要在组织内部的其余部分使用IPv4,这意味着它们有效地隐藏在互联网上因此,从外面攻击较少,“Penenen说。
如果需要使用IPv6将设备暴露在Internet上,他建议使用IPsec,但是仅添加了IPsec,也不会使IOT设备安全。
他说,有两个脆弱性的主要领域不存在于IPv4中。首先是通过流氓路由器易受攻击的网络广告攻击者拦截IPv6流量,这可能会影响机密性和可用性。
“虽然加密很好,但对于确保机密性很好,但它不会涵盖元数据,这将为攻击者提供有关联系的有用信息,”Perenen说。
第二种漏洞是IPv6使安全专业人员可以更加困难,以观察组织的网络。
“因为有这么多的IPv6 IP地址,几乎不可能进行网络扫描以找到流氓设备,这使得IPv6网络更加苛刻,”Penenen说。
随着时间的推移,他说的机制将变得可用,使其更容易监控和安全IPv6网络。与此同时,组织需要识别安全风险。
Proenen表示,在一年前,当IoT风险没有被广泛了解时,已经有了一年一度的进展。IOT平台的主要供应商现在认识到安全是不可或缺的。
“如Microsoft,Amazon,Bosch和Ge等玩家了解IoT如果没有解决安全问题,并且新兴平台具有相当复杂的安全机制,特别是对设备的认证和数据的完整性,”他说。
然而,所有这些都将越来越多地是IPv6,所以这对所有人的所有用户都很重要,以了解他们正在进入的内容并了解风险和神话。
“他们应该彻底研究它,并确保他们完全了解IPv6,风险以及如何解决它们,而不是相信它信任炒作和神话并陷入困境,”他说。
200-13年5月10日至13日,Proenen将在慕尼黑欧洲身份和云大会上更详细地讨论IPv6在IoT背景下的福利和风险。