Безопасность IPV6

Стандартизация протокола IPv6 и его поддержка производителями ОС и сетевого коммуникационного оборудования привела к возможности его применения в корпоративных сетях и сети Интернет. Однако, еди­новременный переход с протокола сетевого уровня IPv4 на протокол IPv6 в масштабах сети Интернет не­возможен. Данное ограничение создает необходимость одновременной поддержки обеих версий протокола и организации их совместной работы между собой на период перехода. Сложившаяся ситуация может по­тенциально привести к возникновению угроз инфор­мационной безопасности в корпоративных сетях.

Ключевые слова: IPv6, IPv4, IP адрес, защита, протокол.

Анализируя возможные проблемы совместимости обоих протоколов на базе туннелирования или транс­ляции можно сказать, что данные направления разви­тия изначально были не востребованы, из-за большего числа проблем и ограничений, если сравнивать с тех­нологией двойного стека. Разница в протоколах по ключевым параметрам является причиной пересмотра политик безопасности организации.

Практические исследования нового протокола с точки зрения защиты трафика и его одновременном использовании с IPv4, позволяют сформулировать следующие рекомендации для сети, в которой будет осуществляться обмен информацией с использовани­ем обоих протоколов:

1) Протокол IPv6 должен поддерживаться всеми сетевыми устройствами.

2) Тщательное планирование процессов перехода и совместного использования.

3) Использование межсетевых экранов не только на границе сетей, но и на каждом устройстве в сети.

4) Использование аутентификации.

Разработка протокола, который должен будет за­менить IPv4, проходила в то время, когда он сам еще активно развивался. Это является причиной схожести проблем связанных с безопасностью. Однако, в виду его направленности, решить архитектурные проблемы IPv4, существует разница обеспечения безопасности сетей, построенных на базе протокола IPv6. Исполь­зуя новый протокол, необходимо уделить больше внимаяния тем компонентам, обеспечивающих защи­ту, которым в сетях IPv4 не придавали особого значе­ния, например, межсетевому экрану [1].

Учитывая распространенность решений, поддерживающих IPv6 в стандартной конфигурации администраторам придется столкнуться с этим протоколом задолго до начала его развертывания в сети. В связи с этим хотелось бы обозначить основные проблемы безопасности IPv6 до того, как они станут предметом расследования инцидентов.

Допускается существование нескольких потоков между отправителем и получателем. Метка потока присваивается узлом-отправителем путём генерации псевдослучайного 20-битного числа. При получении первого пакета с меткой потока маршрутизатор анализирует дополнительные заголовки, выполняет предписанные этими заголовками функции и запоминает результаты обработки (адрес следующего узла, опции заголовка переходов, перемещение адресов в заголовке маршрутизации и т. д.) в локальном кэше. Время жизни записи в кэше составляет не более 6 секунд, даже если пакеты этого потока продолжают поступать. При обнулении записи в кэше и получении следующего пакета потока пакет обрабатывается в обычном режиме, и для него происходит новое формирование записи в кэше.

Обеспечение безопасности в протоколе IPv6 осуществляется с использованием протокола IPsec, поддержка которого является обязательной для данной версии протокола.

Благодаря своему большому адресному пространству, механизмам автоматической настройки, IPv6 расширяет возможности использования сетевых устройств. Однако это же приводит к тому, что он становится менее понятным и прозрачным для человека. Внешний вид записанного в HEX 128-битного IP-адреса на первых порах повергает в шок. В связи с этим, на мой взгляд, широкое внедрение IPv6 приведет к ещё большему возрастанию роли DNS. Если на данный момент в корпоративной сети администратор может воспользоваться «резервным» методом, и продиктовать пользователю IP-адрес вместо имени важного сервера, то довольно трудно представить себе пользователя, вбивающего в строке адреса браузера что-то типа 3ffe:da0c:8b93::da01:1193.

Кроме того, в случае использования DNS для распространения открытых ключей/сертификатов, применяемых для аутентификации в IPSec, возможность установления связи между двумя узлами (даже если IPv6-адреса известны) будет завесить от доступности службы DNS.

Часто IPv6 выпадает из зрения сетевых администраторов. При настройке межсетевых экранов, сканировании устройств на наличие «лишних» открытых портов, обнаружении атак администраторы обычно используют IPv4, но не IPv6. Это позволяет злоумышленнику использовать IPv6 для установки скрытых троянских программ, обхода межсетевых экранов и так далее.

Например, тривиальная задача инвентаризационного сканирования сети в случае с IPv6 будет весьма затруднена, поскольку стандартное количество адресов в одной подсети равняется 2^64. Я думаю, любой согласится, что использование простого перебора здесь не подойдет. Похоже, что сканерам уязвимостей, которые будут поддерживать протокол IPv6, придется реализовывать поиск узлов не на сетевом уровне, как сейчас, а используя широковещательные (точнее multicast, широковещательного трафика в IPv6 нет) запросы для каждого сегмента. Но это потребует либо настройки маршрутизаторов для передачи запросов на широковещательные адреса (что плохо), либо установки агентов в каждом сегменте [2].

Конечно, можно возразить, что, во-первых – устройство должно поддерживать IPv6, во-вторых, его должна поддерживать сетевая инфраструктура. Дело в том, что многие операционные системы уже сейчас поставляются с IPv6 включенным в стандартной конфигурации. В качестве примеров можно привести Linux RedHat (включая Fedora Core) и даже Windows Mobile. Было весьма удивительно обнаружить, когда КПК на основе Windows Mobile SE начал непринужденно рассылать ICMPv6 Neighbor Solicitation без какой-либо настройки с моей стороны. Кроме того, существует ряд технологий туннелирования, позволяющих передавать трафик IPv6 поверх IPv4 или IPv4 UDP. А как известно, туннели – враг межсетевых экранов.

Литература:

1. Introduction to IPv6, Microsoft, http://www.microsoft.com/technet/itsolutions/network/ipv6/introipv6.mspx
2. ABCs of IP Version 6, Cisco http://www.cisco.com/en/US/products/sw/iosswrel/ios_abcs_ios_the_abcs_ip_version_60900aecd800c112b.html