Osm bezpečnostních aspektů spojených s implementací IPv6 (1)

Když skončily alokace IPv4, je čas začít nasazovat novou generaci internetového protokolu – IPv6. Je ale třeba být obezřetný.

Osm bezpečnostních aspektů spojených s implementací IPv6 (1)


Se svým 128bitovým adresovatelným prostorem (ve srovnání se 32bitovým prostorem IPv4) může IPv6 zvládnout neustálý exponenciální růst internetu, který v současné době představuje přidávání cca milionu nových zařízení každou hodinu.

Ve srovnání se 4,3 miliardy IP adres umožněných protokolem IPv4 umožňuje IPv6 dalších 340 sextilionů (tj. 340 x 10^36 adres), což je dost na uspokojení globálních internetových požadavků v předvídatelné budoucnosti.

Společně s pokračujícím nasazováním technologie DNSSEC (DNS Security Extensions) bude IPv6 konečně poskytovat stabilní a bezpečný základ pro budoucí internet. Aby byl přechod z IPv4 na IPv6 úspěšný, musí všichni z infrastruktury operátorů a poskytovatelů služeb až po vývojáře aplikací a uživatele spolupracovat na řadě aktivit včetně:

• podpory a vývoje možností IPv6 a vybudování funkční obdoby k IPv4,

• odladění problémů s novým softwarem a aplikacemi, které budou pracovat pouze s IPv6,

• vypilování vzájemné spolupráce a přechodové koexistence s IPv4.

 

Bezpečnostní problematika
Klíčová část tohoto úsilí bude zahrnovat zabezpečení. IPv6 představuje pro mnoho účastníků internetových aktivit nové území a jeho nasazení přinese některé mimořádné potíže  s bezpečností.
I když není následující seznam v žádném smyslu úplný, poukazuje na osm aspektů a problematických oblastí, které bude muset průmysl vyřešit během probíhajícího nasazování IPv6. Protože se stále nacházíme v raných fázích, přijde řešení některých těchto rizik až poté, co využití v reálném prostředí přinese takzvané ověřené nejlepší metody.

Překlad z IPv4 na IPv6, transakce mohou být zranitelné. Protože nejsou IPv4 a IPv6 přímo kompatibilní z hlediska přenášených bitů, je překlad protokolů považován jako jednu z cest k širšímu nasazení a přijetí.
Překlad přenosů z IPv4 na IPv6 nevyhnutelně vyústí ve zprostředkovatelské transakce při pohybu sítí. Představte si třídičku pošty, která musí v poštovním úřadě otevřít každou obálku IPv4 a vložit každý dopis do obálky IPv6, aby bylo zajištěno, že dorazí na správnou adresu. Současně se také musí změnit obsah přenášených dokumentů, aby odpovídaly nové informaci uvedené na externí obálce IPv6.
Při každém takovém kroku existuje riziko chybné implementace nebo zákroku zlomyslného aktéra, který může zneužít případnou zranitelnost. Navíc to kompromituje princip konec-konec (end-to-end principle), tj. namísto zpracování jen v koncových bodech by se zavedla mezilehlá místa zpracování, která musí udržovat stav transakce a komplikují síť.
Obecně by měl personál oddělení zabezpečení věnovat pozornost bezpečnostním aspektům všech překladových a přenosových mechanizmů (včetně tunelování) a povolit výslovně jen takové, které byly podrobně přezkoumány.
Velké síťové segmenty jsou jak dobré, tak i špatné. IPv6 přináší síťové segmenty, které jsou významně větší, než jsou segmenty existující v současnosti. Dosavadní doporučená délka prefixu pro podsíť IPv6 je /64 (2^64), což umožňuje použít cca 18 trilionů hostitelů v jednom segmentu.
I když to umožňuje virtuálně neomezený růst sítě LAN, přestavuje tato velikost také problém. Například by trvalo roky prohledat jeden blok IPv6 (/64) na zranitelnosti, zatímco jedna /24 podsíť IPv4 (2^8) zabere jen sekundy.
Protože je úplné prohledání nemožné, může být lepším přístupem využívat jen prvních /118 (stejný počet hostitelů jako u /22 při použití IPv4) z adres pro zúžení rozsahu adres, kde bude probíhat prohledávání nebo alokovat všechny adresy explicitně, a zakázat všechny ostatní implicitně.
Díky tomu budou důkladná správa a monitoring IP adres ještě důležitějšími než v současné době. Také lze očekávat nasazení pasivní analýzy DNS (Domain Name System) a dalších průzkumných technik útočníky namísto tradičního prohledávání.
Zjišťování souseda (ND, Neighbor Discovery) a žádosti (solicitation) mohou vystavit sítě problémům. ND v IPv6 využívá pět různých typů zpráv protokolu ICMPv6 (Internet Control Message Protocol version 6) pro několik účelů, jako například zjištění adres linkové vrstvy sousedů na připojených linkách, smazání již neplatných hodnot z paměti cache nebo zjištění sousedů ochotných přeposlat pakety v zastoupení.
I když ND nabízí mnoho užitečných funkcí včetně detekce duplicitní adresy (DAD, Duplicate Address Detection), představuje také příležitosti pro útočníky. Útoky ND v IPv6 pravděpodobně nahradí svou obdobu v oblasti IPv4, jako je ARP spoofing.
Obecně je dobrým nápadem zachovat porty vypnuté, dokud nebudou explicitně poskytnuty, implementovat řízení přístupu a bezpečnostní mechanizmy na linkové vrstvě a zajistit úplné zakázání protokolu IPv6 v místech, kde není využíván.

Úvodní foto: Scanrail - Fotolia.com










Komentáře