Невидимый трафик IPv6 несет угрозу современным сетям

17/07/2009 13:19

Некоторые эксперты в области сетевой безопасности считают, что в сетях большинства американских организаций имеет место скрытое перемещение трафика на базе протокола IPv6, и очень немного сетевых администраторов имеют в своем распоряжении средства для обнаружения, управления и блокировки этих потоков данных. Соответственно, IPv6-трафик все чаще используется злонамеренными гражданами для организации сетевых атак. Сетевой администратор может даже не догадываться, что в его сети есть хост с поддержкой IPv6, пользующийся повышенным вниманием со стороны злоумышленников. IPv6 является, по всей видимости, следующим протоколом, который поддержит, а затем придет на смену, используемого в настоящее время по умолчанию, IPv4. Шестая версия протокола обеспечивает куда более обширное адресное пространство, повышенные возможности обеспечения сетевой безопасности, а также, куда большие возможности поддержки потокового мультимедиа и одноранговых приложений. Возможность перехода на IPv6 существует уже несколько лет, но американские организации предпочитают пока не спешить с этим процессом. Правда, по прогнозам аналитиков, к 2011 году адресное пространство IPv4 будет полностью исчерпано, так что переход на IPv6 является лишь делом времени, пишет Network World. Угрозы современным сетям, связанные с использованием IPv6-трафика, пока еще не вполне очевидны, но уже достаточно осознаваемы в США. Например, этот вопрос обсуждался на июньском заседании американского национального комитета по надзору за телекоммуникационной безопасностью (National Security Telecommunications Advisory Committee). А федеральные учреждения в большинстве своем имеют планы и бюджеты для интеграции IPv6 в архитектуру своих сетей. Специалисты по безопасности отмечают, что даже в том случае, если в организации не предусмотрено использование протокола шестой версии, сетевому администратору необходимо иметь в своем распоряжении системы предотвращения несанкционированного доступа к сети "умеющие" блокировать не только обычный IPv6-трафик, но и трафик передаваемый через туннель в сети IPv4. И, разумеется, поддержка протокола IPv6 должна быть отключена на всех устройствах, подключенных к сети. Ведь во многих операционных системах поддержка протокола IPv6 по умолчанию разрешена. Один из специалистов по сетевой безопасности, например, оценивает число компьютеров в США с разрешением на использование IPv6 (по умолчанию) в 300 млн. единиц. Это означает, что во многих организациях есть несколько устройств (настольных или мобильных компьютеров, серверов и т.п.), на которых системные администраторы забывают запретить IPv6, а брэндмауэры рассчитаны на работу исключительно с IPv4. Именно на этой уязвимости основано большинство зафиксированных в настоящее время атак с использование IPv6. Число таких атак пока невелико, но лишь потому, что не так и много адресов IPv6, по сравнению с IPv4, подключено к сети. В целом же, их достаточно, чтобы все системные администраторы принимали во внимание наличие этой угрозы. Вместе с тем, эксперты предупреждают, что не стоит бездумно блокировать абсолютно весь трафик IPv6. Все больше компьютеров в глобальное сети начинают использовать новый протокол, поэтому к угрозам на его основе следует относится серьезно, что вовсе не означает полного отказа от него. Необходимо просто хорошо представлять себе какое количество устройств с поддержкой IPv6 находится в сети предприятия и планомерно изучать особенности использования нового протокола. Ведь IPv6 становится повседневной реальностью, спрятаться от которой уже в ближайшие годы просто не удастся.
Источник