Table of Contents
Если твоя стратегия в отношении IPv6 заключается в том, чтобы как можно дольше откладывать ее осуществление, ты все равно должен разобраться с проблемами безопасности, связанным с IPv6, прямо сейчас.
Если ты собираешься использовать IPv6 в связке с IPv4, это тоже не отменяет проблем с безопасностью. А если ты думаешь, что сможешь просто отключить IPv6, так тоже не пойдет.
Насколько хорошо ты подготовлен для IPv6?
Самая большая угроза безопасности кроется в том факте, что сети предприятий уже оборудованы кучей устройств, поддерживающих IPv6, включая все устройства с Windows Vista и Windows 7, Mac OS/X, устройства с Linux и BSD.
И, в отличие от своего предшественника, DHCP для IPv4, IPv6 не требует ручной настройки. Эта функция авто-конфигурации означает, что “устройства с поддержкой IPv6 просто ждут одного единственного уведомления маршрутизатора, чтобы идентифицировать себя в сети”, сказал Эрик Винке, ведущий системный инженер в Cisco и соавтор книги “IPv6 Security”.
Он предупредил, что “маршрутизаторы и свичи с поддержкой лишь IPv4 не распознают и не отвечают на уведомления устройств с IPv6, но преступный маршрутизатор с поддержкой IPv6 способен слать и перехватывать этот трафик”.
Авто-конфигурация позволяет устройствам с IPv6 связываться с другими такими устройствами и службами в сети в пределах одной LAN. Для этого устройство уведомляет о своем присутствии и обнаруживается с помощью IPv6 Neighbor Discovery Protocol (NDP).
Но оставшись без присмотра, NDP может начать действовать чересчур по-добрососедски, и подвергнуть устройства действиям хакеров, которым не терпится разузнать, что происходит внутри сети, или даже позволить устройству быть захваченным и превращенным в “зомби”.
Винке говорит, что угроза реальна. “Мы наблюдаем по всему миру, что боты все чаще используют IPv6 как скрытый канал для связи со своим ботмастером”. Среди множества маскировок, зловред с поддержкой IPv6 может получить выгоду от инкапсуляции своего пейлоада в одно или несколько IPv4-сообщений. Без принятия специфичных для IPv6 мер защиты, вроде углубленной проверки пакетов, такая полезная нагрузка может пройти через IPv4 периметр и DMZ-защиту незамеченной.
SEND (SEcure Neighbor Discovery) – это решение IETF для Layer-2 IPv6 угроз, например RD- и NDP-спуфинга, который приравнивается к угрозам IPv4, DHCP- и ARP-спуфингу. Некоторые производители операционных систем поддерживают SEND, а другие, в особенности Microsoft и Apple – нет.
Cisco и IETF находятся в процессе внедрения таких же механизмов безопасности для IPv6, которые сейчас используются для защиты IPv4 от подобных угроз. У IETF есть рабочая группа SAVI (Source Address Validation), а Cisco осуществляет трехфазовый план по улучшению IOS, начатый в 2010 году, который будет полностью реализован где-то в 2012, в зависимости от типа оборудования.
Винке заметил, что одни из самых распространенных рисков, связанных с IPv6, случайно возникают из-за неправильно настроенного устройства конечного пользователя в сети, и правильная настройка вкупе с мерами безопасности IPv6 может свести на нет многие из них.
“Ответ на эту проблему – это развертывание родного IPv6 и защита IPv6 трафика на том же уровне и от того же типа угроз, от которых уже ты уже защищаешь IPv4”, – объяснил Винке.
Мифы IPSec
Существует распространенное мнение о том, что IPv6 изначально более защищен, чем IPv4, потому что в IPv6 обязательна поддержка IPSec. “Это миф, который должен быть развеян”, – отметил Винке.
Он указал на то, что помимо практических трудностей, связанных с широкомасштабной реализацией IPSec, контент помещенного в IPSec трафика невидим для устройств (маршрутизаторов/свичей/файерволов), и поэтому мешает осуществлению их важных функций, связанных с безопасностью.
По этой причине Винке, который также является активным членом IEFT и автором RFC 3585, доложил, что рабочая группа IEFT рассматривает изменение, которое бы сделало поддержку IPSec “рекомендованной”, нежели “обязательной” в ходе реализации IPv6.
Что качается отключения IPv6, Винке назвал это плохой идеей по двум причинам. Во-первых, Microsoft сказала, что отключение IPv6 на Windows 2008 по сути неподдерживаемая конфигурация. Также Винке сказал, что отключать IPv6 – значит прятать голову в песок и откладывать неминуемое, и это может лишь навредить безопасности, потому что устройства с поддержкой IPv6 будут показываться в сети, хочет этого ИТ или нет.
Создание импульса
Помимо угроз безопасности, существует все возрастающее экономическое обоснование использования IPv6, которое становится все труднее заметать под коврик.
Такие компании, как Telefonica и T-Mobile уже вовсю принимают IPv6 на вооружение, особенно в Европе. А правительство США, которое постепенно переходит на IPv6, требует от производителей все больше устройств и служб с поддержкой IPv6.
“Никто не хочет быть в положении, когда невозможно взаимодействовать с клиентами”, – написал Кит Стюарт, директор Brocade Communications Systems Applications Delivery Products. Тем не менее, разделяя взгляды производителей сетевого оборудования, Стюарт видит необходимость постепенного перехода на IPv6.
“Тотальный переход на IPv6 – это не практично и не эффективно”, – заявляет Стюарт. “Клиентам нужен практичный, сбалансированный подход”. Он заметил, что производители служб, которые потребляют адреса быстрее, чем кто-либо, первые в очереди на IPv6. Далее идут контен-провайдеры (Google и Facebook), и, наконец, конечные пользователи, чьи домашние маршрутизаторы в 99% случаев работают еще на базе IPv4.
Когда Brocade понадобилось перейти на IPv6, они взяли существующие балансировщики нагрузки и настроили трансформирование в IPv6 для публичных сервисов, а для внутренних сетей оставили IPv4 подключение. “Публичная часть – это самое важное. Выбери небольшой проект, где ты сможешь создать экономическое обоснование для связи с клиентами с помощью IPv6. При создании своего следующего набора служб требуй, чтобы он был совместим с обоими стандартами или с возможностью трансляции старой архитектуры IPv4. Это позволит тебе установить окупить инвестиции пока твоя команда набирается опыта с IPv6. Любой переход должен быть бесшовным для конечного пользователя”, – сказал Стюарт.
В Juniper Networks отрапортовали о том, что большинство их клиентов, обращающиеся с просьбой о IPv6 сервисах, относятся к образовательным и правительственным секторам. В частности, это исследовательские лаборатории при университетах и правительственные подразделения, пытающиеся соответствовать федеральным требованиям касательно IPv6.
Juniper предсказывают повышение активности, относящейся к применению IPv6, в 2012 году. “Исчерпания IPv4 адресов становится все более серьезной проблемой для наших клиентов по всему миру”, – сказал Алан Дюранд, директор разработки ПО в Platform and Systems Division CTO. Несмотря на это Дюранд ожидает, что внедрении IPv6 начнется с мелких проектов, в которых IPv6 будет реализован в качестве дополнения к существующим общедоступным IPv4 службам. “Чтобы справиться с постоянным сокращением IPv4 адресов у клиентов всегда есть возможность добавить еще один слой преобразования сетевых адресов (NAT)”, – добавил Дюранд.
Хотя невозможно точно предугадать, сколько еще времени пройдет до полного исчерпания IPv4 адресов, на ежедневную статистику, собираемую Джеффом Хьюстоном, главным научным сотрудником APNIC, часто ссылаются как на достоверный источник. Модель Хьюстона, основанная на публичных данных, формирующихся на основе данных, публикуемых IANA и Regional Internet Registries, предсказывает полное исчерпание оставшихся нераспределенных IPv4 адресов к 2014 году.
Однако модель Хюстона не учитывает адреса, которые частные организации могут держать для использования или продажи в будущем. Например, не учитываются более 600 000 адресов, недавно приобретенных Microsoft в ходе покупки активов обанкротившегося Nortel. Хотя наверняка можно сказать, что в ближайшем времени будет доступно еще достаточное количество IPv4 адресов, многие предрекают повышение цен по мере истощения запасов.
Из-за отсутствия “лучших практик” для IPv6, сетевые менеджеры часто действовали неохотно. Но с ростом угроз безопасности и страха потерять связь с клиентами, которые уже переходят на системы с поддержкой только IPv6, ждать первого шага от других и ничего не делать – это не нейтральная позиция, как может показаться.
Фаза планирования – это хорошее время, чтобы наладить или восстановить связи с доверенным производителем сетевого оборудования, который способен предоставить руководство по архитектуре и безопасности, а также масштабируемые решения для широкого спектра вариантов перехода.