IPv6 na celowniku hakerów

IPv6 na celowniku hakerów
Wpisany przez Administrator
czwartek, 01 grudnia 2011 16:36
Przyjmując strategię odwlekania implementacji IPv6 tak długo, jak się da, nie można
jednak uciec od problemów bezpieczeństwa IPv6. Planowanie wdrożenia IPv6 w
konfiguracji podwójnego stosu z IPv4 nie uwalnia nas od zagrożeń związanych z nową
wersją protokołu - nie wystarczy po prostu wyłączyć IPv6.
Największe zagrożenie bezpieczeństwa związane jest z faktem, że wiele sieci w
przedsiębiorstwach ma już mnóstwo urządzeń obsługujących IPv6. Są to przede wszystkim
komputery, na których pracują Windows Vista i Windows 7, Mac OS/X, a także wszystkie
urządzenia z Linux czy BSD. Ponadto w odróżnieniu od swojego poprzednika - DHCP dla IPv4
- IPv6 nie wymaga ręcznego konfigurowania. Wprowadzenie mechanizmu autokonfiguracji
oznacza, że urządzenia obsługujące IPv6 tylko czekają na ogłoszenia jakiegoś routera (RA router advertisement), aby ujawnić się w sieci. Routery i przełączniki obsługujące wyłącznie
IPv4 nie rozpoznają i nie odpowiadają na ogłoszenia urządzeń IPv6, ale wrogie routery IPv6
mogą wysyłać i interpretować taki ruch.
Bezstanowy automat konfiguracji pozwala dowolnemu urządzeniu IPv6 na komunikowanie się
z innymi urządzeniami i usługami IPv6 w tej samej LAN. W tym celu urządzenie ogłasza swoją
obecność w sieci i jest lokalizowane za pośrednictwem protokołu IPv6 NDP (Neighbor
Discovery Protocol). Jednak NDP pozostawiony bez nadzoru może "wystawiać" urządzenie
napastnikom zainteresowanym systematycznym zbieraniem informacji o tym, co dzieje się w
sieci, czy nawet ułatwiać im przejęcie takiego urządzenia i przekształcenie go w "zombie".
Zagrożenie jest realne - malware IPv6 mogą przybierać formy złośliwych ładunków zawartych
w pakietach IPv4. Bez specyficznych środków bezpieczeństwa, takich jak np. głęboka
inspekcja pakietów, ten typ ładunku może przechodzić niewykryty przez brzeg sieci IPv4 i
strefę zdemilitaryzowaną (DMZ).
Dla radzenia sobie z zagrożeniami warstwy 2 IPv6 - takimi jak fałszywe ogłoszenia routera czy
spoofing NDP, które są porównywane do zagrożeń IPv4 w rodzaju fałszywy DHCP czy
spoofing ARP - IETF przygotowała rozszerzenie NDP, SEND (SEcure Neighbor Discovery).
SEND jest już obsługiwany w niektórych systemach operacyjnych, ale są jeszcze takie (np.
Windows), które jeszcze nie obsługują tego rozszerzenia. IETF i Cisco są na etapie procesu
implementacji takich samych mechanizmów zabezpieczeń dla IPv6, jakie są teraz używane do
ochrony IPv4. IETF powołało grupę roboczą SAVI (Source Address Validation), a Cisco
realizuje od roku 2010 trzyetapowy plan uaktualniania swojego IOS z terminem zakończenia w
roku przyszłym.
Niektóre z zagrożeń bezpieczeństwa związanych z IPv6 powstają przypadkowo, przez
1/3
IPv6 na celowniku hakerów
Wpisany przez Administrator
czwartek, 01 grudnia 2011 16:36
niewłaściwą konfigurację urządzeń końcowych. Wiele z nich można wyeliminować przez
poprawną konfigurację i środki bezpieczeństwa na poziomie IPv6. Prawidłowe podejście to
tych problemów to wdrożenie IPv6 w trybie natywnym i ochrona ruchu IPv6 podobnie jak
robimy to dla ruchu IPv4.
Specjaliści są też zdania, że próba wyłączenia IPv6 to strategia pogarszająca bezpieczeństwo
- obecne w sieci urządzenia z obsługą IPv6 i tak będą ujawniać swą obecność niezależnie od
tego czy IT tego chce, czy nie. Co więcej, zdaniem Microsoft, wyłączenie IPv6 w Windows
2008 jest "niewspieraną konfiguracją tego systemu".
Mit IPSec
Dość powszechny jest pogląd, że IPv6 jest z natury bezpieczniejszy niż IPv4, ponieważ
obsługa IPSec jest wbudowana w IPv6. Uznać to jednak trzeba za pewien mit. Oprócz
praktycznych problemów związanych z szerszą implementacją IPSec, pojawia się jeszcze
jeden - zawartość pakietów staje się niewidoczna dla urządzeń (routerów, przełączników, zapór
sieciowych), utrudniając tym samym wykonywanie ważnych funkcji ochronnych.
Z tego powodu grupa robocza IETF rozważa zmianę zapisu dotyczącego wsparcia IPSec w
implementacji IPv6 z "wymagane", na "rekomendowane".
Tempo wdrażania
Oprócz zagrożeń bezpieczeństwa, rosnąca liczba wdrożeń IPv6 wynika z konieczności
dostosowania biznesu do zmieniającego się otoczenia sieciowego. Niektóre banki i inne
instytucje finansowe już borykają się z problemami związanymi z utratą komunikacji z
klientami, których sieci nie obsługują już IPv4. Oczywiście nie mówimy tu (jeszcze) o Polsce,
jednak nieuchronne wyczerpanie się puli wolnych adresów IPv4 i wiążąca się z tym
konieczność wdrażania IPv6 jest problemem globalnym. Chociaż nie można przewidzieć ile dokładnie czasu zajmie rzeczywiste wyczerpanie adresów
IPv4, na podstawie najczęściej cytowanych, jako wiarygodne źródło, codziennych statystyk
przygotowywanych przez Geoffa Hustona z APNIC, można założyć całkowite wyczerpanie
wszystkich nieprzydzielonych jeszcze adresów IPv4 do roku 2014. W prognozie tej nie
uwzględnia się jednak adresów, które mogą być w rękach prywatnych organizacji, zakupionych
dla przyszłego użytku lub odsprzedaży (np. pula 600 tys. adresów IPv4 niedawno przejętych
przez Microsoft przy okazji zakupu zasobów firmy Nortel). Chociaż więc można dość
bezpiecznie założyć, że w najbliższym czasie dostępna będzie jeszcze jakaś pula wolnych
adresów IPv4, to jednak trzeba też liczyć się z tym, że ich cena będzie rosła w miarę
zmniejszania się podaży.
Chociaż wielu administratorów sieci nie przejawia ochoty na szybkie podjęcie działań
zmierzających do implementacji tego protokołu, to jednak wraz ze zwiększającym się
zagrożeniem bezpieczeństwa i perspektywą utraty komunikacji z klientami, którzy już przeszli
2/3
IPv6 na celowniku hakerów
Wpisany przez Administrator
czwartek, 01 grudnia 2011 16:36
wyłącznie na system iPv6, postawa wyczekująca i brak jakichkolwiek działań w tej sprawie
może nie być neutralna dla biznesu. Faza planowania jest dobrym momentem podjęcia
negocjacji lub renegocjacji z zaufanym dostawcą sieci, który może zapewnić architekturę i
środki bezpieczeństwa oraz skalowalne rozwiązaniami dla różnych opcji migracyjnych z IPv4
do IPv6.
Źródło: networld.pl
3/3