10 советов по безопасному внедрению IPv6 от Stonesoft

10 советов по безопасному внедрению IPv6 от Stonesoft

Опираясь на свой обширный опыт крупномасштабных внедрений протокола IPv6, финская корпорация Stonesoft, активно помогает предприятиям и государственным учреждениям безопасным и экономически-эффективным путем перейти на протокол IPv6. Stonesoft делиться 10 идеями как помочь CISO и системным администраторам развеять мифы вокруг внедрения протокола IPv6 и расположить по приоритетам их инициативы в области безопасности.

«Многие думают, что большой разницы между обеспечением безопасности трафика по протоколу IPv6 и протоколу IPv4, нет. Это не так! Это заблуждение вызвано тем фактом, что организации не знают, что должно быть сделано и в каком порядке, а вендоры делают ложные заявления о том, что производимые ими продукты полностью соответствуют концепции IPv6-ready», - отмечает Juha Luoma, менеджер по продукту FW/VPN корпорации Stonesoft.

Опираясь на свой опыт крупномасштабных внедрений протокола IPv6, Stonesoft предлагает свои советы по безопасному внедрению IPv6:

  1. Максимально модернизируйте свою существующую сеть: модернизация сети IPv4 представляет собой замену всех устаревших узлов и неактуальных функций новыми. Начните с обновления всех узлов сети до следующего уровня и Вам будет легче и безопаснее внедрить IPv6, избежав множества трудностей и возможных проблем.
  2. Спланируйте последовательное внедрение: Возьмем к примеру, администрацию социального обеспечения (США), которая внедряла IPv6 в течение уже почти 5 лет. Окончательный переход планируется осуществить в три стадии в течение еще 6 лет. Вам не обязательно придерживаться такого же медленного темпа, как это происходит в правительственных учреждениях, но постепенное внедрение IPv6 даст вам достаточно времени, чтобы убедиться, что внедренный IPv6 слаженно функционирует вместе с Вашей существующей модернизированной на предыдущем этапе IPv4 инфраструктурой. К тому же, вы сможете контролировать бюджет.
  3. Параллельно используйте оба стека протоколов: При переходе на IPv6 выбирайте режим работы двойного стека протоклов - IPv4 и IPv6. Использование двойного стека протоколов выгодно, хотя при параллельной работе протоколов может потребоваться обновление маршрутизаторов для соответствия параметрам памяти и потребляемой мощности сети. К тому же, для большего упрощения перехода двойной стек позволяет Вашей системе поддерживать и те приложения, которые еще не работают с протоколом IPv6. Использование двойного стека также поможет исключить необходимость в сетевых туннелях, которые очень часто являются проблемой для специалистов по безопасности. 
  4. Позаботьтесь о сетевых туннелях: Национальный институт стандартов и технологий (NIST, США) в «Руководстве по безопасному внедрению IPv6» предлагает рассматривать туннели как внешние ссылки: с особой осторожностью. Прежде, чем позволить «войти» или «выйти» из системы, рекомендуется тщательно проинспектировать весь туннелированный IPv6 трафик, в том числе и IPv4 пакеты, с той же тщательностью и систематически, как Вы инспектируете весь свой трафик. Предлагается использовать обычные в таких случаях средства защиты от вирусов, системы обнаружения и предотвращения вторжений, фильтры входящего сетевого трафика, пакетные фильтры и прокси уровня приложений. Кроме того, для защиты конечных точек имеет смысл использовать такие дополнительные надежные меры безопасности, как аутентификация.
  5. Не упускайте из виду злоумышленников: Злоумышленникам уже удалось проникнуть в протокол IPv6, причем даже быстрее, чем в другие технологии. Не забывайте о предупреждениях безопасности маршрутизатора и атаках типа «man in the middle». Некоторые сетевые атаки позволяют глубоко проникнуть в систему быстрее, чем вы осознаете происходящее, что еще больше усугубит ущерб. Такие атаки могут происходить от скриптов, кажущаяся простота которых может ввести в заблуждение. Запоминание всех видов атак и соответствующее им противодействие не всегда представляется возможным. Важно быть готовым и помнить о том, что уже существует великое множество видов атак, и ожидается, что их станет еще больше!
  6. Используйте сертифицированные IPv6-ready межсетевые экраны: Относитесь с осторожностью к заявлениям вендоров о соответствии протоколу IPv6. Если продукт не прошел сертификацию третьими сторонами, то, вероятно, вендор может просто встроить «генератор трафика» в свой продукт и при этом утверждать, что это работает. Следует выбирать продукты, прошедшие сертификацию третьими сторонами. Только в этом случае используются общественно признанные методы оценки, которые помогут вам удостовериться в том, каковы реальные возможности вашего межсетевого экрана.
  7. Внедрите аутентификацию: аутентификация становится все важнее, и, к счастью, все доступнее, чем раньше. Компания Stonesoft рекомендует использование HTTP/HTTPS прокси для выхода пользователей в Интернет. Как только Вы установите необходимые параметры аутентификации, вы уменьшите количество угроз из нежелательных источников, пытающихся проникнуть в Вашу сеть без Вашего ведома и желания.
  8. Изучите синтаксис протокола IPv6. Синтаксис IPv6, с одной стороны, очень схож с синтаксисом протокола IPv4, но с существенными различиями в базе. Знание синтаксиса поможет Вам быстрее устранить слабые места в защите или внедрить необходимые меры безопасности. Ввиду того, что протокол IPv6 существует уже более десяти лет, нет недостатка в информации по этому вопросу, в том числе от нескольких известных технологических талмудов, например, как 188-страничное руководство от правительства США.
  9. Пользуйтесь кнопкой отключения. Это может звучать странно, но все не так однозначно – отключайте протокол IPv6, когда Вы его не используйте. Это обусловлено тем, что целый ряд программ был сконфигурирован для работы с IPv6, и еще большее число приложений может иметь встроенный протокол IPv6 по умолчанию. Проверьте дважды или трижды вашу сетевую среду, чтобы удостовериться, что функции протокола IPv6 активированы только тогда, когда они на самом деле используются. Своевременное использование кнопки отключения в общем случае может быть очень полезным.
  10. Своевременно нейтрализуйте: даже если в большей части сегментов Вашей сети отключена функция протокола IPv6, вы все еще можете подвергаться угрозе со стороны нежелательных пользователей IPv6. Если эта угроза станет реальностью, Вам нужно знать, как нейтрализовать ее прежде, чем будут поражены другие пользователи Вашей сети. Именно здесь жизненно важно применить знания синтаксиса IPv6, в особенности для конфигурации эффективных межсетевых экранов и сетевых фильтров. Вы можете создавать фильтры, разрешающие нужный вам трафик и блокирующие нежелательный, а также убедиться в том, что IPv6 функционирует должным образом именно тогда, когда это Вам необходимо.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru