blackgemi.com

Internet Protocol Version 6 (IPv6) tidak meningkatkan keamanan untuk web pada skala perusahaan, tetapi dengan mengerti isu-isu keamanan jaringan IPv6 bisa membantu anda untuk melindungi jaringan korporat melawan ancaman tersembunyi IPv6 ketika anda bertransisi dari IPv4. Berikut ini adalah jawaban pertanyaan dari Scott Hogg dan Eric Vyncke pengarang buku “IPv6 Security: Protection measures for the next Internet Protocol” tentang implikasi-implikasi keamanan IPv6.

Akankah IPv6 meningkatkan keamanan Web pada skala perusahaan? Bagimana dengan pelanggan-pelanggannya?

Scott Hogg : IPv6 tidak akan mengganti aplikasi-aplikasi yang berjalan diatas layer transport. Ancaman-ancaman yang ada sekarang untuk aplikasi-aplikasi IPv4 akan terus ada untuk aplikasi-aplikasi IPv6. Misalnya, jika anda mengunakan Web server dual-protocol yang rentan terhadap serangan-serangan cross-site-scripting, maka Web server dual-protocol juga akan rentan terhadap serangan tersebut ketika menggunakan IPv6 sebagai layer 3 protokol. Pelanggan - pelanggan komputer yang menggunakan dual-stack juga tidak akan terpengaruh oleh IPv6. Tetapi, jika perusahaan atau pelanggan mengunakan firewall yang tidak memfilter paket-paket IPv6, maka mereka pada dasarnya beroperasi secara terbuka. Selain itu, komputer-komputer akan menciptakan tunnel-tunnel ke internet IPv6 tanpa sepengetahuan user, dan tunnel-tunnel itu akan mem-bypass semua proteksi keamanan IPv4 yang ada.     

Eric Vyncke : Generasi selanjutnya untuk Internet protocol, IPv6 memberikan alokasi alamat yang lebih banyak, tetapi IPv6 tidak memberikan peningkatan untuk keamanan Web. Alasan utama adalah keamanan web berkaitan dengan keamanan aplikasi (serangan-serangan seperti SQL injection, cross-site scripting dll) dan keamanan aplikasi independen terhadap layer network dimana IPv6 digunakan.

Bagaimana perbandingan keamanan antara IPv6 dan IPv4?

Hogg : Terdapat beberapa kesamaan antara keamanan IPv4 dan IPv6 berkaitan dengan serangan-serangan pada LAN (ARP, neighbor discovery, DHCP, DHCPv6), serangan-serangan fragmentasi, serangan-serangan Denial of Service (DoS), dll. IPv6 mempunyai beberapa celah keamanan karena struktur headermya dan penggunaan ICMPv6. Proses pem-filteran untuk alamat yang belum teralokasi pada IPv6 lebih mudah daripada IPv4 karena alokasi alamat IPv4 sangat terfragmentasi. IPv6 memberikan keuntungan yang berkaitan dengan bagaimana IPSec lebih mudah untuk diimplementasikan dengan AH dan ESP karena NAT tidak berguna pada IPv6. IPv6 dan Mobile IPv6 menyediakan kesempatan dan tantangan baru untuk mengamankan komunikasi mobile. Selain itu, mekanisme transisi ke IPv6 juga akan menjadi target dari serangan-serangan.   

Vyncke : Jika kita membandingkan IPv4 dan IPv6 pada layer network LAN atau internet, sebagian besar hampir sama.

Jumlah alamat IPv6 yang besar tidak memungkinkan proses scan jaringan memeriksa semua alamat, tetapi para hacker bisa dengan mudah beradaptasi dengan bergantung pada DNS atau sumber informasi lainnya untuk menemukan korban yang potensial. Sehingga hal ini bukan merupakan keuntungan keamanan.

Standar-standar mengharuskan komputer-komputer IPv6 mengimplementasikan IPsec (kerahasiaan dan autentifikasi dengan bantuan kriptografi), tetapi banyak komputer tidak menggunakan IPsec. Selain itu penggunakan IPsec secara umum akan membuat pekerjaan departemen infosec menjadi lebih sulit karena mereka tidak menggunakan firewall (firewall tidak berguna untuk trafik yang terenkripsi).

Berhubungan dengan keamanan Layer 2 (Ethernet) , pada IPv4 telah diketahui terdapat isu tentang ARP yang bisa meracuni trafik-trafik tidak langsung yang tidak baik. Isu-isu yang sama juga terdapat pada IPv6 dan hanya terdapat pergantian nama dari ARP menjadi NDP (Neighbour Discovery Protocol). Efek NDP lebih besar dari ARP. Teknik mitigasi yang sama juga bisa digunakan. Selain itu, SEcure Neighbour Discovery (SEND) bahkan menerapkan kriptografi untuk mengamankan NDP tetapi hal ini belum diimplementasikan di Microsoft Windows atau Mac OS/X

Jadi pada dasarnya IPv4 dan IPv6 sama untuk masalah kemanan. Isu yang real adalah kebanyakan arsitek dan staf jaringan dan keamanan tidak peduli terhadap IPv6 dan mereka biasanya kurang ahli untuk protokol baru ini. Hal ini adalah bahaya yang nyata untuk beberapa bulan sampai semua sudah di-training dan berpengalaman.

Apakah ada celah keamanan pada IPv6? Jika ada, bagaimana seseorang bisa membuat revisi pada IPv6 untuk meningkatkan keamanan jaringan?

Hogg : Terdapat beberapa celah keamanan ketika penanganan header (extension/option header) IPv6. Selain itu juga terdapat celah keamanan pada Neighbour Discovery Protocol (NDP). Tidak ada cara untuk merevisi protokol IPv6, tetapi anda bisa mem-filter message yang diijinkan pada jaringan secara selektif. Message bisa di-filter pada perimeter dan interior jaringan untuk mencegah jenis serangan ini.

Vyncke : Karena IPv6 adalah evolusi dari IPv4, terdapat sedikit perbedaan dan tidak terdapat celah keamanan yang cukup besar pada protokol IPv6. Tentu saja terdapat beberapa celah kemanan pada implementasi  oleh kebanyakan vendor tetapi sebagian besar sudah bisa diperbaiki sekarang.

IETF (standarisasi untuk internet) telah menstandarisasi dua evolusi kecil IPv6 yaitu :

• SEcure Neighbour Discovery, yang menggunakan kriptografi untuk mengamankan proses penemuan mapping dinamis IPv6 yang dialamatkan ke Ethernet MAC address.
• Pengurangan header routing tipe 0 yang bisa menyebabkan serangan Denial of Service (DoS).

Jika pemerintah telah bermigrasi ke IPv6, bagaimana hal ini berdampak pada perusahaan?

Hogg : Pemerintah Amerika telah melakukan langkah awal untuk bermigrasi ke IPv6, tetapi mereka belum bermigrasi sepenuhnya. Banyak organisasi pemerintah telah bermigasi ke IPv6, tetapi mereka kemudian menonaktifkan link IPv6 karena takut akan celah keamanannya.  Mereka tidak sepenuhnya menggunakan IPv6 dan mempunyai catatan DNS dual-ptotocol lengkap atau konten aplikasi. Tetapi, buku ini akan menunjukkan bagaimana mereka bisa menerapkan IPv6 dengan level keamanan yang memadai untuk mengurangi resiko. Mereka seharusnya tidak takut pada IPv6 dan celah keamanan yang tidak diketahui. Mereka bisa yakin dalam penerapan kemampuan dual-stack menggunakan teknik yang ada di buku ini.

Vyncke : Selama perusahaan tidak berhubungan dengan pemerintah, mereka juga tidak akan kena dampaknya.  

Apakah dengan menjalankan IPv4 dan IPv6 secara bersamaan akan meyebabkan isu-isu keamanan?

Hogg : Iya — karena anda menjalankan dua protokol, organisasi anda akan rentan dengan gabungan isu-isu keamanan kedua protokol tersebut. Terdapat juga sejumlah serangan yang menyebabkan satu protokol bisa melawan protokol yang lain. Sehingga, akan selalu direkomendasikan untuk meminimalisasi waktu yang dikeluarkan organisasi anda untuk menggunakan dual-protocol. Tujuannya bukan untuk menuju ke dual-stack tetapi hanya menuju ke IPv6.

Vyncke : Menggunakan dual-stack tidak menyebabkan isu keamanan didalamnya tetapi user seharusnya peduli bahwa komputer sekarang akan menghadapi serangan IPv4 dan IPv6. Hal ini bukan berarti komputer akan menghadapi serangan dua kali lebih sering dari sebelumnya. User harus mengamankan komputer untuk IPv4 dan IPv6 dengan bantuan firewall (Microsoft Windows) dan produk keamanan lainnya.

Apakah isu pemilihan alamat yang diasosiasikan dengan IPv6 dan bagaimana mereka mengancam keamanan jaringan?

Hogg : Host IPv6 menggunakan beberapa aturan pemilihan alamat default karena satu komputer bisa mempunyai beberapa alamat IPv6 pada interface jaringannya. Aturan-aturan ini mengatur alamat mana yang digunakan. Jika aturan pemilihan alamat dimodifikasi, maka akan menyebabkan konsekuensi yang tidak terlihat. Hal ini bisa merupakan cara penyerang untuk menciptakan orang di tengah-tengah situasi atau DoS a host. Sehingga, hal ini sangat penting untuk meyakinkan bahwa aturan-aturan pemilihan alamat sama dengan aturan-aturan default.

Karena IPv6 tidak kompatibel dengan produk-produk eksisting, Produk apa dan mekanisme apa yang harus di-upgrade atau diimplementasikan untuk menjaga jaringan IPv6 tetap aman? Apakah ada perbedaan dengan jaringan IPv4?

Hogg : Anda harus memastikan bahwa Anda menggunakan mekanisme perlindungan keamanan yang sesuai dengan mekanisme pada IPv6. Anda seharusnya menggunakan firewall yang  menerapkan policy yang sama untuk paket-paket IPv6 seperti yang anda konfigurasikan untuk IPv4. Firewall seharusnya bisa memproses secara pintar header IPv6 yang berbeda. Anda juga harus punya sensor IPS yang bisa mendeteksi serangan pada paket-paket IPv4 dan IPv6. Sehingga  Anda  membutuhkan beberapa upgrade yang berkaitan dengan software atau hardware, bergantung pada kemampuan vendor IPv6 Anda.

Vyncke : Tidak terdapat perbedaan yang nyata antara IPv4 dan IPv6 berkaitan dengan keamanan. Sehingga, peralatan yang sama bisa digunakan untuk mengamankan IPv4 dan IPv6. Hal ini termasuk firewall, Intrusion Prevention Systems (IPS),  analisis perilaku yang tidak normal (abnormal behaviour analysis), telemetri jaringan dan tentu saja produk-produk aplikasi kemanan seperti anti-spam dan antivirus yang bisa menginspeksi e-mail dan trafik web pada jaringan.

Anda direkomendasikan untuk mempunyai peralatan dan server yang sama untuk menjalankan perlindungan IPv4 dan IPv6 sehingga bisa memudahkan manajemen, mengurangi biaya operasi dan meyakinkan bahwa policy keamanan sama untuk IPv4 dan IPv6. 

Apakah ada kemungkinan bahwa IPv6 bisa dimodifikasi sehingga bisa kompatibel dengan IPv4?

Hogg : Hal itu tidak mungkin. IPv6 adalah protokol yang terpisah sepenuhnya dengan IPv4. Mereka bisa berjalan pda link jaringan yang sama dan waktu yang sama, tetapi mereka bersifat saling “mutually exclusive” satu sama lain seperti kapal-kapal di malam hari. Menjalankan IPv4 dan IPv6 pada jaringan yang sama dengan situasi dulu ketika kami menjalankan IPX dengan AppleTalk pada jaringan yang sama. Mereka bisa berjalan berdampingan tapi mereka bukan protokol yang saling interoperable.

Vyncke : IPv6 tidak akan dimodifikasi untuk membuatnya kompatibel dengan IPv4. Tetapi IETF telah mengajukan beberapa mekanisme transisi untuk memfasilitasi proses migrasi dari hanya IPv4 ke dual-stack dan akhirnya ke jaringan IPv6 sepenuhnya. IETF sedang bekerja dengan mekanisme transisi lainnya sebelum deadline tahun 2011. Tujuannya adalah transisi ke IPv6 sepenuhnya yang transparan untuk pelanggan sekarang maupun pelanggan di masa yang akan datang.  

Apakah tool dan produk-produk yang bisa digunakan untuk me-monitor dan mengidentifikasi kelemahan pada jaringan IPv6?

Hogg : Anda bisa menggunakan scanner celah keamanan pada host IPv6 sama dengan yang anda gunakan pada host IPv4. Perbedaan hanya pada penggunaan  ping-sweeps yang tidak praktis jika diterapkan pada jaringan IPv6 karena alokasi alamat terlalu besar. Namun, ketika Anda menemukan alamat host IPv6, akan lebih mudah untuk melakukan port-scan pada host tersebut yang menggunakan IPv6 atau IPv4. Kebanyakan tool IPv4 yang terkenal bisa digunakan pada IPv6.

Vyncke : Anda bisa menggunakan tool-tool untuk me-monitor jaringan IPv6 sama dengan yang Anda gunakan pada jaringan IPv4. Tool-tool tersebut mungkin perlu untuk di-upgrade ke revisi yang sekarang untuk mendukng IPv6. Tool-tool ini mencakup Intrusion Prevention Systems (IPS) dan jaringan telemetri seperti NetFlow.

Apakah tool-tool ini bisa mengatasi isu-isu keamanan? Dan jika tidak produk-produk yang mana bisa membantu untuk memperbaiki masalah keamanan?

Hogg : Umumnya, tool-tool ini hanya mengidentifikasi bahwa Anda mempunyai isu, mereka tidak membantu Anda untuk mengatasinya secara otomatis. Proses penanganannya biasanya merupakan proses manual  yang dilakukan oleh sistem atau administrator jaringan.

Vyncke : Versi upgrade dari tool-tool keamanan yang ada sekarang cukup untuk mengatasi semua serangan-serangan ke jaringan IPv6. Penggunaan kembali tool-tool yang sama memberikan keuntungan tambahan seperti  keuntungan financial (sedikit training) dan keuntungan keamanan karena operator tahu bagaimana menggunakan tool-tool itu. 

Translated from :  www.SearchNetworking.com

Originally posted 2009-02-24 03:53:07. Republished by Old Post Promoter

• Generating Topic Ideas Consistently: 3 Step Process Do you struggle to come up with new and interesting topics to write about for your blog? If so, I have a process for coming up with new ideas consistently that you can adapt and use for yourself. If you do, you’ll never have to sweat it out again, promise.......
• 5 Reasons to Throw Away Your 401K I've been doing a lot of thinking about 401K's lately. Almost every financial professional screams from the top of his/her lungs that it's a great deal. If your company offers matching funds it's probably a great idea to take advantage of that. If you are like me and your company......
• Money Management Software For The Desktop: YNAB 3 Review A sneak peek at YNAB 3. There are a lot of great budgeting software products in the market, many of them free. But a lot of the free financial tools are browser based, and while there are certainly a lot of people who are mighty fine with having their information......
• Cisco Certification - How to Build a CCNP Home Lab CCNP Lab SuggestionsOk, now that you are a CCNA, I don't have to explain to you why you need more than one router or each and every feature of the routers. So, let's get down to business. As you can guess, it all comes down to what your budget......
• Motorola CLIQ rooted: Can the hackers port Android 1.6 before Moto? It took awhile, but the guys from ModMyMoto were finally able to find an exploit and gain root access on the Motorola CLIQ. Android modder TheDude has posted the instructions so that any user can hack their phone. He goes on to say they are currently planning custom ROMs based......