IPv6
КОРПОРАТИВНЫМ СЛУЖБАМ информационной безопасности уже стоит присмотреться к IPv6, проверить, насколько этот протокол поддерживается используемыми на предприятии средствами связи и защиты
Источник: Yogesh Mhatre

Казалось бы, уже давно нужно всем миром перейти на новую нумерацию устройств, однако внедрение новой версии IP проходит слишком медленно. Большая часть систем в Интернете, как прежде, работает на старом протоколе, хотя во многих операционных системах IPv6 установлен в качестве протокола по умолчанию. «Я верю, что переход на IPv6 — это вопрос времени», — отметил Андрей Колесников, директор Координационного центра национального домена сети Интернет. Тем не менее большинству клиентов не удается подключиться к сети IPv6: возможно, есть причина, по которой переход на новую версию протокола оказывается сложнее, чем предполагали его разработчики?

Когда новую версию IP разрабатывали, то хотели исправить все недостатки предыдущей. Наиболее важной проблемой старых протоколов является ограничение числа IP-адресов — их не более 4 млрд. Были обнаружены проблемы с безопасностью в области взаимной аутентификации отправителя и получателя, а также в части шифрования передаваемых данных. Новый протокол имеет встроенные механизмы для аутентификации и шифрования, которые в предыдущей версии были реализованы на более высоком уровне — SSL и HTTPS. Впрочем, пользователь может их и не использовать, поскольку шифрование требует определенных вычислительных ресурсов, а их у устройства может и не хватить. Тем не менее протокол предусматривает механизмы защиты данных, и поэтому он становится более сложным и ресурсоемким. В частности, реализация стека в Windows сделана не очень хорошо — получение компьютером с этой операционной системой большого числа пакетов на изменение маршрутной таблицы может привести к блокировке данного компьютера.

Сложностью IPv6 является сильно увеличившееся адресное пространство — адресов в IPv6 примерно 340 ундециллионов (число с 37 нулями), что точно превышает количество элементарных частиц в Солнечной системе. То есть адресное пространство не закончится даже в том случае, если каждый атом Земли пометить собственным IP-адресом. Поэтому в новом протоколе единицей маршрутизации принято считать не отдельный адрес,а целую подсеть — сделано это для того, чтобы уменьшить размер таблиц маршрутизации. В результате принципы маршрутизации пока изменятся не сильно: Интернет останется разделенным на автономные системы со своими принципами маршрутизации в каждой, но содержимое подсети, закрепленной за устройством, можно использовать в том числе и для организации скрытых каналов передачи информации.

Кроме того, увеличение адресного пространства может сильно затруднить работу различных механизмов защиты, в частности использующих репутационные базы. Сейчас антивирусные компании ведут так называемые репутационные базы адресов, благонадежность которых подпорчена спамом, загрузкой вредоносных программ или участием в DDoS-атаках. Однако при переходе на более длинную нумерацию такая база должна сильно увеличиться и усложниться — для поиска по такой базе придется тратить большое количество вычислительных ресурсов. Кроме того, адресный ресурс настолько обширен, что спамеры и авторы вредоносных программ могут использовать отдельный адрес для отправки нового сообщения или заражения компьютера-жертвы. Таким образом, построение подобных репутационных баз по мере перехода на IPv6 должно сильно измениться.

В свою очередь изменится и работа клиентских приложений с такими базами, поскольку потребуется оптимизация как массива передаваемых данных, так и вычислительных ресурсов для обработки всех записей. Именно поэтому пока не разработано решений для эффективного контроля трафика IPv6, обнаружения в нем признаков атак, блокировки доступа к ресурсам, которая в последнее время требуется в соответствии с российским законодательством. Также придется разработать механизмы реализации СОРМ (системы оперативно-разыскных мероприятий). Связано это еще и с тем, что в спецификации IPv6 значительно больше возможностей по туннелированию передачи данных, а это затрудняет работу контрольных механизмов. «Встроенные в IPv6 механизмы туннелирования трафика гораздо изощреннее аналогичных в IPv4, что создает дополнительные сложности в обеспечении сетевой безопасности. Так что отмахиваться от вопросов обеспечения безопасности при использовании IPv6 будет с каждым годом все сложнее», — заметил Михаил Кадер, заслуженный системный инженер Cisco.

Как отмечалось выше, технология IPv6 уже поддерживается по умолчанию большим количеством программных решений и оборудования, но далеко не все они, особенно средства защиты прежнего поколения, могут полноценно контролировать данный протокол. В результате у злоумышленников появляется возможность использовать нерадивость разработчиков средств защиты или администраторов, чтобы обойти межсетевые экраны, спам-фильтры или средства обнаружения вторжения с помощью различных опций туннелирования, предусмотренных в IPv6. Поэтому сотрудникам служб информационной безопасности всегда нужно иметь инструменты для контроля этого протокола, даже в том случае, если на предприятии этот протокол не используется. Несанкционированное использование IPv6 позволяет посторонним открывать скрытые каналы и проникать внутрь корпоративной сети. Есть даже возможность скрытно передавать информацию прямо в адресах: обращение по определенному адресу будет являться символом в подобной шифровке. Внутри заголовков IPv6-пакетов есть пустоты, в которые можно помещать немало информации, неподконтрольной шлюзовым средствам защиты.

Сейчас протокол IPv6 используют в основном операторы связи и провайдеры Интернета. Это они распределяют адресные пространства, создают базовую инфраструктуру, обучаясь маршрутизации потоков. Практически у всех российских провайдеров уже есть наборы адресов IPv6, которые можно приобретать и использовать для работы — в частности, для создания виртуальных сетей. И, как отметил Кадер, операторы связи и поставщики телекоммуникационных услуг обычно используют для обеспечения безопасности не встроенные средства операционных систем, а специализированные решения, такие как межсетевые экраны, системы обнаружения или предотвращения вторжений, контроль электронной почты или веб-трафика. И если это современные средства обеспечения сетевой безопасности, то они уже распознают и поддерживают протокол IPv6 и защиту от связанных с ним угроз. В любом случае корпоративным службам информационной безопасности уже стоит присмотреться к IPv6, проверить, насколько этот протокол поддерживается используемыми на предприятии средствами связи и защиты. Если окажется, что с поддержкой IPv6 есть проблемы, то лучше запланировать переход на те версии или продукты, которые этот протокол поддерживают.