Bezpieczeństwo IPv6 w teorii i praktyce

IPv6 to nie tylko nowa adresacja sieci IP. Upowszechnienie protokołu wpłynie na wiele aspektów bezpieczeństwa sieci, także tych mniej oczywistych, takich jak bezpieczeństwo aplikacji.

Przejście na może być poważnym wyzwaniem dla regulatorów krajowych i branżowych. Oprócz problemów związanych z przejściową obsługą dwóch adresacji pojawią się niezgodności wynikające z różnic technologicznych między IPv4 a IPv6. Różnica dotyczy nie tylko przestrzeni adresowej, ale także zestawu porad (dobrych praktyk) oraz regulacji prawnych, które obecnie są przystosowane do działania w środowisku IPv4. Na przykład standard PCI DSS (Payment Card Industry Data Security Standard) w punkcie 1.3.8 zakazuje "ujawniania prywatnych adresów IP" i jako jedną z zalecanych technik wymienia NAT (Network Address Translation), a także stosowanie prywatnej adresacji IP (RFC 1918), czyli dokładnie tych technik, które mają odejść do lamusa dzięki IPv6.

NAT do lamusa

Z punktu widzenia IPv6 translacja adresów (NAT) jest głównie protezą, która na prawie dwie dekady spowolniła wykorzystanie publicznych adresów IPv4. Jednak NAT tak bardzo wrósł w nawyki administratorów i powszechną praktykę projektowania sieci, że powrót do starego paradygmatu "wszystko na publicznych IP" może się w wielu przypadkach okazać bolesny. Administratorzy sieci będą musieli z powrotem przyswoić sobie filozofię, zgodnie z którą to zapora sieciowa jest narzędziem służącym do rozdzielania logicznych części sieci i zapewnienia kontroli dostępu do zasobów. Najprostsza metoda ochrony, polegająca na ukryciu za NAT, będzie musiała być zastąpiona przez dobrze skonfigurowane zapory sieciowe, świadome IPv6 i dostosowane do inspekcji ruchu w tej adresacji.

Zobacz również:

Zagrożenie dla sieci w domach i małych firmach

Niebagatelny wpływ na ostateczne bezpieczeństwo sieci IPv6 w przyszłości będzie też miała praktyka producentów popularnych urządzeń sieciowych dla segmentu domowego oraz małych i średnich przedsiębiorstw. W tej klasie urządzeń NAT był zawsze jednym z podstawowych "zabezpieczeń". Rzucenie na rynek dużej ilości routerów domowych oraz punktów dostępowych z obsługą IPv6 i bez domyślnego wycięcia ruchu przychodzącego do sieci "domowej" skończy się tym, czym upowszechnienie całodobowego dostępu do Internetu na publicznych adresach IP (kablówki, DSL) po roku 2000 - czyli gwałtownym wzrostem liczby robaków sieciowych i innych tego typu zagrożeń. To samo dotyczy także sieci ruchomych, które obecnie często pracują na prywatnej adresacji, w przyszłości przejdą na publiczne, osiągalne zewsząd adresy IPv6. Z drugiej jednak strony brak NAT będzie sporym ułatwieniem dla systemów analizujących ruch sieciowy czy osób zajmujących się informatyką śledczą - brak dodatkowego systemu tłumaczącego adresy po drodze oznacza mniej problemów z lokalizacją rzeczywistego źródła ataków.

Czy IPSec jest obowiązkowy?

Popularny mit wokół bezpieczeństwa IPv6 wiąże się z "obowiązkowym IPSec". IPsec istotnie jest obowiązkowy jako część implementacji IPv6, ale już nie jego używanie. Problem z powszechnym szyfrowaniem ruchu za pomocą IPSec jest dokładnie ten sam co z powszechnym szyfrowaniem SMTP za pomocą STARTTLS. Mimo że większość serwerów pocztowych obsługuje STARTTLS, to brak wspólnej, globalnej architektury uwierzytelnienia powoduje, że większość z nich korzysta z samodzielnie podpisanych certyfikatów X.509. W odpowiedzi na to wiele serwerów SMTP negocjuje TLS, ale z wyłączoną weryfikacją autentyczności certyfikatów - w przeciwnym razie z większością systemów by się nie dogadała, ze szkodą dla doręczalności poczty elektronicznej.

Trudno więc oczekiwać, że samo upowszechnienie IPv6 spowoduje automatycznie, że "oportunistyczne" połączenia IPSec (pomysł postulowany swego czasu przez autorów FreeS/WAN) stanie się powszechną praktyką. Z drugiej strony typowa dla IPv4 translacja adresów była jedną z największych przeszkód w popularyzacji IPSec w ciągu ostatnich dwóch dekad - protokół ten po prostu nie był projektowany pod kątem NAT, a jego architektura kryptograficzna była oparta na założeniu, że wszyscy rozmawiają ze sobą ze swoich "oryginalnych" adresów IP.

Dwa stosy, dwa światy

Jedno z największych praktycznych zagrożeń związanych z wdrożeniem IPv6 będzie z pewnością występować w sieciach, które z różnych powodów będą zmuszone do utrzymywania podwójnej adresacji IPv4 i IPv6 (dual stack). Prawidłowe zabezpieczenie takiej sieci wymaga dużej dyscypliny w projektowaniu kontroli dostępu i ciągłego pamiętania o tym, że każdy system tego typu jest faktycznie podłączony do dwóch sieci równocześnie. Do tego liczne technologie tunelowania (np. Teredo) oraz przejściowe (CG-NAT, DS-Lite, 6rd, 6to4) zwiększają możliwości wykorzystania błędów w konfiguracji i ominięcia kontroli dostępu.

Inny przydział adresów IP

Jednym z obszarów, w którym IPv6 mocno różni się od IPv4, są protokoły służące do przydzielania adresów IP w sieci lokalnej. Protokół ARP z IPv4 został zastąpiony przez Neighbour Discovery Protocol (NDP), obejmujący komunikaty Solicitation (RS) i Router Advertisement (RA) oraz wykrywanie istniejących adresów (DAD). Za pomocą NDP system może uzyskać adres podsieci oraz routera, ale protokół ten sam z siebie nie eliminuje znanych z IPv4 ataków polegających na fałszowaniu komunikatów rozgłoszeniowych (ARP spoofing). Istnieją już narzędzia do prowadzenia takich ataków (parasit6, fakerouter6). Rozwiązaniem problemu jest protokół Secure Neighbor Discovery (SEND), który jest oparty na kryptografii z kluczem publicznym, wymaga więc działającego systemu dystrybucji kluczy, a do tego nie jest obecnie zaimplementowany w produkcyjnych wersjach popularnych systemów operacyjnych.

Użycie NDP i mechanizmu autokonfiguracji (SLAAC) nie eliminuje potrzeby korzystania z protokołu DHCP, choć DHCPv6 różni się znacząco od swojego odpowiednika w IPv4. Ze względu na brak wbudowanych mechanizmów bezpieczeństwa dotykają go również potencjalne problemy z bezpieczeństwem (np. atak DoS z użyciem komunikatów SOLICIT), w związku z czym w nowo projektowanych sieciach IPv6 należy rozważyć użycie mechanizmów uwierzytelnienia przed dostępem do sieci oraz Network Access Control (NAC).

Czy obecne urządzenia będą działać?

Kolejnym kluczowym dla działania sieci elementem jest DNS, który ogólnie dość dobrze sobie radzi jako rozproszona baza danych mapująca nazwy serwerów na ich adresy IP. Większość popularnych serwerów DNS poprawnie obsługuje IPv6 zarówno w tym sensie, że umie się po tym protokole komunikować, jak i poprawnie przechowuje i przetwarza rekordy AAAA, zawierające adresy IPv6.

Liczne problemy występują natomiast po stronie aplikacji klienckich i urządzeń, zwłaszcza z niższej półki. Dotyczą one zarówno obsługi samego protokołu IPv6, jak i protokołów aplikacyjnych, takich jak obsługa rekordów AAAA w protokole DNS. Dlatego podczas wdrożenia IPv6 w organizacji należy zwrócić szczególną uwagę na aplikacje oraz wyspecjalizowane urządzenia, bo może nagle okazać się, że praktycznie "wszystko" będzie działać poprawnie, poza np. kluczową grupą urządzeń VoIP. W takim przypadku koszt wymiany urządzeń albo zapewnienia wstecznej kompatybilności za pomocą utrzymywanej tylko w tym celu sieci IPv4 może znacząco podnieść koszty operacji.

Teoria i praktyka

Powyżej zasygnalizowane są tylko główne aspekty bezpieczeństwa protokołu IPv6, których cechą wspólną jest to, że są przeanalizowane głównie w teorii, a niekoniecznie w praktyce dużych, produkcyjnych wdrożeń. Sporą część amerykańskich wytycznych dotyczących bezpieczeństwa wdrożeń IPv6 (NIST SP 800-119) zajmuje opis potencjalnych i niedokładnie przetestowanych jeszcze aspektów bezpieczeństwa IPv6. Ponieważ pod względem kompletności jest to jeden z najlepszych dostępnych tego typu syntetycznych opracowań tematu, jest to obowiązkowa lektura dla osób zajmujących się projektowaniem sieci IPv6. Obecnie wiele sieci IPv6 dopiero jest w trakcie budowy, zatem należy bardzo uważnie podejść do projektu i wdrożenia, gdyż niektórym problemom można zawczasu zapobiec.

Niepraktyczne skanowanie sieci

Ogromna przestrzeń adresowa IPv6 wpłynie na zmianę taktyki skanowania sieci, zarówno w dobrych, jak i złych celach. Obecnie skanowanie całych klas IP jest typową taktyką spamerów oraz robaków sieciowych poszukujących nowych ofiar i jest jak najbardziej wykonalne. W przypadku IPv6 typową podsiecią, jaką może otrzymać szeregowy użytkownik jednego z popularnych brokerów tuneli (np. SIXXS), jest podsieć 48 bitów, czyli większa od całej globalnej przestrzeni adresowej IPv4 (32 bity).

Na przykład w przypadku podsieci użytkownika końcowego 2001:6a0:165::/48 w tej samej podsieci można nadawać adresy od 2001:06a0:0165:0000:0000:0000:0000:0000 do 2001:06a0:0165:ffff:ffff:ffff:ffff:ffff. Umożliwia to adresowanie serwerów w sposób nieciągły tak, by ich skanowanie przez wyczerpujące przeszukiwanie całej przestrzeni adresów było pozbawione praktycznego sensu.

Z drugiej strony skanowanie podsieci jest techniką powszechnie wykorzystywaną do wykrywania urządzeń sieciowych podłączanych do sieci lokalnej bez upoważnienia administratora, na przykład biurowych punktów dostępowych WiFi. Rozwiązaniem w takim przypadku może być ograniczenie dostępnych zakresów adresów IP za pomocą podziału otrzymanej puli na podsieci o rozmiarach odpowiednich dla obsługiwanej liczby urządzeń.


TOP 200