IPv6 na celowniku hakerów
Przyjmując strategię odwlekania implementacji IPv6 tak długo, jak się da, nie można jednak uciec od problemów bezpieczeństwa IPv6. Planowanie wdrożenia IPv6 w konfiguracji podwójnego stosu z IPv4 nie uwalnia nas od zagrożeń związanych z nową wersją protokołu - nie wystarczy po prostu wyłączyć IPv6.
Polecamy: IPv6 w pytaniach i odpowiedziach
Bezstanowy automat konfiguracji pozwala dowolnemu urządzeniu IPv6 na komunikowanie się z innymi urządzeniami i usługami IPv6 w tej samej LAN. W tym celu urządzenie ogłasza swoją obecność w sieci i jest lokalizowane za pośrednictwem protokołu IPv6 NDP (Neighbor Discovery Protocol). Jednak NDP pozostawiony bez nadzoru może "wystawiać" urządzenie napastnikom zainteresowanym systematycznym zbieraniem informacji o tym, co dzieje się w sieci, czy nawet ułatwiać im przejęcie takiego urządzenia i przekształcenie go w "zombie".
Polecamy: IPv6: 8 problemów bezpieczeństwa
Zagrożenie jest realne - malware IPv6 mogą przybierać formy złośliwych ładunków zawartych w pakietach IPv4. Bez specyficznych środków bezpieczeństwa, takich jak np. głęboka inspekcja pakietów, ten typ ładunku może przechodzić niewykryty przez brzeg sieci IPv4 i strefę zdemilitaryzowaną (DMZ).
Dla radzenia sobie z zagrożeniami warstwy 2 IPv6 - takimi jak fałszywe ogłoszenia routera czy spoofing NDP, które są porównywane do zagrożeń IPv4 w rodzaju fałszywy DHCP czy spoofing ARP - IETF przygotowała rozszerzenie NDP, SEND (SEcure Neighbor Discovery). SEND jest już obsługiwany w niektórych systemach operacyjnych, ale są jeszcze takie (np. Windows), które jeszcze nie obsługują tego rozszerzenia. IETF i Cisco są na etapie procesu implementacji takich samych mechanizmów zabezpieczeń dla IPv6, jakie są teraz używane do ochrony IPv4. IETF powołało grupę roboczą SAVI (Source Address Validation), a Cisco realizuje od roku 2010 trzyetapowy plan uaktualniania swojego IOS z terminem zakończenia w roku przyszłym.
Polecamy: Budujemy własne laboratorium IPv6
Niektóre z zagrożeń bezpieczeństwa związanych z IPv6 powstają przypadkowo, przez niewłaściwą konfigurację urządzeń końcowych. Wiele z nich można wyeliminować przez poprawną konfigurację i środki bezpieczeństwa na poziomie IPv6. Prawidłowe podejście to tych problemów to wdrożenie IPv6 w trybie natywnym i ochrona ruchu IPv6 podobnie jak robimy to dla ruchu IPv4.
Specjaliści są też zdania, że próba wyłączenia IPv6 to strategia pogarszająca bezpieczeństwo - obecne w sieci urządzenia z obsługą IPv6 i tak będą ujawniać swą obecność niezależnie od tego czy IT tego chce, czy nie. Co więcej, zdaniem Microsoft, wyłączenie IPv6 w Windows 2008 jest "niewspieraną konfiguracją tego systemu".
Komentarze (3)
Czy naprawdę nikogo nie interesuje co stało się z IPv5?
@Tomee Przyjmie się, przyjmie. Za dużo graczy na tym zarobi, żeby pozwolić na porzucenie tej "jedynej alternatywy". Proponuję poszukać w sieci nowej architektury RINA. Są też prace nad IPv7, ale w laboratoriach. Pozdrawiam
IPv6 nigy się nie przyjmie. Jest bez sensu. Ani nie jest rozszerzeniem obecnego systemu, ani nie jest kompatybilny z nim, ani prosty i łatwy w codzienniej pracy administartora sieci lokalnej :) Pisał by rozszerzono ipv4 o dodatkowy bajt i zapewniono kompatybilność wsteczną, ale nikt nie nie słuchał, lub inna możliwość: rezygnacja z IPV4 z 8-bitowych części na rzecz np. 32-bitowych. I po sprawie. Administratorzy sieci i producenci - wszyscy szczęścliwi :)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
- Microsoft Office 15 będzie obsługiwał standard ODF 1.2
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...