Neviditelné přenosy IPv6 jako vážná hrozba (1.)

Sdílet

Protokol IPv6 – příští generace internetového protokolu – mnoha ředitelům IT a správcům sítí klidný spánek zatím nebere. Možná by však měl, protože rizika s ním spojená mohou být obrovská.

Experti tvrdí, že většina organizací má ve svých sítích přenosy IPv6 skryté a jen málo síťových správců je vybaveno takovými systémy, které jsou schopny je zaznamenat, a mohli je tak řídit nebo blokovat. Tyto záškodnické přenosy IPv6 stále častěji zahrnují útoky, jako jsou operace s botnety.

„Pokud nesledujete svou síť z hlediska přenosů IPv6, může být cesta tvořená tímto protokolem použita jako dopravní tepna pro útok,“ prohlašuje Tim LeMaster, ředitel řízení systémů ve společnosti Juniper. „Správci sítí nechápou, že mohou mít ve své infrastruktuře uživatele provozující protokol IPv6 na hostitelském počítači a že někdo může s tímto strojem realizovat záškodnické přenosy dat bez jejich vědomí.“

Většina síťových správců je vůči záškodnickým přenosům IPv6 slepá, protože jejich firewally, systémy detekce narušení (IDS) a nástroje pro správu sítě zmíněný protokol nezohledňují. Přenosy IPv6 také mohou být tunelovány přes spojení IPv4 a tvářit se jako řádné pakety IPv4, dokud organizace nenasadí bezpečnostní mechanizmy pro zkoumání těchto tunelovaných přenosů.

„Nejméně polovina ředitelů IT v USA má ve svých sítích protokol IPv6, o kterém v zásadě nic nevědí, ale hackeři ano,“ tvrdí Yanick Pouffary, technologický ředitel organizace North American IPv6 Task Force a technolog ze společnosti Hewlett-Packard. „Protokol IPv6 si nemůžete dovolit ignorovat. Je nutné provést minimální kroky k zabezpečení vašich hranic. Potřebujete firewally rozumějící kromě IPv4 také IPv6 a rovněž nástroje síťové správy rozumějící oběma zmíněným technologiím zároveň.“

„Ačkoli většina z firem na seznamu Fortune 500 zatím o nasazení zařízení využívajících IPv6 nepřemýšlí, už ho ve svých sítích bez svého vědomí mají,“ konstatuje Dave West, ředitel divize řízení systémů ve společnosti Cisco. „Možná dnes nepovažujete IPv6 za nezbytný pro podnikání, ale ať už se vám to líbí nebo ne, IPv6 ve své síti již provozujete.“

Protokol IPv6 je dlouho očekávaným upgradem hlavního komunikačního protokolu internetu známého pod zkratkou IPv4. Na rozdíl od něj však disponuje mnohem větším adresovacím prostorem, vestavěným zabezpečením a vylepšenou podporou pro média vysílaná prostřednictvím datových proudy a pro aplikace peer-to-peer.

IPv6 je přitom k dispozici již deset let a v mnoha zemích se ujímá jen pomalu. Nyní, když se očekává brzké vyčerpání adresového prostoru IPv4 (podle posledních informací by k tomu mohlo dojít už v roce 2011), se zvyšuje tlak na poskytovatele internetových služeb a na korporace, aby ve své infrastruktuře protokol IPv6 v nadcházejících letech urychleně nasadily.

Hrozby vyplývající z protokolu IPv6 sice nejsou dobře chápány, ale stávají se mnohem významnějšími. Problém útoků využívajících IPv6 byl například zmíněn na červnovém shromáždění komise National Security Telecommunications Advisory Committee, která představuje vysoce postavenou průmyslovou skupinu poskytující poradenství Bílému domu v oblasti kyberbezpečnosti.

„Zaznamenáváme docela značné přenosy příkazů a řízení provozu prostřednictvím protokolu IPv6,“ upozorňuje Jason Schiller, síťový inženýr pro internet a veřejné IP sítě ve společnosti Verizon Business. „Hackeři se jej pokoušejí využívat k tomu, aby se pohybovali mimo záběr tzv. síťových radarů. Vidíme řadu botnetů, kde jsou příkazy a řízení realizovány prostřednictvím protokolu IPv6. Také zaznamenáváme nelegální sdílení souborů využívající IPv6 pro komunikaci typu peer-to-peer.“

Záškodnické přenosy protokolem IPv6 jsou pro správce sítí rostoucí hrozbou. Největší riziko se týká organizací, které se rozhodly zpozdit nasazení protokolu IPv6, protože nevidí k upgradu podnikatelský důvod – to je kategorie, která zahrnuje většinu korporací.

Například státní úřady v USA jsou díky své ochraně před hrozbami vyplývajících z protokolu IPv6 oproti mnohým korporacím v lepší pozici, protože již mají IPv6 ve svých páteřních sítích implementován a podle odborníků postupují dále kupředu se svými plány integrovat tuto technologii do svých architektur.


Přenosy IPv6 provozované s nekalým úmyslem „jsou velmi reálnou hrozbou“, varuje také Sheila Frankelová, která se zabývá informatikou v oddělení počítačové bezpečnosti Národního institutu standardů a technologií (NIST). „Lidé mohou mít ve svých sítích přenosy realizované přes IPv6 a nemusejí o tom vůbec vědět. Počítače a další zařízení mohou být dodávána se aktivním protokolem IPv6. Pokud nejste připraveni chránit se vůči tomu, můžete situaci vyřešit jeho vypnutím ve všech svých síťových zařízeních. Je nutné připravit se na blokování IPv6 již na svých hranicích. Je potřeba ho zablokovat u příchozích i odchozích přenosů,“ radí Frankelová.

Frankelová doporučuje, aby organizace, které nechtějí provozovat přenosy přes protokol IPv6 v rámci svých obchodních aktivit, zakoupily firewally a systémy IDS schopné blokovat nativní i tunelované přenosy IPv6.

„Je nutné zablokovat nejen nativní přenosy protokolem IPv6, ale také přenosy zabalené v rámci jiných přenosů,“ vysvětluje Frankelová. „Síťoví operátoři si musejí dát pozor na možné způsoby tunelování protokolu IPv6 prostřednictvím přenosů IPv4 a dalších typů transportních mechanizmů. Musejí věnovat pozornost pravidlům potřebným k blokování těchto různých přenosových tříd.“

Nekalé přenosy IPv6
Přenosy pomocí IPv6 se dostávají do sítí, protože mnoho operačních systémů – včetně systémů Microsoft Vista, Windows Server 2008, Mac OS X, Linux i Solaris – je dodáváno ve výchozím stavu s aktivovaným protokolem IPv6. Správci sítí jej musí zakázat v každém zařízení, které do svých sítí instalují, jinak mohou tyto systémy přijímat a odesílat informace přes IPv6.

„Mluvíme pravděpodobně o 300 milionech systémů, které mají ve výchozím stavu zapnutý IPv6,“ odhaduje Joe Klein, ředitel pro zabezpečení protokolu IPv6 ve společnosti Command Information, která poskytuje konzultace k protokolu IPv6. „Považujeme to za obrovské riziko.“

Dokončení článku vám přineseme zítra...