Stále klesající počet IP adres ve verzi 4 (v severní Americe už od dubna dokonce museli přejít na tzv. krizový režim) vede k tomu, že organizace musejí začít brát zavádění IPv6 velmi vážně. Pakety IPv6 začínají běžně putovat sítěmi, síťoví inženýři ale musejí být stále velmi opatrní z důvodu přetrvávajících problémů se zabezpečením.
Přinášíme informace o šesti hlavních bezpečnostních rizicích v oblasti bezpečnosti sítí IPv6, jak je vybrali členové komunity 95 tisíc síťových profesionálů sítě gogoNet.
- Nedostatek školení a vzdělávání v oblasti bezpečnosti IPv6.
Největším současným rizikem je nedostatek bezpečnostních znalostí o protokolu IPv6. Podniky musejí investovat čas a peníze do školení pro zabezpečení IPv6 dříve, než budou tuto technologii nasazovat. Nebo se mohou rozhodnout riskovat problémy a vynakládat později více času a peněz na odstraňování nedostatků.
Zabezpečení sítě je účinnější, pokud se s ním počítá již ve fázi plánování namísto řešení až po nasazení. Není to oblast, kterou by bylo možné ošidit.
Podle Scotta Hogga, který napsal knihu o zabezpečení IPv6 a je i technologickým ředitelem společnosti Gtri, by „se všichni bezpečnostní odborníci měli naučit IPv6 už bezprostředně, protože organizace mají ve svých prostředích operační systémy schopné pracovat s IPv6 a ten bývá obvykle povolený.“
Nezvládnutí zabezpečení systémů IPv6 je stejné jako umožnit existenci obrovských zadních vrátek, tvrdí Hogg.
- Obcházení bezpečnostních zařízení pomocí nefiltrovaných a tunelovaných přenosů IPv6.
Nedostatek znalostí je větší riziko než samotné bezpečnostní produkty. Koncepčně je to jednoduché, zabezpečovací produkty musí dělat dvě věci -- rozpoznat podezřelé pakety IPv6 a dělat příslušnou kontrolu.
V praxi je to však téměř nemožné i u samotného protokolu v4, takže prostředí může obsahovat škodlivé nebo neznámé tunelované přenosy.
„Existuje šestnáct různých tunelovacích a přechodových metod, nemluvě o tunelování na vyšší vrstvě s využitím SSH, IPv4-IPSec, SSL/TLS a dokonce DNS,“ tvrdí Joe Klein, expert na kybernetické zabezpečení IPv6 Fora a hlavní kybernetický architekt společnosti Sra International. „Nejprve musíte vědět, co hledáte.“
V současné době používané bezpečnostní produkty, zejména ty, u kterých došlo ke konverzi z protokolu v4 na v6, nemusí být dostatečně vyzrálé, aby odpovídaly hrozbám, vůči kterým mají chránit.
3. Nedostatečná podpora IPv6 u poskytovatelů připojení k internetu a dodavatelů.
Důkladné testování bude zcela zásadní do doby, než se funkčnost a stabilita zabezpečení IPv6 dostane na stejnou úroveň jako u IPv4. Je potřeba navrhnout testovací síť a testovací plán pro testování veškerého vybavení -- zejména pro nové bezpečnostní technologie od dodavatelů.
Každá síť je jedinečná a vyžaduje jedinečný testovací plán, ale na webech lze najít určitou pomoc.
Situaci může dále komplikovat neexistence nativního připojení IPv6 od poskytovatele přístupu k internetu. Tunel připojený k vašemu rozhraní dále zvyšuje složitost zabezpečení a vytváří prostor pro útoky typu MITM (man-in-the-middle, člověk uprostřed) a DoS (denial-of-service, odepření služby).
Celý článek o bezpečnosti IPv6 obsahující všech šest popisovaných rizik se můžete dočíst v Computerworldu 11/2014.