Ochrona zgodna z tempem rozwoju

Pula wolnych adresów IPv4 kończy się nieubłaganie. Czeka nas szybkie wdrożenie IPv6, by utrzymać tempo rozwoju Internetu. Czy nowy protokół poprawi bezpieczeństwo sieci?

Jeśli tempo wzrostu liczby urządzeń korzystających z IPv4 będzie zachowane, pule wolnych adresów IP skończą się w przyszłym roku. Chociaż protokół IPv6 jest zaimplementowany w najważniejszych systemach operacyjnych (w tym także w klienckich stacjach roboczych Windows), nadal nie zyskał dużej popularności. Oprócz problemów ze współistnieniem obu wersji, prowadzącym do rozdzielenia Internetu na dwie logiczne części, z ewentualnym połączeniem między nimi, specjaliści zwracają uwagę na problemy związane z bezpieczeństwem sieci po przejściu na IPv6.

Nowy protokół rozwiązuje zaledwie niektóre z problemów, oprócz praktycznie nieograniczonej puli adresów, wprowadza odpowiedni poziom poufności i integralności danych na poziomie warstwy sieciowej OSI dla komputerów, które korzystają z IPSec. Jest to istotny krok naprzód związany z bezpieczeństwem szyfrowanych połączeń. Ponadto w IPv6 istnieją dedykowane nagłówki - zapewniające mechanizmy uwierzytelnienia (AH - authentication header) oraz szyfrowania (ESP), pozwalający na użycie zdefiniowanych algorytmów szyfrowania i kluczy. Wsparcie dla kryptograficznej ochrony danych jest poważną zaletą nowego protokołu, niemniej jednak nadal nie wszystkie znane problemy zostały rozwiązane.

Jedną z ważnych zalet jest wielka pojemność przestrzeni adresowej, dzięki której skanowanie sieci w poszukiwaniu hostów z otwartymi portami praktycznie przestaje być skuteczne. Ataki polegające na losowaniu adresu IP i nawiązywaniu połączeń (a tak robi wiele robaków sieciowych, atakujących usługi systemów i aplikacji Microsoftu) będą miały bardzo niską skuteczność.

Zmora operatorów i dostawców treści

Przejście na IPv6 wiąże się z koniecznością obsługi obu protokołów, przy czym każdy nowy element w infrastrukturze sieciowej powoduje wzrost podatności na błędy.

Chociaż operatorzy hostingowi już deklarują gotowość do pracy w IPv6, niektóre problemy rozwiązano dopiero niedawno. Jednym z nich jest multihoming, który umożliwia uniezależnienie dostawcy treści od pojedynczego dostawcy łącza. Niestety, multihoming jeszcze nie został w pełni ustandaryzowany w IPv6, chociaż można już przydzielić przestrzeń adresową nieprzypisaną do pojedynczego dostawcy łącza i sieć może pracować podobnie do IPv4, obsługując równoważenie obciążenia między łączami od różnych dostawców oraz podtrzymanie sesji TCP i UDP przy zmianie drogi. Wzrost rozmiarów tablic routingu może w przyszłości powodować problemy z obsługą takich sieci przez routery, ponadto pozostaje problem filtrowania zgłoszeń routingu pochodzących od małych podsieci. Zatem wdrożenie IPv6 powoduje wzrost skomplikowania infrastruktury dostawców treści, przy czym wiele problemów związanych z routingiem IPv6 dopiero jest odkrywanych. Przyczyną jest między innymi niska popularność IPv6 w dużych wdrożeniach.


TOP 200