Ochrona zgodna z tempem rozwoju
- 07.12.2010
Pula wolnych adresów IPv4 kończy się nieubłaganie. Czeka nas szybkie wdrożenie IPv6, by utrzymać tempo rozwoju Internetu. Czy nowy protokół poprawi bezpieczeństwo sieci?
Jeśli tempo wzrostu liczby urządzeń korzystających z IPv4 będzie zachowane, pule wolnych adresów IP skończą się w przyszłym roku. Chociaż protokół IPv6 jest zaimplementowany w najważniejszych systemach operacyjnych (w tym także w klienckich stacjach roboczych Windows), nadal nie zyskał dużej popularności. Oprócz problemów ze współistnieniem obu wersji, prowadzącym do rozdzielenia Internetu na dwie logiczne części, z ewentualnym połączeniem między nimi, specjaliści zwracają uwagę na problemy związane z bezpieczeństwem sieci po przejściu na IPv6.
Nowy protokół rozwiązuje zaledwie niektóre z problemów, oprócz praktycznie nieograniczonej puli adresów, wprowadza odpowiedni poziom poufności i integralności danych na poziomie warstwy sieciowej OSI dla komputerów, które korzystają z IPSec. Jest to istotny krok naprzód związany z bezpieczeństwem szyfrowanych połączeń. Ponadto w IPv6 istnieją dedykowane nagłówki - zapewniające mechanizmy uwierzytelnienia (AH - authentication header) oraz szyfrowania (ESP), pozwalający na użycie zdefiniowanych algorytmów szyfrowania i kluczy. Wsparcie dla kryptograficznej ochrony danych jest poważną zaletą nowego protokołu, niemniej jednak nadal nie wszystkie znane problemy zostały rozwiązane.
Jedną z ważnych zalet jest wielka pojemność przestrzeni adresowej, dzięki której skanowanie sieci w poszukiwaniu hostów z otwartymi portami praktycznie przestaje być skuteczne. Ataki polegające na losowaniu adresu IP i nawiązywaniu połączeń (a tak robi wiele robaków sieciowych, atakujących usługi systemów i aplikacji Microsoftu) będą miały bardzo niską skuteczność.
Zmora operatorów i dostawców treści
Przejście na IPv6 wiąże się z koniecznością obsługi obu protokołów, przy czym każdy nowy element w infrastrukturze sieciowej powoduje wzrost podatności na błędy.
Chociaż operatorzy hostingowi już deklarują gotowość do pracy w IPv6, niektóre problemy rozwiązano dopiero niedawno. Jednym z nich jest multihoming, który umożliwia uniezależnienie dostawcy treści od pojedynczego dostawcy łącza. Niestety, multihoming jeszcze nie został w pełni ustandaryzowany w IPv6, chociaż można już przydzielić przestrzeń adresową nieprzypisaną do pojedynczego dostawcy łącza i sieć może pracować podobnie do IPv4, obsługując równoważenie obciążenia między łączami od różnych dostawców oraz podtrzymanie sesji TCP i UDP przy zmianie drogi. Wzrost rozmiarów tablic routingu może w przyszłości powodować problemy z obsługą takich sieci przez routery, ponadto pozostaje problem filtrowania zgłoszeń routingu pochodzących od małych podsieci. Zatem wdrożenie IPv6 powoduje wzrost skomplikowania infrastruktury dostawców treści, przy czym wiele problemów związanych z routingiem IPv6 dopiero jest odkrywanych. Przyczyną jest między innymi niska popularność IPv6 w dużych wdrożeniach.