Как известно, ещё в феврале 2011 года у агентства IANA закончились адреса для распределения региональным регистраторам. По словам одного из отцов Интернета, Винта Серфа, необходимо срочно внедрять IPv6, иначе скоро целым компаниям и жилым районам придется работать на одном IP-адресе. И в полночь по Гринвичу 6 июня произошел “Всемирный запуск IPv6” (World IPv6 Launch) – акция, организованная Международным обществом интернета (ISOC). В этот момент крупнейшие мировые IT-компании одновременно включили на своем оборудовании и сервисах поддержку нового интернет-протокола IPv6 с длиной адреса в 128 бит. Поскольку IPv6 не имеет обратной совместимости с действующим сейчас IPv4, на сегодня оба протокола используются параллельно.
Начало миграции на новый протокол вызвало резкий скачок трафика как собственно IPv6, так и туннельных протоколов – 6in4, Teredo и др. Однако «сдача IPv6 в эксплуатацию» вызывает все больше вопросов, связанные с сетевой безопасностью. Проблему защиты данных в IPv6 попытался рассмотреть в своих исследованиях Роберт Хинден (Robert Hinden), сотрудник компании Check Point и один из создателей IPv6. В 2008 году он стал одним из лауреатов премии IEEE Internet Award благодаря своим передовым разработкма в области интернет-маршрутизаторов.
С точки зрения Р. Хиндена, компаниям, в которых развернуты компьютерные сети, следует уделять вопросам безопасности протокола IPv6 такое же серьезное внимание, что и IPv4. Тем, кто отвечает за практическую реализацию систем безопасности, необходимо знать основы нового протокола, чтобы правильно организовать переход. Кстати, в Интернете уже опубликованы советы и рекомендации по этому поводу – в том числе разработанные Национальным Институтом стандартов и технологий (NIST, США).
Одной из серьезных проблем новой технологии является способность неавторизованных туннельных протоколов скрывать трафик IPv6, что позволяет обходить устройства сетевой защиты. Для того чтобы перекрыть эти обходные пути, специалистам необходимо четко представлять себе принцип работы переходных механизмов IPv6.
Если устройства сетевой защиты обладают поддержкой IPv6, сейчас самое время включить ее. В некоторых операционных системах, например Windows Vista и Windows 7, механизмы перехода на IPv6 активны по умолчанию. Это означает, что возможности нового протокола задействуются без ведома ИТ-специалистов, и трафик начинает следовать в обход межсетевых экранов и систем предотвращения вторжений, предостерегает Р. Хинден.
Хосты и маршрутизаторы, использующие IPv6, соединяются с другими IPv6-устройствами в сетях IPv4 посредством туннелей. Сложность заключается в том, что туннели способны пробивать межсетевые экраны, и это позволяет потенциальным злоумышленникам обмануть систему безопасности и получить доступ к ресурсам локальной сети извне. Вот почему следует тщательно просчитывать и по возможности минимизировать использование туннельных протоколов (6to4 и т.п.) для поддержки перехода на IPv6.
Кроме того, сетевым администраторам необходимо иметь в виду, что протокол IPv6 уже может работать в корпоративной сети и являться скрытым каналом для ботнетов и хакеров. Даже если трафик IPv6 в организации невелик, нужно, чтобы инфраструктура безопасности умела его обнаруживать и обрабатывать. «Всем ясно, что невидимку поймать невозможно», — резюмирует один из отцов нового протокола.
Что касается безопасного развертывания IPv6, ключевыми словами здесь являются обнаружение и контроль. Системы сетевой защиты, работающие в организациях, должны поддерживать IPv6 и корректно обрабатывать его трафик. Иногда это требует обновления систем, так как системы предотвращения вторжений и межсетевые экраны прежних поколений могут оказаться не в состоянии контролировать трафик IPv6. К счастью, в течение последних нескольких лет большинство ведущих производителей систем сетевой защиты обеспечили в них поддержку IPv6. Компаниям лишь следует проконсультироваться с поставщиками по вопросу наличия в системах всей необходимой функциональности и начать внедрение нового протокола в своих сетях. Помочь в этом способны официально утвержденные программы тестирования IPv6 – например программа сертификации USGv6, разработанная специалистами NIST.
Однако самое главное условие обеспечения сетевой безопасности — мониторинг всего сетевого трафика, уверен Роберт Хинден. Все обнаруженные неавторизованные туннели должны своевременно блокироваться, чтобы защитить сеть от атак. Внедрение IPv6 в глобальном масштабе неизбежно, поэтому сегодня нужно предпринять все меры для того, чтобы переход на новый протокол не подверг корпоративные сети дополнительным угрозам вторжений.