IPv6 na celowniku hakerów

Przyjmując strategię odwlekania implementacji IPv6 tak długo, jak się da, nie można jednak uciec od problemów bezpieczeństwa IPv6. Planowanie wdrożenia IPv6 w konfiguracji podwójnego stosu z IPv4 nie uwalnia nas od zagrożeń związanych z nową wersją protokołu - nie wystarczy po prostu wyłączyć IPv6.

Największe zagrożenie bezpieczeństwa związane jest z faktem, że wiele sieci w przedsiębiorstwach ma już mnóstwo urządzeń obsługujących IPv6. Są to przede wszystkim komputery, na których pracują Windows Vista i Windows 7, Mac OS/X, a także wszystkie urządzenia z Linux czy BSD. Ponadto w odróżnieniu od swojego poprzednika - DHCP dla IPv4 - IPv6 nie wymaga ręcznego konfigurowania. Wprowadzenie mechanizmu autokonfiguracji oznacza, że urządzenia obsługujące IPv6 tylko czekają na ogłoszenia jakiegoś routera (RA - router advertisement), aby ujawnić się w sieci. Routery i przełączniki obsługujące wyłącznie IPv4 nie rozpoznają i nie odpowiadają na ogłoszenia urządzeń IPv6, ale wrogie routery IPv6 mogą wysyłać i interpretować taki ruch.

Polecamy: IPv6 w pytaniach i odpowiedziach

Zobacz również:

  • Jaki wpływ na bezpieczeństwo ma rosnąca popularność protokołu IPv6
  • Użytkownicy tych routerów Cisco muszą się mieć na baczności

Bezstanowy automat konfiguracji pozwala dowolnemu urządzeniu IPv6 na komunikowanie się z innymi urządzeniami i usługami IPv6 w tej samej LAN. W tym celu urządzenie ogłasza swoją obecność w sieci i jest lokalizowane za pośrednictwem protokołu IPv6 NDP (Neighbor Discovery Protocol). Jednak NDP pozostawiony bez nadzoru może "wystawiać" urządzenie napastnikom zainteresowanym systematycznym zbieraniem informacji o tym, co dzieje się w sieci, czy nawet ułatwiać im przejęcie takiego urządzenia i przekształcenie go w "zombie".

Polecamy: IPv6: 8 problemów bezpieczeństwa

Zagrożenie jest realne - malware IPv6 mogą przybierać formy złośliwych ładunków zawartych w pakietach IPv4. Bez specyficznych środków bezpieczeństwa, takich jak np. głęboka inspekcja pakietów, ten typ ładunku może przechodzić niewykryty przez brzeg sieci IPv4 i strefę zdemilitaryzowaną (DMZ).

Dla radzenia sobie z zagrożeniami warstwy 2 IPv6 - takimi jak fałszywe ogłoszenia routera czy spoofing NDP, które są porównywane do zagrożeń IPv4 w rodzaju fałszywy DHCP czy spoofing ARP - IETF przygotowała rozszerzenie NDP, SEND (SEcure Neighbor Discovery). SEND jest już obsługiwany w niektórych systemach operacyjnych, ale są jeszcze takie (np. Windows), które jeszcze nie obsługują tego rozszerzenia. IETF i Cisco są na etapie procesu implementacji takich samych mechanizmów zabezpieczeń dla IPv6, jakie są teraz używane do ochrony IPv4. IETF powołało grupę roboczą SAVI (Source Address Validation), a Cisco realizuje od roku 2010 trzyetapowy plan uaktualniania swojego IOS z terminem zakończenia w roku przyszłym.

Polecamy: Budujemy własne laboratorium IPv6

Niektóre z zagrożeń bezpieczeństwa związanych z IPv6 powstają przypadkowo, przez niewłaściwą konfigurację urządzeń końcowych. Wiele z nich można wyeliminować przez poprawną konfigurację i środki bezpieczeństwa na poziomie IPv6. Prawidłowe podejście to tych problemów to wdrożenie IPv6 w trybie natywnym i ochrona ruchu IPv6 podobnie jak robimy to dla ruchu IPv4.

Specjaliści są też zdania, że próba wyłączenia IPv6 to strategia pogarszająca bezpieczeństwo - obecne w sieci urządzenia z obsługą IPv6 i tak będą ujawniać swą obecność niezależnie od tego czy IT tego chce, czy nie. Co więcej, zdaniem Microsoft, wyłączenie IPv6 w Windows 2008 jest "niewspieraną konfiguracją tego systemu".


TOP 200