IPv6 na celowniku hakerów
- Józef Muszyński,
- IDG News Service,
- 30.11.2011, godz. 10:00
Przyjmując strategię odwlekania implementacji IPv6 tak długo, jak się da, nie można jednak uciec od problemów bezpieczeństwa IPv6. Planowanie wdrożenia IPv6 w konfiguracji podwójnego stosu z IPv4 nie uwalnia nas od zagrożeń związanych z nową wersją protokołu - nie wystarczy po prostu wyłączyć IPv6.
Polecamy: IPv6 w pytaniach i odpowiedziach
Zobacz również:
Bezstanowy automat konfiguracji pozwala dowolnemu urządzeniu IPv6 na komunikowanie się z innymi urządzeniami i usługami IPv6 w tej samej LAN. W tym celu urządzenie ogłasza swoją obecność w sieci i jest lokalizowane za pośrednictwem protokołu IPv6 NDP (Neighbor Discovery Protocol). Jednak NDP pozostawiony bez nadzoru może "wystawiać" urządzenie napastnikom zainteresowanym systematycznym zbieraniem informacji o tym, co dzieje się w sieci, czy nawet ułatwiać im przejęcie takiego urządzenia i przekształcenie go w "zombie".
Polecamy: IPv6: 8 problemów bezpieczeństwa
Zagrożenie jest realne - malware IPv6 mogą przybierać formy złośliwych ładunków zawartych w pakietach IPv4. Bez specyficznych środków bezpieczeństwa, takich jak np. głęboka inspekcja pakietów, ten typ ładunku może przechodzić niewykryty przez brzeg sieci IPv4 i strefę zdemilitaryzowaną (DMZ).
Dla radzenia sobie z zagrożeniami warstwy 2 IPv6 - takimi jak fałszywe ogłoszenia routera czy spoofing NDP, które są porównywane do zagrożeń IPv4 w rodzaju fałszywy DHCP czy spoofing ARP - IETF przygotowała rozszerzenie NDP, SEND (SEcure Neighbor Discovery). SEND jest już obsługiwany w niektórych systemach operacyjnych, ale są jeszcze takie (np. Windows), które jeszcze nie obsługują tego rozszerzenia. IETF i Cisco są na etapie procesu implementacji takich samych mechanizmów zabezpieczeń dla IPv6, jakie są teraz używane do ochrony IPv4. IETF powołało grupę roboczą SAVI (Source Address Validation), a Cisco realizuje od roku 2010 trzyetapowy plan uaktualniania swojego IOS z terminem zakończenia w roku przyszłym.
Polecamy: Budujemy własne laboratorium IPv6
Niektóre z zagrożeń bezpieczeństwa związanych z IPv6 powstają przypadkowo, przez niewłaściwą konfigurację urządzeń końcowych. Wiele z nich można wyeliminować przez poprawną konfigurację i środki bezpieczeństwa na poziomie IPv6. Prawidłowe podejście to tych problemów to wdrożenie IPv6 w trybie natywnym i ochrona ruchu IPv6 podobnie jak robimy to dla ruchu IPv4.
Specjaliści są też zdania, że próba wyłączenia IPv6 to strategia pogarszająca bezpieczeństwo - obecne w sieci urządzenia z obsługą IPv6 i tak będą ujawniać swą obecność niezależnie od tego czy IT tego chce, czy nie. Co więcej, zdaniem Microsoft, wyłączenie IPv6 w Windows 2008 jest "niewspieraną konfiguracją tego systemu".