
Yes, definitely, but although we've added a second attack vector, it's also important to note that its inherent differences will change the attack profile.<div><br></div><div>Geoff made a great presentation on Dark Traffic on V6 at AusNOG a few years ago on how the profile is changing: <a href="http://www.potaroo.net/ispcol/2010-07/dark6.html">http://www.potaroo.net/ispcol/2010-07/dark6.html</a></div>


<div><br></div><div>tl;dr version is that because of the increased space, it appears somewhat unfeasible to scan v6 address ranges the way that v4 gets swept.  It obviously doesn't mean that attack traffic won't exist, but it does mean it will be more directly targeted with vectors discovered rather than swept.  To a certain extent this means that we'll have a greater level of control over what parts of our infrastructure are more likely to be found, depending on what information we allow to be publically available.</div>


<div><br></div><div>For one thing, this makes a good case for keeping your internal DNS truly internal.</div><div><br></div><div>--<br>Christopher Pollock,<br>io Networks Pty Ltd.<div>e. <a href="mailto:chris@ionetworks.com.au" target="_blank">chris@ionetworks.com.au</a><br>


p. 1300 1 2 4 8 16</div><div>d. 07 3188 7588</div><div>m. 0410 747 765</div><div>skype: christopherpollock</div><div><div><a href="http://www.ionetworks.com.au" target="_blank">http://www.ionetworks.com.au</a><br>In-house, Outsourced.</div>


</div><br>

<br><br><div class="gmail_quote">On Thu, Mar 15, 2012 at 12:22 PM, Eric Pinkerton <span dir="ltr"><<a href="mailto:Eric.Pinkerton@stratsec.net">Eric.Pinkerton@stratsec.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div class="im">>I can't see why you wouldn't turn it on now if you had the option.<br>

<br>

</div>One of the things that I haven't seen much discussed about is that in turning on dual stack you are obviously increasing your attack surface.<br>

<br>

Bad people* have been playing with IPV6 for quite some time, thanks to anonymity provided by tunnelling, and of course because many of the current defensive measures are behind the curve here.  Also you can draw your own conclusions about the efficacy of current LI solutions where IPV6 is concerned.<br>


<br>

There are number exploits specifically targeting weaknesses within IPV6 and ICMP6 protocols, and research has put pay to earlier misguided perceptions that IPV6 is inherently more secure that its predecessor.  Add to this  an increase in the opportunity for configuration mistakes and you start to appreciate why many organisations are in  'wait and see what everyone else does' mode.<br>


<br>

<br>

Regards<br>

<br>

<br>

<br>

Eric Pinkerton<br>

Principal Consultant<br>

<br>

<a href="http://STRATSEC.NET" target="_blank">STRATSEC.NET</a> PTY LTD<br>

<br>

* <a href="http://www.internetsecuritydb.com/2011/07/australian-feds-unmask-evil.html" target="_blank">http://www.internetsecuritydb.com/2011/07/australian-feds-unmask-evil.html</a><br>

<span class="HOEnZb"><font color="#888888"><br>

<br>

--<br>

Message  protected by MailGuard: e-mail anti-virus, anti-spam and content filtering.<a href="http://www.mailguard.com.au/mg" target="_blank">http://www.mailguard.com.au/mg</a><br>

</font></span><div class="HOEnZb"><div class="h5"><br>

_______________________________________________<br>

AusNOG mailing list<br>

<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>

<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>

</div></div></blockquote></div><br></div>