IPv6 a bezpieczeństwo sieci
Polecamy: IPv6: 8 problemów bezpieczeństwa
Wielu użytkowników traktuje IPsec (standard szyfrowania wspierany przez IPv6) jako wystarczającą metodę ochrony danych. Wcale tak nie jest. Proszę tylko zwrócić uwagę na następujące fakty:
1. Standard IPv6 wspiera co prawda obligatoryjnie protokół szyfrowania IPsec, jednak protokół ten może być stosowany lub nie (jest to opcja, a nie obowiązek; patrz dokument RFC4301).
2. Ruch IPsec stanowi obecnie niewielki procent całego ruchu IPv4 (ze względu na problemy związane ze skalowalnością, współoperatywnością i innymi kwestiami technicznymi). Można więc sądzić, że podobnie będzie w sieciach opartych na protokole IPv6 i szyfrowanie IPsec nie będzie tu też stosowane powszechnie.
3. IPsec wspiera wiele algorytmów szyfrowania, co powoduje, że wdrożenie tego rozwiązania przysparza często użytkownikom sporo kłopotów i jest pracochłonne. To też powoduje, że po technologię tę nie sięga tak dużo użytkowników, jakby tego należało sobie życzyć.
Wiele firm sądzi, że nie decydując się na przejście na protokół IPv6 robi dobrze, gdyż chroni się w ten sposób przed różnego rodzaju zagrożeniami związanymi z niedoskonałościami tego protokołu w obszarze ochrony danych. To błędne rozumowanie. Prawdopodobieństwo, że ruch IPv6 tak czy inaczej trafi do naszej sieci (do pecetów czy też do rdzenia sieci LAN) jest bardzo wysokie. Proszę zauważyć, że większość nowych systemów operacyjnych jest dostarczana w konfiguracji, w której protokół IPv6 jest włączony (można to sprawdzić przez proste podejrzenie konfiguracji TCP/IP).
Rozwiązania bezpieczeństwa (sprzętowe czy programistyczne) oraz narzędzia używane do monitorowanie sieci, oparte na protokole IPv4, nie potrafią kontrolować czy blokować ruchu IPv6. A istnieje przecież inna metoda - można nie przechodzić na protokół IPv6, a wybrać rozwiązanie polegające na tunelowaniu ruchu IPv6 przez sieć IPv4 (używając tzw. brokerów). Jednak właśnie ta metoda otwiera przed hakerami nowe możliwości. Mogą oni tworzyć w takich sieciach IPv4 własne tunele IPv6 i wykorzystywać je do przeprowadzania ataków. Nasuwa się zresztą w tym momencie pytanie. Dlaczego tak wielu użytkowników decyduje się pomimo takiego zagrożenia na technologię tunelowania w wersji, gdy korzystają z usług nieznanych brokerów?
Dlatego technologię tunelowania ruchu IPv6 nie powinno się zasadniczo wykorzystywać do transferowania ważnych czy poufnych danych. Uruchamiając taką opcję na komputerze (np. oprogramowanie 6to4 na komputerach MAC czy Teredo na komputerach Windows) wystawiamy naszą sieć na niebezpieczeństwo, gdyż korzysta on wtedy z usług niesprawdzonych bramek IPv6.
Jedna z zaawansowanych opcji odzyskiwania połączeń, jaka została włączona do protokołu IPv6, pozwala administratorowi wybierać ścieżki, przez które będą transportowane pakiety (routing). Teoretycznie jest to istotne usprawnienie. Jednak biorąc pod uwagę bezpieczeństwo jest to już wątpliwe rozwiązanie. Gdy lokalna sieć IPv6 ulegnie np. awarii, opcja ta pozwala włamywaczowi w stosunkowo łatwy sposób zlokalizować taką sieć i uzyskać do niej dostęp.
Czy można zatem powiedzieć, iż odkładając na później wdrożenie protokołu IPv6 przyczyniamy się do tego, że hakerzy uzyskują nad nami jak i nad dostawcami rozwiązań IPv6 znaczącą przewagę. Odpowiedź brzmi: wygląda na to, że tak.
Dlatego lepiej jest chyba przechodzić na protokół IPv6 już teraz - nie spiesząc się i z rozwagą, ale wdrażać. Robiąc tak, ujawnimy wcześniej różnego rodzaju niedoskonałości i słabe punkty tego protokołu, a dostawcy rozwiązań IPv6 będą mogli od razu reagować na takie zagrożenia. Może będzie to nieco chaotyczny proces, ale lepiej przejść to wcześniej niż czekać aż popadniemy w pewnym momencie w poważniejsze kłopoty.
Czytaj również "IETF dyskutuje na temat bezpieczeństwa systemu DNS i protokołu IPv6" oraz "Nowa witryna zachęca do przechodzenia na IPv6".
- Gość
- 2009-09-28 11:13:20
Cha, cha. Pisałem kolegom (koleżankom) o tym, najpierw było to publikowane na konferencjach i dostępne na płatnych serwisach, teraz już jest znane wszystkim chcących czytać.
- Gość
- 2009-09-28 11:19:33
czyli poświecajcie się i bądźcie krulikami doświadczalnymi a wasze firmy wystawiajce na przerózne niedookreślone i mgliste ryzyka bo dzięki temu, ten chory od urodzenia standard będzie nieco bezpieczniejszy dla reszty w przyszłości. Takie są efekty powierzania spraw poważnych głównie dla ludzi koncentrujących się na ideałach i uogulnieniach - tak cenionych w środowiskach np. doktorantów a tak upierdliwych w środowiskach bizensu.
- Gość
- 2009-09-28 11:20:00
czyli poświecajcie się i bądźcie krulikami doświadczalnymi a wasze firmy wystawiajce na przerózne niedookreślone i mgliste ryzyka bo dzięki temu, ten chory od urodzenia standard będzie nieco bezpieczniejszy dla reszty w przyszłości. Takie są efekty powierzania spraw poważnych głównie dla ludzi koncentrujących się na ideałach i uogulnieniach - tak cenionych w środowiskach np. doktorantów a tak upierdliwych w środowiskach bizensu. SSL deszyfrowany, niewierzyliście.
- ~gość
- 2009-09-28 18:15:39
Ta, lepiej nic nie robić i poczekać aż się pula adresowa skończy. Dzięki temu z internetu będą mogli korzystać tylko "wybrani" :-D
- tower
- 2009-09-28 20:28:46
kruliki i uogulnienia kto temu Tadowi/Gościowi dał maturę? A może - słusznie - nie dał?
- ~gość
- 2009-09-28 20:29:14
Zacznijmy od tego, że możliwość przejścia na IPv6 jest zależna od dostawcy netu. Jeśli mój provider udostępnia tylko IPv4, to ja mogę sobie v6 zrobić tylko z komputerem w drugim pokoju, co zresztą jest mało sensowne - chyba że chodzi o sztukę dla sztuki ;)
- student
- 2009-09-29 15:26:18
"Zacznijmy od tego, że możliwość przejścia na IPv6 jest zależna od dostawcy netu. Jeśli mój provider udostępnia tylko IPv4, to ja mogę sobie v6 zrobić tylko z komputerem w drugim pokoju, co zresztą jest mało sensowne - chyba że chodzi o sztukę dla sztuki ;)ę To nie tak. Nie ma możliwości żeby wszyscy providerzy jednocześnie wprowadzili IPv6. Jest natomiast szereg mechanizmów które powodują że aktualne IPv4 działa równolegle z IPv6 (np tunelowanie). Z czasem IPv4 zostanie wyparte przez nowy standard. Cieszmy się że ludzie pracują nad tym żebyśmy za kilka lat również mogli korzystać z dobrodziejstw internetu :)
- mw
- 2009-09-29 23:24:06
Może czas zabrać wielkim koroporaciom amerykańskim ogromne pule adresów, które nie są wykorzystane.
- Marcin
- 2009-09-30 08:51:43
Nie no, wykorzystywane to w jakimśtam procencie są :) Na takiej samej zasadzie, na jakiej każda "normalna" firma używa puli adresów prywatnych... Komputery za NATem mają poprzypisywane publiczne adresy, bo przecież firma ma podsieć A, to co się szczypać. Też jestem zdania, że nie byłoby (jeszcze przez dłuuugi czas) potrzeby kombinowania jak koń pod górę z IPv6, gdyby ktoś kiedyś nie poprzydzielał szczodrze ponad połowy dostępnych adresów garstce firm. No ale teraz jest już za późno - nie ma opcji, żeby którakolwiek z tych korporacji przeszła na pule prywatne.
- ~gość
- 2009-10-02 21:21:24
"narzędzia używane do monitorowanie sieci, oparte na protokole IPv4, nie potrafią kontrolować czy blokować ruchu IPv6." ip6tables --line-numbers -v -n -L u mnie działa ;p
Popularne produkty
Trampolina Body Sculpture 366cm
Pobierz bezpłatnego e-booka 
Kariera w IT 2012
