Protokol IPv6 může přinést nové bezpečnostní problémy

Americký National Institute of Standards and Technology (NIST) varuje před nepromyšleným přechodem z IPv4 na IPv6.

Protokol IPv6 může přinést nové bezpečnostní problémy


Řada vlád a jejich úřadů má velké zpoždění oproti vlastním termínům pro implementaci nového internetového protokolu IPv6. Přechod z IPv4 mohou blokovat i bezpečnostní oddělení, například pokud se řídí doporučením americké organizace NIST.

Samozřejmě nadále platí důvody k urychlenému přechodu na internetový protokol IPv6. Adresy IPv4 jsou jednotlivým poskytovatelům centrálně přiřazovány po velkých blocích, které se dále dělí mezi konkrétní zákazníky. To všem není zcela efektivní využití spojitého adresního prostoru a díky divokému růstu Internetu v předchozích letech hrozilo jeho bezprostřední vyčerpání. V případě IPv6 je množství možných adres o tolik větší, že jejich přidělování již nikdy problémem nebude.

Samozřejmě, jak se několikrát ukázalo, krize nedostatku adres IPv4 se několikrát odkládala. Jedním z důvodů je především omezení používání vnějších statických IP adres. V takových případech jsou skupiny zařízení skryté prostřednictvím techniky překladu adres ukryté za adresou jedinou a samy pro vzájemnou komunikaci používají typ adres určených pro privátní adresy, které lze používat ve více organizacích současně.

Typickým příkladem poskytovatelů internetu, kteří takto postupují, jsou mobilní operátoři. Ti provozují miliardy uživatelů, ale při tom je jejich spotřeba jedinečných adres minimální. Současně probíhají pokusy o jakousi burzu adresních bloků, které se ale příliš nerozšířily, protože znamenaly zbytečné komplikace pro operátory, kteří si stejně drží řadu adres v rezervě.

Úřad NIST svým varováním o potenciálních hrozbách spojených s IPv6 přechodu příliš nepomůže. Podle jeho pracovní skupiny většina vládních organizací používá sítě navržené pouze pro práci s IPv4 a běh obou generací protokolů současně je problematický. Současně bezpečnostní nástroje mají potíže chránit i zařízení IPv4 přes desetiletí, po které jejich výrobci sbírali zkušenosti. A existují oprávněné obavy, že řada útočníků experimentuje s novými typy útoků a čeká na okamžik přepnutí cílových sítí. Pravděpodobnost útoků je proto velmi vysoká. Dokumenty pracovní skupiny NIST dokonce citují důkazy, že útočníci našli způsoby, jak tunelovat ze sítí IPv4 do IPv6 se současným obejitím bezpečnostních opatření.

Představitelé bezpečnostních výrobců nesouhlasí. Například podle Microsoftu s protokolem IPv6 pracoval již systém Windows XP SP 2. V té době měl spíše formu doplňkového modulu, ale byl testován ve velkém množství prostředí a zařízení. Všechny moderní verze Windows již mají přepracovaný TCP-IP stack ve svých základech a jsou zcela připraveny na nasazování do moderních sítí a není třeba se ničeho obávat.

NIST ovšem nesouhlasí a doporučuje, aby veškerá komunikace přes IPv6 byla v sítích blokována, dokud nebudou implementovány adekvátní bezpečnostní protokoly. Existuje dostatečné množství malwaru, připraveného na útoky, který dosud není aktivní z jednoduchého důvodu – že sítě IPv6 prostě nejsou k dispozici.

 

Úvodní foto: © HAWISCHA - Fotolia.com










Komentáře