Trzeba ochronić serwery

Jednym z ważnych problemów jest bezpieczeństwo serwerów. Jeszcze w ubiegłym roku nie było na rynku żadnego urządzenia IPS, które potrafiłoby chronić serwery pracujące z protokołem IPv6 tak samo skutecznie jak przy IPv4. Obecnie są już takie produkty na rynku, ale nie każdy z IPS-ów obsługuje inspekcję ruchu oraz ochronę serwerów przy połączeniu IPv6. Systemy IPS działające z użyciem sygnatur, mogą mieć problemy z rozpoznawaniem niektórych ataków, jeśli intruz skorzysta z IPv6. Ponadto można się spodziewać ataków kierowanych przeciw infrastrukturze obsługującej jednocześnie IPv4 oraz IPv6, szczególnie dotyczy to mechanizmów uwierzytelnienia do serwerów webowych, a także ochrony przed wykorzystaniem najpopularniejszych obecnie błędów aplikacji i systemów. Ponieważ protokół IPv6 jest mało rozpowszechniony, słabo zbadane są także podatności serwerów oraz innej infrastruktury z nim pracującej.

Tunelowanie też przynosi problemy

Ponieważ niezbędne będzie współistnienie światów IPv4 oraz IPv6, opracowywane są techniki tunelowania połączeń. Chociaż jest to sprawna metoda umożliwiająca szybkie przejście na IPv6 w niektórych przypadkach, niestety, obecnie trudno dokonywać inspekcji ruchu IPv6 wewnątrz takich tuneli. Jest to problem dla operatorów telekomunikacyjnych, gdyż infrastruktura IPv6 jest narażona na te same ataki co przy protokole IPv4 (odmowa obsługi, błędy aplikacji oraz systemów operacyjnych), ale ochrona przed nimi jest trudniejsza.

IPv6 omija niektóre zapory i routery

Wiele routerów przeznaczonych dla końcowego użytkownika przenosi ruch IPv6 bez żadnej ingerencji, zatem w systemach, które posiadają IPv6 włączony domyślnie (na przykład Windows 7 lub niektóre dystrybucje Linuksa), stacje robocze mogą otrzymać jednocześnie IPv6 z puli publicznej oraz IPv4 z prywatnej. Ponieważ routing jest włączony, z zewnątrz można się do takiego komputera dostać, korzystając z IPv6, podczas gdy użytkownik jest przekonany o zablokowaniu dostępu, gdyż znajduje się za zaporą IPv4 i posiada adres IPv4 z puli prywatnej.

Analiza ruchu IPv6 pokazuje ponad wszelką wątpliwość istnienie takich ataków, przy czym bardzo wiele starszych routerów jest zupełnie przezroczystych dla nowego protokołu. Jest to poważny problem dla małych i średnich firm, które nie posiadają odpowiedniego sprzętu, który mógłby ochronić sieć lokalną. Należy w takim przypadku zablokować obsługę IPv6 na wszystkich maszynach w LAN, do czasu wdrożenia zapory, która potrafi filtrować połączenia w tym protokole.