Neviditelné přenosy IPv6 jako vážná hrozba (2.)

Protokol IPv6 – příští generace internetového protokolu – mnoha ředitelům IT a správcům sítí klidný spánek zatím nebere. Možná by však měl, protože rizika s ním spojená mohou být obrovská.


Dnes vám přinášíme dokončení včerejšího článku...

Podle expertů je poměrně pravděpodobné, že správci sítí zapomenou změnit výchozí nastavení protokolu IPv6 na některém počítači, serveru či mobilním zařízení ve své síti. Přitom ve stejnou dobu má většina organizací firewally založeny na protokolu IPv4 a síťové nástroje, které automaticky neblokují přenosy IPv6, jež přicházejí do jejich sítí.

„Nejběžnější útoky pomocí protokolu IPv6, které je možné dnes vidět, využívají zařízení na hranici sítě se zapnutou podporou obou protokolů – IPv4 a IPv6. Máte-li firewall schopný pracovat pouze s IPv4, mohou přenosy přes IPv6 mezi vámi a útočníkem probíhat,“ varuje Klein. „Útočník projde skrz váš firewall pomocí protokolu IPv6, protože je v tomto místě ochranný prvek zcela otevřen.“

Dalším běžným problémem jsou přenosy IPv6 tunelované přes IPv4 pomocí technik, jako je Teredo, která je podporována společností Microsoft, nebo alternativními protokoly jako 6to4 nebo ISATAP (Intra-Site Automatic Tunnel Addressing Protocol).

„Obvykle používaná zařízení pro zabezpečení protokolu IPv4 nejsou vyladěna ke sledování tunelů IPv6,“ říká Klein. „Nabízejí jen velmi slabou obranu.“ Podle Kleina je aktivní provozování protokolu IPv6 jediným způsobem, jak mohou správci sítí ve svých sítích zjistit zařízení pracující s IPv6. I tak je ale zjištění tunelů IPv6 extrémně obtížné.

„Může se vám podařit najít hlavní tři tunely, ale ne všechny ostatní podtunely,“ vysvětluje Klein. „Tunelovat IPv6 lze i prostřednictvím HTTP přes protokol IPv4. Jak to chcete zjistit?“ Například společnost Command Information nabízí pro boj s těmito hrozbami software s názvem Assure6, který spolupracuje se systémy pro hloubkovou inspekci paketů tak, aby identifikoval přenosy IPv6 tunelované přes protokol IPv4.

Podobně také řešení McAfee Network Security Platform nabízí úplnou inspekci tunelů a protokolu IPv6. Společnosti Cisco a Juniper zase poskytují směrovače pracující s protokolem IPv6, firewally a další systémy, které umožňují správcům sítí nastavit zásady zabezpečení pro IPv6.

Klein popisuje, že má měsíčně jeden až dva telefonáty s organizacemi, které byly napadeny prostřednictvím záškodnických přenosů IPv6. „Jedno z našich míst, kde jsme provedli instalaci ochrany, zažilo útok botnetu využívající pouze protokol IPv6,“ vzpomíná Klein. „Skrýval se za přenosy IPv4 přes klasický směrovač. Útočil a vydával příkazy a řídicí pokyny botnetu na Dálném východě.“

LeMaster tvrdí, že i když je počet útoků IPv6 zatím relativně malý, neustále roste. „Protokol IPv6 nemá zapnuto mnoho organizací, takže se nejedná o tak zajímavý cíl, jako je IPv4,“ dodává LeMaster. „Hlavní zranitelnosti souvisejí s protokolem HTTP. Jsou spojeny s aplikacemi, kde IPv6 slouží pouze jako přenosová vrstva pro účely zabezpečení.“

Frankelová tvrdí, že hrozby založené na protokolu IPv6 jsou tak reálné, že každý správce sítí potřebuje plán k jejich zmírnění. „Nikdo dnes nepopírá, že souvisejí s viry a spamem,“ dodává Frankelová. „Je rozumné prohlásit, že záškodnické přenosy přes IPv6 vycházející z této kategorie hrozeb vás dostihnou, budete-li je předtím ignorovat.“

Blokovat, nebo neblokovat IPv6?
Experti se neshodují, zda je pro správce sítí nejlepší blokovat přenosy prostřednictvím protokolu IPv6, nebo jestli je povolit za účelem sledování. Většina tvrdí, že není-li organizace připravena na podporu protokolu IPv6, měla by přenosy tímto protokolem mezi svou sítí a okolním světem blokovat použitím směrovačů, firewallů a systémů prevence narušení (IPS) a systémů detekce narušení (IDS), které s IPv6 dokáží pracovat.

„Správci sítí by měli vytvářet zásady, které by umožňovaly sledovat přenosy, zda neobsahují pakety protokolu IPv6, a pokud by se objevily, měly by být zahozeny,“ doporučuje LeMaster. „V použitém řešení musejí ve správci incidentů zabezpečení sledovat profily pro přenosy přicházející do jejich sítě. Tento přehled prostě potřebují. Pokud zaznamenají přenosy IPv6, musejí zjistit, odkud pocházejí a kam míří, a v případě potřeby takové transporty blokovat.“

Experti však připouštějí, že blokování přenosů protokolem IPv6 je pouze dočasné řešení, protože rostoucí počet zákazníků a obchodních partnerů bude protokol IPv6 podporovat.

„Nejste-li zatím na protokol IPv6 připraveni, je rozumné ho ve své síti nepovolit,“ radí LeMaster. „Neměli byste však blokovat veškeré přenosy protokolem IPv6 v následujících pěti letech. Blokování byste měli použít jen do té doby, než budete mít implementovány zásady a budete zmíněným hrozbám rozumět.“ Z dlouhodobé perspektivy je lepší řešení začít používat protokol IPv6, takže získáte přehled o přenosech IPv6 ve své síti a získáte také zkušenosti s novým protokolem, jak tvrdí experti.

„Nedoporučujeme vám blokovat přenosy protokolem IPv6. Doporučujeme provést audit a zjistit, kolik zařízení a aplikací s podporou IPv6 je ve vaší síti. Máte-li ve své síti přenosy přes IPv6, je vhodné si vytvořit plán, provést školení a protokol IPv6 implementovat,“ prohlašuje Lisa Donnanová, viceprezidentka řešení pokročilých technologií ve společnosti Command Information.

Například společnost Cisco doporučuje svým zákazníkům použít stejné zásady pro oba protokoly a implementovat je s využitím vrstev. „Správa a řízení konfigurace či zásady jsou nyní velmi důležité, protože všechna zařízení s protokolem IPv6 jsou v síti vidět,“ upozorňuje West.

Frankelová je přesvědčena, že nyní nastala ve společnostech vhodná doba pro to, aby zahájily školení personálu na protokol IPv6 a začaly s ním získávat zkušenosti – pak se dokážou bránit vůči útokům, které jej využívají.

„Společnosti potřebují získat minimální úroveň znalostí protokolu IPv6, která jim pomůže chránit se před hrozbami,“ prohlašuje Frankelová. „Dále by měly vzít své servery umístěné vně podnikových firewallů a povolit na nich protokol IPv6. Díky tomu budou zákazníci z Asie využívající transport dat přes IPv6 schopni přihlásit se k těmto serverům a vlastní personál s ním získá zkušenosti. To bude prvním krokem v procesu adopce IPv6.“

Protokol IPv6 pomalu přichází, jak konstatuje Frankelová. „Nejlepším způsobem je postavit se k tomu čelem a rozhodnout se provést implementaci nejbezpečnějším možným způsobem.“











Komentáře