Szóstka na rozbiegu

Mechanizmy, które mają za zadanie wypełnić tę poważną lukę w bezpieczeństwie IPv6, są obecnie w fazie analizy i konsultacji.

Na razie nie przedstawiono nawet propozycji do zatwierdzenia.

Podstawowa, wydawałoby się, korzyść z wdrożenia IPv6 - rozszerzona pula adresów - również niesie zagrożenia i niewygody. W świecie IPv4 adres IP jest powszechnie wykorzystywany podczas uwierzytelniania.

Na przykład intranetowy serwer WWW często ogranicza dostęp do stron tylko wybranym adresom IP z wewnętrznej puli, adres IP oznacza bowiem (w większości przypadków) konkretny komputer. W sieciach IPv6 jednemu interfejsowi fizycznemu jest przypisanych często wiele adresów IP. Co więcej, ze względów bezpieczeństwa adresy IPv6 dosyć często się zmieniają, a w przypadku implementacji mechanizmów zgodnych z RFC 3041 (IPv6 Privacy Extensions) część adresu jest ustalana losowo. W takich warunkach jest konieczne znalezienie innych metod kontroli dostępu, np. na podstawie adresów MAC - to jednak rodzi kolejne problemy (patrz ramka o IPv6 w sieciach WLAN).

Ponadto wielu usługodawców wymaga, by adres użytkownika chcącego skorzystać z usługi, np. FTP, był pozytywnie zweryfikowany przez serwer DNS, co oznacza, że jeżeli adresu nie ma w bazie DNS, żądanie połączenia spotka się z odmową. Biorąc pod uwagę potencjalną liczbę adresów IPv6 i częstotliwość ich zmiany, nie ulega wątpliwości, że konieczne jest odpowiednie przebudowanie serwerów DNS, w tym np. synchronizacji informacji między serwerami DHCPv6 a DNS. Standaryzacja tej sfery wciąż trwa.

IPv6 w sieciach WLAN

W ostatnim czasie nastąpił szybki rozwój sieci bezprzewodowych WLAN. Nie zastępują one sieci istniejących, lecz działają równolegle, co pociąga zwiększoną konsumpcję adresów IPv4. Patrząc z tej perspektywy, naturalnym rozwiązaniem byłoby uruchomienie w nich protokołu IPv6. Nie jest to jednak zadanie trywialne. Sieci bezprzewodowe bardziej niż przewodowe wymagają istnienia mechanizmów samokonfiguracji urządzeń. Te zaś, jak napisano, nie są jeszcze w pełni dojrzałe. Podobnie zarządzanie punktami dostępowymi jest na razie możliwe tylko poprzez IPv4.

Pewnym mankamentem na poziomie implementacji protokołów, ale uciążliwym dla administratorów sieci i użytkowników końcowych może być problem detekcji duplikacji adresów IPv6 w sieciach WLAN. Adres IPv6 powstaje z konkatenacji (złożenia) prefiksu IPv6 przysłanego przez router oraz adresu MAC karty urządzenia. W razie wystąpienia duplikacji adresu MAC (co jest możliwe, m.in. w przypadku próby ataku na sieć WLAN, podczas której atakujący podmienia adres MAC własnej karty sieciowej na adres MAC użytkownika uprawnionego do korzystania z sieci) łączność zostanie zerwana.

Co więcej, informacja o duplikacji adresu nie zostaje przekazana do warstwy IP i nie ma w zasadzie możliwości wykrycia takiej sytuacji. Stoi to w sprzeczności z wymaganiami standardu RFC 2462 i wymaga znalezienia całkiem nowych rozwiązań. Pewnym wyjściem mogłoby być wyłączenie filtrowania ramek MAC i przekazywanie uwierzytelniania do warstw wyższych, na to jednak niekoniecznie zgodzą się administratorzy odpowiedzialni za bezpieczeństwo sieci. Sytuacja nie zmieni się szybko. O implementacjach nie słychać - nawet teoretycznych opracowań na ten temat jest jak na lekarstwo.

Razem można więcej

Wyniki praktycznych doświadczeń i testów prowadzonych w ramach projektu 6NET, pomimo wszystkich opisanych wcześniej niedogodności, wypadają w sumie nadzwyczaj pozytywnie.

Niektórzy operatorzy biorący udział w projekcie już od kilkunastu miesięcy oferują komercyjne usługi oparte na IPv6.

Z perspektywy problemu wyczerpywania się adresów IPv4 przejście na IPv6 nie jest w naszej części świata pilne. Adresy nie wyczerpią się lada dzień (patrz ramka). Mimo to wdrożenie IPv6 wydaje się interesujące. Nawet jeżeli nie będzie to wdrożenie produkcyjne, doświadczenia zdobyte "na spokojnie" przydadzą się, gdy w przyszłości przyjdzie zabrać się do prawdziwej migracji.

Gra jest warta świeczki także z innego powodu. Rosnące zainteresowanie wdrożeniami protokołu IPv6 - nawet w formie wdrożeń testowych - zmusi producentów do pełniejszego wsparcia dla IPv6 i sprawi, że będzie możliwe wdrożenie sieci opartych wyłącznie na IPv6. To z kolei przełoży się na nową jakość rozwiązań informatycznych: stacjonarnych i mobilnych.

IPv6 - problemy do rozwiązania i najistotniejsze ograniczenia, które hamują upowszechnienie się IPv6

  • Wiele usług w Internecie działa na nie najnowszych już, ale sprawdzonych i stabilnych systemach operacyjnych (głównie z serii komercyjnych systemów Unix), i używa aplikacji w wersji, które nie wspierają IPv6. Konieczne byłoby ich uaktualnienie do nowszych wersji, co wymaga niemałych nieraz nakładów czasu i kosztów

  • W systemach Windows - wbudowane wsparcie dla IPv6 na poziomie produkcyjnym jest oferowane dopiero w wersjach Windows XP oraz Windows 2003 Server, tymczasem wiele organizacji wciąż korzysta z Windows 2000, a nawet Windows 98

  • Brak wsparcia IPv6 dla kilku niezbędnych usług wykorzystywanych na co dzień w wielu sieciach (np. DHCPv6, jak również DNS komunikujący się poprzez IPv6 w systemach Windows - cecha ta jest szczególnie ważna dla powstania sieci opartych wyłącznie na IPv6; na razie takich brak)

  • Mała liczba gotowych rozwiązań w dziedzinie bezpieczeństwa, np. filtrów pakietów i innych

  • Nieliczne na razie gotowe aplikacje do zarządzania sieciami IPv6

  • Słaba znajomość IPv6 wśród administratorów sieci, serwerów i usług

IPv6 w Internecie

Bartosz Gajda zajmuje się zarządzaniem sieciami oraz rozwojem IPv6 w Poznańskim Centrum Superkomputerowo-Sieciowym.


TOP 200