Dla znakomitej większości firm i użytkowników IPv6 jest czymś zupełnie nowym i niekoniecznie dobrze znanym. Jego wdrażanie wiązać się będzie z zupełnie nowymi problemami, w tym związanymi z bezpieczeństwem (np. wynikającymi z braku translacji adresów).

Sygnalizujemy 8 obszarów bezpieczeństwa ważnych w trakcie wdrażania IPv6. Oczywiście, nie wyczerpują one tematu, a co więcej, ponieważ jesteśmy wciąż na wczesnym etapie wprowadzania tego standardu, rozwiązania wielu z nich pojawią się jako tzw. najlepsze praktyki dopiero jak zaczniemy z niego korzystać.

Zobacz również:

• Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
• Cisco wzmacnia bezpieczeństwo dwóch platform sieciowych

Ruch między IPv6 i IPv4

Translacja pakietów między IPv4 i IPv6 może być podatna na zagrożenia. Ponieważ IPv4 i IPv6 nie są kompatybilne, niezbędne będzie tłumaczenie pakietów między tymi standardami, co z kolei będzie wymagało pośrednika między nimi. Można to sobie wyobrazić jako sortowanie tradycyjnej poczty, gdzie pracownik musi otworzyć każdą kopertę IPv4 i przełożyć list do koperty IPv6, by upewnić się, że trafi pod właściwy adres. Translacja adresów może zostać wykorzystana do ataku, szczególnie jeśli jej implementacja będzie słabej jakości. Ponadto, zamiast transmisji end-to-end będziemy mieli połączenie z pośrednikiem, który będzie musiał przechowywać stan transakcji i komplikował strukturę sieci.

Specjaliści ds. bezpieczeństwa sieci powinni zwrócić uwagę na aspekty bezpieczeństwa w zakresie wszystkich mechanizmów związanych z translacją czy przechodzeniem (w tym tunelowaniem), i uruchamiać je dopiero po starannych testach.

Duże podsieci

Duże segmenty sieci mają swoje dobre i złe strony. IPv6 wprowadza znacznie większe segmenty sieci niż znane nam dotychczas. Obecnie rekomendowana długość prefiksu dla podsieci IPv6 to /64, co daje ok. 18 trylionów hostów w segmencie. Otwiera to praktycznie nieograniczone możliwości rozbudowy LAN, ale rozmiar segmentu pozostaje też wyzwaniem. O ile przeskanowanie podsieci /24 na okoliczność zagrożeń zajmuje sekundy, o tyle przeskanowanie bloku adresów IPv6 /64 zajęłoby lata. Ponieważ kompleksowe skanowanie nie jest możliwe, lepszym podejściem wydaje się wykorzystywanie tylko pierwszych /118 (taka sama liczba hostów jak dla 22-bitowej maski na IPv4), by móc zawęzić liczbę adresów, które będą skanowane, bądź jawne alokowanie wszystkich adresów (i niejawne blokowanie wszystkich nieprzydzielonych). Staranne zarządzanie IP i monitorowanie będzie jeszcze ważniejsze niż obcecnie.

Ze strony napastników możemy spodziewać się pasywnej analizy DNS i innych technik rozpoznawania w miejsce tradycyjnego skanowania adresów.