Безопасность IPV6 | Статья в журнале «Техника. Технологии. Инженерия»

Авторы: ,

Рубрика: Спецвыпуск

Опубликовано в Техника. Технологии. Инженерия №2 (4) апрель 2017 г.

Дата публикации: 04.05.2017

Статья просмотрена: 164 раза

Библиографическое описание:

Хамраева С. И., Маримбаева С. А. Безопасность IPV6 // Техника. Технологии. Инженерия. — 2017. — №2.1. — С. 40-41. — URL https://moluch.ru/th/8/archive/57/2320/ (дата обращения: 24.10.2018).



Стандартизация протокола IPv6 и его поддержка производителями ОС и сетевого коммуникационного оборудования привела к возможности его применения в корпоративных сетях и сети Интернет. Однако, еди­новременный переход с протокола сетевого уровня IPv4 на протокол IPv6 в масштабах сети Интернет не­возможен. Данное ограничение создает необходимость одновременной поддержки обеих версий протокола и организации их совместной работы между собой на период перехода. Сложившаяся ситуация может по­тенциально привести к возникновению угроз инфор­мационной безопасности в корпоративных сетях.

Ключевые слова: IPv6, IPv4, IP адрес, защита, протокол.

Анализируя возможные проблемы совместимости обоих протоколов на базе туннелирования или транс­ляции можно сказать, что данные направления разви­тия изначально были не востребованы, из-за большего числа проблем и ограничений, если сравнивать с тех­нологией двойного стека. Разница в протоколах по ключевым параметрам является причиной пересмотра политик безопасности организации.

Практические исследования нового протокола с точки зрения защиты трафика и его одновременном использовании с IPv4, позволяют сформулировать следующие рекомендации для сети, в которой будет осуществляться обмен информацией с использовани­ем обоих протоколов:

1) Протокол IPv6 должен поддерживаться всеми сетевыми устройствами.

2) Тщательное планирование процессов перехода и совместного использования.

3) Использование межсетевых экранов не только на границе сетей, но и на каждом устройстве в сети.

4) Использование аутентификации.

Разработка протокола, который должен будет за­менить IPv4, проходила в то время, когда он сам еще активно развивался. Это является причиной схожести проблем связанных с безопасностью. Однако, в виду его направленности, решить архитектурные проблемы IPv4, существует разница обеспечения безопасности сетей, построенных на базе протокола IPv6. Исполь­зуя новый протокол, необходимо уделить больше внимаяния тем компонентам, обеспечивающих защи­ту, которым в сетях IPv4 не придавали особого значе­ния, например, межсетевому экрану [1].

Учитывая распространенность решений, поддерживающих IPv6 в стандартной конфигурации администраторам придется столкнуться с этим протоколом задолго до начала его развертывания в сети. В связи с этим хотелось бы обозначить основные проблемы безопасности IPv6 до того, как они станут предметом расследования инцидентов.

Введение в протоколе IPv6 поля «Метка потока» позволяет значительно упростить процедуру маршрутизации однородного потока пакетов. Поток — это последовательность пакетов, посылаемых отправителем определённому адресату. При этом предполагается, что все пакеты данного потока должны быть подвергнуты определённой обработке. Характер данной обработки задаётся дополнительными заголовками.

Допускается существование нескольких потоков между отправителем и получателем. Метка потока присваивается узлом-отправителем путём генерации псевдослучайного 20-битного числа. При получении первого пакета с меткой потока маршрутизатор анализирует дополнительные заголовки, выполняет предписанные этими заголовками функции и запоминает результаты обработки (адрес следующего узла, опции заголовка переходов, перемещение адресов в заголовке маршрутизации и т. д.) в локальном кэше. Время жизни записи в кэше составляет не более 6 секунд, даже если пакеты этого потока продолжают поступать. При обнулении записи в кэше и получении следующего пакета потока пакет обрабатывается в обычном режиме, и для него происходит новое формирование записи в кэше.

Обеспечение безопасности в протоколе IPv6 осуществляется с использованием протокола IPsec, поддержка которого является обязательной для данной версии протокола.

Благодаря своему большому адресному пространству, механизмам автоматической настройки, IPv6 расширяет возможности использования сетевых устройств. Однако это же приводит к тому, что он становится менее понятным и прозрачным для человека. Внешний вид записанного в HEX 128-битного IP-адреса на первых порах повергает в шок. В связи с этим, на мой взгляд, широкое внедрение IPv6 приведет к ещё большему возрастанию роли DNS. Если на данный момент в корпоративной сети администратор может воспользоваться «резервным» методом, и продиктовать пользователю IP-адрес вместо имени важного сервера, то довольно трудно представить себе пользователя, вбивающего в строке адреса браузера что-то типа 3ffe:da0c:8b93::da01:1193.

Кроме того, в случае использования DNS для распространения открытых ключей/сертификатов, применяемых для аутентификации в IPSec, возможность установления связи между двумя узлами (даже если IPv6-адреса известны) будет завесить от доступности службы DNS.

Часто IPv6 выпадает из зрения сетевых администраторов. При настройке межсетевых экранов, сканировании устройств на наличие «лишних» открытых портов, обнаружении атак администраторы обычно используют IPv4, но не IPv6. Это позволяет злоумышленнику использовать IPv6 для установки скрытых троянских программ, обхода межсетевых экранов и так далее.

Например, тривиальная задача инвентаризационного сканирования сети в случае с IPv6 будет весьма затруднена, поскольку стандартное количество адресов в одной подсети равняется 2^64. Я думаю, любой согласится, что использование простого перебора здесь не подойдет. Похоже, что сканерам уязвимостей, которые будут поддерживать протокол IPv6, придется реализовывать поиск узлов не на сетевом уровне, как сейчас, а используя широковещательные (точнее multicast, широковещательного трафика в IPv6 нет) запросы для каждого сегмента. Но это потребует либо настройки маршрутизаторов для передачи запросов на широковещательные адреса (что плохо), либо установки агентов в каждом сегменте [2].

Конечно, можно возразить, что, во-первых – устройство должно поддерживать IPv6, во-вторых, его должна поддерживать сетевая инфраструктура. Дело в том, что многие операционные системы уже сейчас поставляются с IPv6 включенным в стандартной конфигурации. В качестве примеров можно привести Linux RedHat (включая Fedora Core) и даже Windows Mobile. Было весьма удивительно обнаружить, когда КПК на основе Windows Mobile SE начал непринужденно рассылать ICMPv6 Neighbor Solicitation без какой-либо настройки с моей стороны. Кроме того, существует ряд технологий туннелирования, позволяющих передавать трафик IPv6 поверх IPv4 или IPv4 UDP. А как известно, туннели – враг межсетевых экранов.

Литература:

  1. Introduction to IPv6, Microsoft, http://www.microsoft.com/technet/itsolutions/network/ipv6/introipv6.mspx
  2. ABCs of IP Version 6, Cisco http://www.cisco.com/en/US/products/sw/iosswrel/ios_abcs_ios_the_abcs_ip_version_60900aecd800c112b.html
Основные термины (генерируются автоматически): DNS, протокол, сеть, поток, UDP, версия протокола, HEX, стандартная конфигурация, сетевой уровень.

Ключевые слова

протокол, защита, протокол, IPv4, IPv6, IP адрес

Похожие статьи

Роль протокола TCP в современных компьютерных сетях.

Поступающая к протоколу TCP информация от протоколов более высокого уровня рассматривается им как неструктурированный поток байтов [1]. Для передачи на сетевой уровень данный поток нарезается непрерывными кусками, называемыми сегментами.

Сравнение некоторых модификаций протокола TCP с ARTCP

Скачать электронную версию. Библиографическое описание

В протоколе ARTCP полностью переработан механизм алгоритм управления потоком, поэтому он избавлен от многих недостатков стандартного TCP.

Роль протокола TCP в современных компьютерных сетях.

Обзор проблемы несовместимости протоколов... | Молодой ученый

Рис. 1. Модель конфигурации сети.

То есть протокол UDP, в отличие от протокола TCP, не обращает никакого внимания на утерю пакетов, даже несмотря на их количество.

Стек протоколов TCP/IP включает в себя: транспортный и сетевой уровень.

Исследование влияния замещения протокола IPv4 протоколом...

В сети провайдера сетевого доступа протокол маршрутизации является средством

Отладка отключения интерфейса «Loopback0» в сети IP протокола версии 6.

Остальные узлы в сети запускают некоторый стандартный hop-by-hop протокол маршрутизации (например OSPF).

Метод анализа сетей IPv4 и IPv6 | Статья в журнале...

Для реализации сравнительного анализа производительности версий протокола IP была реализована

Длина сети 1 метр. Построенная схема отображает сеть уровня доступа.

Клиент генерирует различные типы трафика (в нашем случае TCP и UDP) и посылает на сервер.

Сравнительный обзор сетевых интерфейсов для коммутации...

Протокол IP предназначен для создания разветвлённых многосегментных сетевых топологий и решает проблему маршрутизации. UDP является одним из двух основных протоколов транспортного уровня. Он решает задачу адресации на конечных узлах сети с помощью...

Анализ системы мультиплексирования данных в распределенных...

Протокол Internet Protocol Security (IPSec) соответствует сетевому уровню модели OSI, и в настоящее время является

Протокол IPSec входит в состав новой версии протокола IP — IPv6.

Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.

Показатели угроз безопасности на уровнях модели OSI

Инкапсуляция сетевого уровня обеспечивает прохождение данных по сети к адресату (или другой сети) с минимальной нагрузкой.

Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI. Критерии: 1. Надежность соединения.

Разработка программного модуля для фильтрации сетевого...

Сетевой уровень предоставляет функции для передачи отдельных компонентов данных по сети между указанными оконечными устройствами. Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Роль протокола TCP в современных компьютерных сетях.

Поступающая к протоколу TCP информация от протоколов более высокого уровня рассматривается им как неструктурированный поток байтов [1]. Для передачи на сетевой уровень данный поток нарезается непрерывными кусками, называемыми сегментами.

Сравнение некоторых модификаций протокола TCP с ARTCP

Скачать электронную версию. Библиографическое описание

В протоколе ARTCP полностью переработан механизм алгоритм управления потоком, поэтому он избавлен от многих недостатков стандартного TCP.

Роль протокола TCP в современных компьютерных сетях.

Обзор проблемы несовместимости протоколов... | Молодой ученый

Рис. 1. Модель конфигурации сети.

То есть протокол UDP, в отличие от протокола TCP, не обращает никакого внимания на утерю пакетов, даже несмотря на их количество.

Стек протоколов TCP/IP включает в себя: транспортный и сетевой уровень.

Исследование влияния замещения протокола IPv4 протоколом...

В сети провайдера сетевого доступа протокол маршрутизации является средством

Отладка отключения интерфейса «Loopback0» в сети IP протокола версии 6.

Остальные узлы в сети запускают некоторый стандартный hop-by-hop протокол маршрутизации (например OSPF).

Метод анализа сетей IPv4 и IPv6 | Статья в журнале...

Для реализации сравнительного анализа производительности версий протокола IP была реализована

Длина сети 1 метр. Построенная схема отображает сеть уровня доступа.

Клиент генерирует различные типы трафика (в нашем случае TCP и UDP) и посылает на сервер.

Сравнительный обзор сетевых интерфейсов для коммутации...

Протокол IP предназначен для создания разветвлённых многосегментных сетевых топологий и решает проблему маршрутизации. UDP является одним из двух основных протоколов транспортного уровня. Он решает задачу адресации на конечных узлах сети с помощью...

Анализ системы мультиплексирования данных в распределенных...

Протокол Internet Protocol Security (IPSec) соответствует сетевому уровню модели OSI, и в настоящее время является

Протокол IPSec входит в состав новой версии протокола IP — IPv6.

Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.

Показатели угроз безопасности на уровнях модели OSI

Инкапсуляция сетевого уровня обеспечивает прохождение данных по сети к адресату (или другой сети) с минимальной нагрузкой.

Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI. Критерии: 1. Надежность соединения.

Разработка программного модуля для фильтрации сетевого...

Сетевой уровень предоставляет функции для передачи отдельных компонентов данных по сети между указанными оконечными устройствами. Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.

Посетите сайты наших проектов

Задать вопрос