IPv6 a bezpieczeństwo sieci

Specjaliści informują - do wykorzystania pozostało jeszcze tylko ok. 10% adresów IPv4. Dlatego czas już pomyśleć o przejściu na adresowanie oparte na protokole IPv6. Zanim jednak do tego przystąpimy, dobrze jest zapoznać się z tymi kwestiami związanymi z protokołem IPv6, które dotyczą bezpieczeństwa sieci. Jest to bardzo ważna rzecz biorąc pod uwagę fakt, że protokół IPv6 nie do końca rozwiązuje wszystkie problemy.

Chociaż twórcy protokołu IPv6 wprowadzili do niego szereg mechanizmów bezpieczeństwa, takich jak szyfrowanie, to nie został on jednak zaprojektowany z myślą o tym, że zapewni bezpieczeństwo danym przetwarzanym w warstwie IP. Panujące dawniej przekonanie, że zaszyfrowane dane są absolutnie bezpieczne, nie sprawdza się w takim środowisku jak internet. Włamywacze dysponują obecnie szybkimi komputerami i stosują tak wyrafinowane technologie, że są w stanie złamać nawet bardzo mocne szyfry. I tak np. na ostatniej konferencji Black Hat jeden z hakerów zaprezentował program, który łamie szyfrowanie SSL i odczytuje dane przesyłane przez internet.

Polecamy: IPv6: 8 problemów bezpieczeństwa

Wielu użytkowników traktuje IPsec (standard szyfrowania wspierany przez IPv6) jako wystarczającą metodę ochrony danych. Wcale tak nie jest. Proszę tylko zwrócić uwagę na następujące fakty:

1. Standard IPv6 wspiera co prawda obligatoryjnie protokół szyfrowania IPsec, jednak protokół ten może być stosowany lub nie (jest to opcja, a nie obowiązek; patrz dokument RFC4301).

2. Ruch IPsec stanowi obecnie niewielki procent całego ruchu IPv4 (ze względu na problemy związane ze skalowalnością, współoperatywnością i innymi kwestiami technicznymi). Można więc sądzić, że podobnie będzie w sieciach opartych na protokole IPv6 i szyfrowanie IPsec nie będzie tu też stosowane powszechnie.

3. IPsec wspiera wiele algorytmów szyfrowania, co powoduje, że wdrożenie tego rozwiązania przysparza często użytkownikom sporo kłopotów i jest pracochłonne. To też powoduje, że po technologię tę nie sięga tak dużo użytkowników, jakby tego należało sobie życzyć.

Wiele firm sądzi, że nie decydując się na przejście na protokół IPv6 robi dobrze, gdyż chroni się w ten sposób przed różnego rodzaju zagrożeniami związanymi z niedoskonałościami tego protokołu w obszarze ochrony danych. To błędne rozumowanie. Prawdopodobieństwo, że ruch IPv6 tak czy inaczej trafi do naszej sieci (do pecetów czy też do rdzenia sieci LAN) jest bardzo wysokie. Proszę zauważyć, że większość nowych systemów operacyjnych jest dostarczana w konfiguracji, w której protokół IPv6 jest włączony (można to sprawdzić przez proste podejrzenie konfiguracji TCP/IP).

Rozwiązania bezpieczeństwa (sprzętowe czy programistyczne) oraz narzędzia używane do monitorowanie sieci, oparte na protokole IPv4, nie potrafią kontrolować czy blokować ruchu IPv6. A istnieje przecież inna metoda - można nie przechodzić na protokół IPv6, a wybrać rozwiązanie polegające na tunelowaniu ruchu IPv6 przez sieć IPv4 (używając tzw. brokerów). Jednak właśnie ta metoda otwiera przed hakerami nowe możliwości. Mogą oni tworzyć w takich sieciach IPv4 własne tunele IPv6 i wykorzystywać je do przeprowadzania ataków. Nasuwa się zresztą w tym momencie pytanie. Dlaczego tak wielu użytkowników decyduje się pomimo takiego zagrożenia na technologię tunelowania w wersji, gdy korzystają z usług nieznanych brokerów?

Dlatego technologię tunelowania ruchu IPv6 nie powinno się zasadniczo wykorzystywać do transferowania ważnych czy poufnych danych. Uruchamiając taką opcję na komputerze (np. oprogramowanie 6to4 na komputerach MAC czy Teredo na komputerach Windows) wystawiamy naszą sieć na niebezpieczeństwo, gdyż korzysta on wtedy z usług niesprawdzonych bramek IPv6.

Jedna z zaawansowanych opcji odzyskiwania połączeń, jaka została włączona do protokołu IPv6, pozwala administratorowi wybierać ścieżki, przez które będą transportowane pakiety (routing). Teoretycznie jest to istotne usprawnienie. Jednak biorąc pod uwagę bezpieczeństwo jest to już wątpliwe rozwiązanie. Gdy lokalna sieć IPv6 ulegnie np. awarii, opcja ta pozwala włamywaczowi w stosunkowo łatwy sposób zlokalizować taką sieć i uzyskać do niej dostęp.

Czy można zatem powiedzieć, iż odkładając na później wdrożenie protokołu IPv6 przyczyniamy się do tego, że hakerzy uzyskują nad nami jak i nad dostawcami rozwiązań IPv6 znaczącą przewagę. Odpowiedź brzmi: wygląda na to, że tak.

Dlatego lepiej jest chyba przechodzić na protokół IPv6 już teraz - nie spiesząc się i z rozwagą, ale wdrażać. Robiąc tak, ujawnimy wcześniej różnego rodzaju niedoskonałości i słabe punkty tego protokołu, a dostawcy rozwiązań IPv6 będą mogli od razu reagować na takie zagrożenia. Może będzie to nieco chaotyczny proces, ale lepiej przejść to wcześniej niż czekać aż popadniemy w pewnym momencie w poważniejsze kłopoty.

Czytaj również "IETF dyskutuje na temat bezpieczeństwa systemu DNS i protokołu IPv6" oraz "Nowa witryna zachęca do przechodzenia na IPv6".


Zobacz również