Безопасность IPV6
Авторы: Хамраева Саида Исмаиловна, Маримбаева Садокат Айбековна
Рубрика: Спецвыпуск
Опубликовано в Техника. Технологии. Инженерия №2 (4) апрель 2017 г.
Дата публикации: 04.05.2017
Статья просмотрена: 721 раз
Библиографическое описание:
Хамраева, С. И. Безопасность IPV6 / С. И. Хамраева, С. А. Маримбаева. — Текст : непосредственный // Техника. Технологии. Инженерия. — 2017. — № 2.1 (4.1). — С. 40-41. — URL: https://moluch.ru/th/8/archive/57/2320/ (дата обращения: 16.12.2024).
Стандартизация протокола IPv6 и его поддержка производителями ОС и сетевого коммуникационного оборудования привела к возможности его применения в корпоративных сетях и сети Интернет. Однако, единовременный переход с протокола сетевого уровня IPv4 на протокол IPv6 в масштабах сети Интернет невозможен. Данное ограничение создает необходимость одновременной поддержки обеих версий протокола и организации их совместной работы между собой на период перехода. Сложившаяся ситуация может потенциально привести к возникновению угроз информационной безопасности в корпоративных сетях.
Ключевые слова: IPv6, IPv4, IP адрес, защита, протокол.
Анализируя возможные проблемы совместимости обоих протоколов на базе туннелирования или трансляции можно сказать, что данные направления развития изначально были не востребованы, из-за большего числа проблем и ограничений, если сравнивать с технологией двойного стека. Разница в протоколах по ключевым параметрам является причиной пересмотра политик безопасности организации.
Практические исследования нового протокола с точки зрения защиты трафика и его одновременном использовании с IPv4, позволяют сформулировать следующие рекомендации для сети, в которой будет осуществляться обмен информацией с использованием обоих протоколов:
1) Протокол IPv6 должен поддерживаться всеми сетевыми устройствами.
2) Тщательное планирование процессов перехода и совместного использования.
3) Использование межсетевых экранов не только на границе сетей, но и на каждом устройстве в сети.
4) Использование аутентификации.
Разработка протокола, который должен будет заменить IPv4, проходила в то время, когда он сам еще активно развивался. Это является причиной схожести проблем связанных с безопасностью. Однако, в виду его направленности, решить архитектурные проблемы IPv4, существует разница обеспечения безопасности сетей, построенных на базе протокола IPv6. Используя новый протокол, необходимо уделить больше внимаяния тем компонентам, обеспечивающих защиту, которым в сетях IPv4 не придавали особого значения, например, межсетевому экрану [1].
Учитывая распространенность решений, поддерживающих IPv6 в стандартной конфигурации администраторам придется столкнуться с этим протоколом задолго до начала его развертывания в сети. В связи с этим хотелось бы обозначить основные проблемы безопасности IPv6 до того, как они станут предметом расследования инцидентов.
Введение в протоколе IPv6 поля «Метка потока» позволяет значительно упростить процедуру маршрутизации однородного потока пакетов. Поток — это последовательность пакетов, посылаемых отправителем определённому адресату. При этом предполагается, что все пакеты данного потока должны быть подвергнуты определённой обработке. Характер данной обработки задаётся дополнительными заголовками.
Допускается существование нескольких потоков между отправителем и получателем. Метка потока присваивается узлом-отправителем путём генерации псевдослучайного 20-битного числа. При получении первого пакета с меткой потока маршрутизатор анализирует дополнительные заголовки, выполняет предписанные этими заголовками функции и запоминает результаты обработки (адрес следующего узла, опции заголовка переходов, перемещение адресов в заголовке маршрутизации и т. д.) в локальном кэше. Время жизни записи в кэше составляет не более 6 секунд, даже если пакеты этого потока продолжают поступать. При обнулении записи в кэше и получении следующего пакета потока пакет обрабатывается в обычном режиме, и для него происходит новое формирование записи в кэше.
Обеспечение безопасности в протоколе IPv6 осуществляется с использованием протокола IPsec, поддержка которого является обязательной для данной версии протокола.
Благодаря своему большому адресному пространству, механизмам автоматической настройки, IPv6 расширяет возможности использования сетевых устройств. Однако это же приводит к тому, что он становится менее понятным и прозрачным для человека. Внешний вид записанного в HEX 128-битного IP-адреса на первых порах повергает в шок. В связи с этим, на мой взгляд, широкое внедрение IPv6 приведет к ещё большему возрастанию роли DNS. Если на данный момент в корпоративной сети администратор может воспользоваться «резервным» методом, и продиктовать пользователю IP-адрес вместо имени важного сервера, то довольно трудно представить себе пользователя, вбивающего в строке адреса браузера что-то типа 3ffe:da0c:8b93::da01:1193.
Кроме того, в случае использования DNS для распространения открытых ключей/сертификатов, применяемых для аутентификации в IPSec, возможность установления связи между двумя узлами (даже если IPv6-адреса известны) будет завесить от доступности службы DNS.
Часто IPv6 выпадает из зрения сетевых администраторов. При настройке межсетевых экранов, сканировании устройств на наличие «лишних» открытых портов, обнаружении атак администраторы обычно используют IPv4, но не IPv6. Это позволяет злоумышленнику использовать IPv6 для установки скрытых троянских программ, обхода межсетевых экранов и так далее.
Например, тривиальная задача инвентаризационного сканирования сети в случае с IPv6 будет весьма затруднена, поскольку стандартное количество адресов в одной подсети равняется 2^64. Я думаю, любой согласится, что использование простого перебора здесь не подойдет. Похоже, что сканерам уязвимостей, которые будут поддерживать протокол IPv6, придется реализовывать поиск узлов не на сетевом уровне, как сейчас, а используя широковещательные (точнее multicast, широковещательного трафика в IPv6 нет) запросы для каждого сегмента. Но это потребует либо настройки маршрутизаторов для передачи запросов на широковещательные адреса (что плохо), либо установки агентов в каждом сегменте [2].
Конечно, можно возразить, что, во-первых – устройство должно поддерживать IPv6, во-вторых, его должна поддерживать сетевая инфраструктура. Дело в том, что многие операционные системы уже сейчас поставляются с IPv6 включенным в стандартной конфигурации. В качестве примеров можно привести Linux RedHat (включая Fedora Core) и даже Windows Mobile. Было весьма удивительно обнаружить, когда КПК на основе Windows Mobile SE начал непринужденно рассылать ICMPv6 Neighbor Solicitation без какой-либо настройки с моей стороны. Кроме того, существует ряд технологий туннелирования, позволяющих передавать трафик IPv6 поверх IPv4 или IPv4 UDP. А как известно, туннели – враг межсетевых экранов.
Литература:
- Introduction to IPv6, Microsoft, http://www.microsoft.com/technet/itsolutions/network/ipv6/introipv6.mspx
- ABCs of IP Version 6, Cisco http://www.cisco.com/en/US/products/sw/iosswrel/ios_abcs_ios_the_abcs_ip_version_60900aecd800c112b.html
Похожие статьи
Практика защиты информации в Wi-Fi сетях на основе современных программно-аппаратных средств
Целью работы является изучение современного состояния средств защиты информации в беспроводных сетях на основе групп протоколов IEEE 802.11, а также разработка комплекса мер для усиления безопасности на основе практических пошаговых рекомендаций. Дан...
Переход сетевых технологий передачи данных к SDN/NFV
В статье рассматривается эволюция сетевых моделей и самих технологий передачи данных с коммутацией пакетов. Изучены основные факторы, ограничивающие существующую сетевую архитектуру. Проанализированы архитектуры, функциональные возможности современны...
Анализ влияния использования протоколов MPLS и RSVP на надежность сети NGN
В статье проведено аналитическое исследование работы протоколов MPLS и RSVP в сети NGN. Показано эффективное использование протоколов MPLS на уровне ядра и RSVP на уровне доступа сети NGN. Получены графики зависимости качества обслуживания по парамет...
Современные технологии защиты информации в распределённых системах
В статье рассматривается проблема обеспечения защищенности информации в распределённых информационных системах и безопасности таких систем, построенных на базе современных, высокоскоростных, компьютерных сетей. Применение и возможности средств защиты...
Проблемы учета основных средств интернет-провайдера ООО «НПП «МИСТ»
В современных реалиях функционирование и жизнедеятельность любого хозяйствующего субъекта или физического лица невозможна без доступа к сети Интернет. В свою очередь существование интернет-провайдера невозможно без специфических для отрасли основных ...
Мониторинг серверов на базе операционных систем семейства Linux: современные подходы и инструменты
В условиях растущей зависимости от информационных технологий и цифровой трансформации, мониторинг серверов на базе операционных систем семейства Linux становится краеугольным камнем для бесперебойной работы бизнес-систем и обеспечения безопасности да...
Информационная безопасность в виртуальном пространстве: организационно-методический аспект
Современная действительность, представленная миром компьютерной техники и технологий, ставит перед человеком задачу освоения новых рубежей знаний в условиях непрерывно изменяющихся реалий. Однако, как указывает практика, сфера безопасного использован...
Особенности использования корпоративной информационной системы
В статье рассмотрено преимущество внедрения и использования корпоративных информационных систем, основной задачей которой является обеспечение безперебойной и системной работы внутриорганизационных подразделений, также и организация контроля поступаю...
Особенности правового статуса информационных средств индивидуализации субъектов предпринимательской деятельности
Данная статья посвящена анализу правового статуса современных средств индивидуализации, которые на сегодняшний день не имеют юридической регламентации. Высокая степень доступности компьютерных технологий, а также возможность сохранения анонимности в ...
Модернизация и дополнение IT-архитектуры предприятия посредством шины данных
В статье автор рассматривает шину данных как ключевой элемент современной ИТ-архитектуры, обеспечивающий эффективное взаимодействие между различными системами предприятия. Шина данных упрощает процесс интеграции и позволяет централизованно управлять ...
Похожие статьи
Практика защиты информации в Wi-Fi сетях на основе современных программно-аппаратных средств
Целью работы является изучение современного состояния средств защиты информации в беспроводных сетях на основе групп протоколов IEEE 802.11, а также разработка комплекса мер для усиления безопасности на основе практических пошаговых рекомендаций. Дан...
Переход сетевых технологий передачи данных к SDN/NFV
В статье рассматривается эволюция сетевых моделей и самих технологий передачи данных с коммутацией пакетов. Изучены основные факторы, ограничивающие существующую сетевую архитектуру. Проанализированы архитектуры, функциональные возможности современны...
Анализ влияния использования протоколов MPLS и RSVP на надежность сети NGN
В статье проведено аналитическое исследование работы протоколов MPLS и RSVP в сети NGN. Показано эффективное использование протоколов MPLS на уровне ядра и RSVP на уровне доступа сети NGN. Получены графики зависимости качества обслуживания по парамет...
Современные технологии защиты информации в распределённых системах
В статье рассматривается проблема обеспечения защищенности информации в распределённых информационных системах и безопасности таких систем, построенных на базе современных, высокоскоростных, компьютерных сетей. Применение и возможности средств защиты...
Проблемы учета основных средств интернет-провайдера ООО «НПП «МИСТ»
В современных реалиях функционирование и жизнедеятельность любого хозяйствующего субъекта или физического лица невозможна без доступа к сети Интернет. В свою очередь существование интернет-провайдера невозможно без специфических для отрасли основных ...
Мониторинг серверов на базе операционных систем семейства Linux: современные подходы и инструменты
В условиях растущей зависимости от информационных технологий и цифровой трансформации, мониторинг серверов на базе операционных систем семейства Linux становится краеугольным камнем для бесперебойной работы бизнес-систем и обеспечения безопасности да...
Информационная безопасность в виртуальном пространстве: организационно-методический аспект
Современная действительность, представленная миром компьютерной техники и технологий, ставит перед человеком задачу освоения новых рубежей знаний в условиях непрерывно изменяющихся реалий. Однако, как указывает практика, сфера безопасного использован...
Особенности использования корпоративной информационной системы
В статье рассмотрено преимущество внедрения и использования корпоративных информационных систем, основной задачей которой является обеспечение безперебойной и системной работы внутриорганизационных подразделений, также и организация контроля поступаю...
Особенности правового статуса информационных средств индивидуализации субъектов предпринимательской деятельности
Данная статья посвящена анализу правового статуса современных средств индивидуализации, которые на сегодняшний день не имеют юридической регламентации. Высокая степень доступности компьютерных технологий, а также возможность сохранения анонимности в ...
Модернизация и дополнение IT-архитектуры предприятия посредством шины данных
В статье автор рассматривает шину данных как ключевой элемент современной ИТ-архитектуры, обеспечивающий эффективное взаимодействие между различными системами предприятия. Шина данных упрощает процесс интеграции и позволяет централизованно управлять ...