Rizika vyplývající z IPv6? Nejsou nikterak malá

Při přechodu na IPv6 musí síťoví administrátoři zvážit rizika, která jim tento protokol může přinést. Přinášíme šest nejvýznamnějších.

Rizika vyplývající z IPv6? Nejsou nikterak malá


Stále klesající počet IP adres ve verzi 4 (v severní Americe už od dubna dokonce museli přejít na tzv. krizový režim) vede k tomu, že organizace musejí začít brát zavádění IPv6 velmi vážně. Pakety IPv6 začínají běžně putovat sítěmi, síťoví inženýři ale musejí být stále velmi opatrní z důvodu přetrvávajících problémů se zabezpečením.

Přinášíme informace o šesti hlavních bezpečnostních rizicích v oblasti bezpečnosti sítí IPv6, jak je vybrali členové komunity 95 tisíc síťových profesionálů sítě gogoNet.

 

  1. Nedostatek školení a vzdělávání v oblasti bezpečnosti IPv6.

Největším současným rizikem je nedostatek bezpečnostních znalostí o protokolu IPv6. Podniky musejí investovat čas a peníze do školení pro zabezpečení IPv6 dříve, než budou tuto technologii nasazovat. Nebo se mohou rozhodnout riskovat problémy a vynakládat později více času a peněz na odstraňování nedostatků.

Zabezpečení sítě je účinnější, pokud se s ním počítá již ve fázi plánování namísto řešení až po nasazení. Není to oblast, kterou by bylo možné ošidit.

Podle Scotta Hogga, který napsal knihu o zabezpečení IPv6 a je i technologickým ředitelem společnosti Gtri, by „se všichni bezpečnostní odborníci měli naučit IPv6 už bezprostředně, protože organizace mají ve svých prostředích operační systémy schopné pracovat s  IPv6 a ten bývá obvykle povolený.“

Nezvládnutí zabezpečení systémů IPv6 je stejné jako umožnit existenci obrovských zadních vrátek, tvrdí Hogg.

 

  1. Obcházení bezpečnostních zařízení pomocí nefiltrovaných a tunelovaných přenosů IPv6.

Nedostatek znalostí je větší riziko než samotné bezpečnostní produkty. Koncepčně je to jednoduché, zabezpečovací produkty musí dělat dvě věci -- rozpoznat podezřelé pakety IPv6 a dělat příslušnou kontrolu.

V praxi je to však téměř nemožné i u samotného protokolu v4, takže prostředí může obsahovat škodlivé nebo neznámé tunelované přenosy.

„Existuje šestnáct různých tunelovacích a přechodových metod, nemluvě o tunelování na vyšší vrstvě s využitím SSH, IPv4-IPSec, SSL/TLS a dokonce DNS,“ tvrdí Joe Klein, expert na kybernetické zabezpečení IPv6 Fora a hlavní kybernetický architekt společnosti Sra International. „Nejprve musíte vědět, co hledáte.“

V současné době používané bezpečnostní produkty, zejména ty, u kterých došlo ke konverzi z protokolu v4 na v6, nemusí být dostatečně vyzrálé, aby odpovídaly hrozbám, vůči kterým mají chránit.

 

3. Nedostatečná podpora IPv6 u poskytovatelů připojení k internetu a dodavatelů.

Důkladné testování bude zcela zásadní do doby, než se funkčnost a stabilita zabezpečení IPv6 dostane na stejnou úroveň jako u IPv4. Je potřeba navrhnout testovací síť a testovací plán pro testování veškerého vybavení -- zejména pro nové bezpečnostní technologie od dodavatelů.

Každá síť je jedinečná a vyžaduje jedinečný testovací plán, ale na webech lze najít určitou pomoc.

Situaci může dále komplikovat neexistence nativního připojení IPv6 od poskytovatele přístupu k internetu. Tunel připojený k vašemu rozhraní dále zvyšuje složitost zabezpečení a vytváří prostor pro útoky typu MITM (man-in-the-middle, člověk uprostřed) a DoS (denial-of-service, odepření služby).

Celý článek o bezpečnosti IPv6 obsahující všech šest popisovaných rizik se můžete dočíst v Computerworldu 11/2014.

Úvodní foto: © hainichfoto - Fotolia.com



Vyšlo v Computerworldu 11/2014
Celý článek o bezpečnosti IPv6 obsahující všech šest popisovaných rizik se můžete dočíst v Computerworldu 11/2014.








Komentáře