IPv6: 8 problemów bezpieczeństwa
Światowy Dzień IPv6 wydaje się dobrą okazją, by zwrócić uwagę na kilka kwestii związanych z bezpieczeństwem.
Sygnalizujemy 8 obszarów bezpieczeństwa ważnych w trakcie wdrażania IPv6. Oczywiście, nie wyczerpują one tematu, a co więcej, ponieważ jesteśmy wciąż na wczesnym etapie wprowadzania tego standardu, rozwiązania wielu z nich pojawią się jako tzw. najlepsze praktyki dopiero jak zaczniemy z niego korzystać.
Ruch między IPv6 i IPv4
Translacja pakietów między IPv4 i IPv6 może być podatna na zagrożenia. Ponieważ IPv4 i IPv6 nie są kompatybilne, niezbędne będzie tłumaczenie pakietów między tymi standardami, co z kolei będzie wymagało pośrednika między nimi. Można to sobie wyobrazić jako sortowanie tradycyjnej poczty, gdzie pracownik musi otworzyć każdą kopertę IPv4 i przełożyć list do koperty IPv6, by upewnić się, że trafi pod właściwy adres. Translacja adresów może zostać wykorzystana do ataku, szczególnie jeśli jej implementacja będzie słabej jakości. Ponadto, zamiast transmisji end-to-end będziemy mieli połączenie z pośrednikiem, który będzie musiał przechowywać stan transakcji i komplikował strukturę sieci.
Specjaliści ds. bezpieczeństwa sieci powinni zwrócić uwagę na aspekty bezpieczeństwa w zakresie wszystkich mechanizmów związanych z translacją czy przechodzeniem (w tym tunelowaniem), i uruchamiać je dopiero po starannych testach.
Duże podsieci
Duże segmenty sieci mają swoje dobre i złe strony. IPv6 wprowadza znacznie większe segmenty sieci niż znane nam dotychczas. Obecnie rekomendowana długość prefiksu dla podsieci IPv6 to /64, co daje ok. 18 trylionów hostów w segmencie. Otwiera to praktycznie nieograniczone możliwości rozbudowy LAN, ale rozmiar segmentu pozostaje też wyzwaniem. O ile przeskanowanie podsieci /24 na okoliczność zagrożeń zajmuje sekundy, o tyle przeskanowanie bloku adresów IPv6 /64 zajęłoby lata. Ponieważ kompleksowe skanowanie nie jest możliwe, lepszym podejściem wydaje się wykorzystywanie tylko pierwszych /118 (taka sama liczba hostów jak dla 22-bitowej maski na IPv4), by móc zawęzić liczbę adresów, które będą skanowane, bądź jawne alokowanie wszystkich adresów (i niejawne blokowanie wszystkich nieprzydzielonych). Staranne zarządzanie IP i monitorowanie będzie jeszcze ważniejsze niż obcecnie.
Ze strony napastników możemy spodziewać się pasywnej analizy DNS i innych technik rozpoznawania w miejsce tradycyjnego skanowania adresów.
Komentarze (1)
z pewnoscia stosowanie protez tuneli ipv6 do ipv4 bedzie kluczowym elementem ataku sieci jako miesc najbardziej slabych tak samo dotyczyc bedzie DNS''ow to dwa najbardziej kluczowe miejsca sieciowe ktore beda atakowane to samo bedzie dotyczylo protokolow sieciowych ktore beda redystrybulowaly tablice routingu tlumaczac z ipv4 na ipv6 i na odwrot poki ''protezy beda dzialaly ataki beda nieuniknione ... :(
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
- Microsoft Office 15 będzie obsługiwał standard ODF 1.2
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...