IPv6 – nowe funkcje i bezpieczeństwo – str. 3

0

Wdrożenia IPv6
Na całym świecie realizowane są projekty stymulujące popularyzację IPv6. Komisja Europejska wspiera projekty 6NET, 6DISS, 6Deploy, U-2010, w Chinach realizowane jest przedsięwzięcie Next Generation Internet (NGI), różne działania promocyjne podejmuje rząd Japonii. To tylko kilka przykładów.

Projekt U-2010 (www.u-2010.eu) dobrze pokazuje możliwości wykorzystania IPv6. W ramach tego projektu ma powstać rozwiązanie komunikacyjne, dające dostęp do informacji odpowiednim służbom w przypadku wypadków, katastrof, aktów terroru czy różnych sytuacji kryzysowych.

China Next Generation Internet jest projektem prowadzonym przez rząd Chin, w który zaangażowane jest aż 8 ministerstw. Dotychczas projekt został dofinansowany kwotą 170 milionów dolarów. Sieć powstała w ramach tego projektu była wykorzystywana podczas Olimpiady w Pekinie.

W Japonii sieć IPv6 została wdrożona przez firmę NTT. Wykosztuje się ją do powiadamiania o trzęsieniach ziemi. W domach instalowane są specjalne terminale, które odbierają transmisje multicast IPv6 z informacjami o przewidywanych trzęsieniach. W skład rozwiązanie wchodzą jeszcze czujniki, serwery zbierające dane z czujników oraz serwery multicast. Przewiduje się również wykorzystanie klientów VPN IPv6 w telefonach z systemami operacyjnymi Windows Mobile, co pozwoliłoby zastosować je do komunikacji VoIP czy zdalnego dostępu (remote desktop). W marcu 2008 NTT uruchomiła sieć Next Generation Network (NGN), przygotowaną do obsługi IPv6, QoS oraz usług szerokopasmowych. W rdzeniu tej sieci pracują urządzenia Cisco CRS-1, natomiast na jej brzegu urządzenia z serii Cisco ASR1000.

IPv6 od podszewki
Zasadniczo protokół IPv6 jest udoskonaloną wersją IPv4. Większość protokołów warstwy transportowej i aplikacji wymaga niewielkich lub żadnych modyfikacji, za wyjątkiem takich protokołów, jak FTP czy NTPv3.

IPv6 definiuje nowy format pakietów, który zaprojektowano z myślą o zminimalizowaniu nagłówka i operacji związanych z jego przetwarzaniem. Ponieważ nagłówki IPv4 i IPv6 znacznie się różnią, te dwa protokoły nie są ze sobą kompatybilne.

Większa przestrzeń adresowa
Najważniejszą cechą IPv6 jest ogromna przestrzeń adresowa. Adres IPv6 składa się ze 128-bitów – jest więc cztery razy dłuższy niż adres IPv4. Liczba dostępnych adresów wynosi 3,4×1038, co daje ponad sześć miliardów adresów na każdego żyjącego człowieka.
Te liczby robią wrażenia, ale nie one były głównym celem projektantów IPv6. Dłuższy adres pozwala na bardziej usystematyzowaną i hierarchiczną alokację adresów oraz wydajną agregację tras routingu.

W przypadku IPv4 stosowana złożoną technikę CIDR (Classless Inter-Domain Routing), aby jak najlepiej wykorzystać ograniczoną przestrzeń adresową. Dlatego zmiana numeracji istniejącej sieci, np. w przypadku korzystania z usług nowego dostawcy, jest poważnym zadaniem w przypadku IPv4. W sieci IPv6 zmiana prefiksów w kilku routerach spowoduje natychmiastową zmianę numeracji w całej sieci, ponieważ identyfikatory hostów (ostanie 64 bity adresu IPv6) są niezależne od identyfikatora podsieci i prefiksu routingu dostawcy usług sieciowych. Wielkość podsieci IPv6 wynosi 264 adresów, co odpowiada kwadratowi całej przestrzeni adresowej IPv4. Dlatego stopień wykorzystania przestrzeni adresowej IPv6 będzie niski, ale za to zarządzanie siecią i routing staną się bardziej efektywne.

Bezstanowa autokonfiguracja adresu
Urządzenia sieciowe IPv6 mogą same, automatycznie konfigurować swój adres IP, wykorzystując do tego celu protokół ICMPv6. W momencie pierwszego podłączenia do sieci urządzenie wysyła lokalną transmisję multicast (router solicitation), aby otrzymać parametry konfiguracji routera. Jeśli router jest skonfigurowany prawidłowo, w odpowiedzi odeśle pakiet zawierający parametry konfiguracji warstwy sieci (router advertisement).

Jeśli SLAAC (stateless address autoconfiguration) nie sprawdza się w przypadku jakiejś aplikacji, host może wykorzystywać pełnostanową autokonfigurację (DHCPv6) lub być konfigurowany ręcznie. Routery nie korzystają z autokonfiguracji bezstanowej.

Multicast
Multicast (wysłanie jednego pakietu do wielu adresatów) jest częścią specyfikacji IPv6. W protokole IPv4 multicast jest opcjonalną funkcjonalnością, ale z reguły implementowaną. IPv6 nie implementuje rozgłaszania (broadcasting), ponieważ ten sam efekt osiąga się poprzez wysłania pakietu do lokalnej grupy multicast. Obecnie większość sieci nie jest skonfigurowana do rozsyłania pakietów multicast. Ten typ transmisji będzie działał w ramach pojedynczej podsieci, ale raczej nie zadziała globalnie.

Obowiązkowe zabezpieczenia warstwy sieci
Protokół IPSec (Internet Protocol Security) jest integralną częścią IPv6 i jego implementacja jest obowiązkowa. W przypadku IPv4 implementacja IPSec była opcjonalna, choć z reguły protokół ten jest obsługiwany.

Uproszczona obsługa komunikacji sieciowej przez routery
Wprowadzono wiele uproszczeń w nagłówku pakietu, co pozwoliło na optymalizację przetwarzania pakietów przez routera i, w konsekwencji, zwiększyło wydajność.

  • Nagłówek pakietu IPv6 jest prostszy niż IPv4, ponieważ wiele rzadko używanych pól przeniesiono do oddzielnych opcji. W efekcie, mimo tego, że adres IPv6 jest czterokrotnie dłuższy, nagłówek pakietu IPv6 jest dwukrotnie mniejszy niż nagłówek pakietu IPv4.
  • IPv6 nie powoduje fragmentacji pakietów. Urządzenia końcowe IPv6 muszą ustalić maksymalny, dopuszczalny rozmiar pakietu (Path MTU) lub wysyłać pakiety mniejsze niż 1280 bajtów (jest to minimalna wartość parametru MTU dopuszczana przez IPv6).
  • Nagłówek IPv6 nie jest zabezpieczany sumą kontrolną, spójność mają zapewnić sumy kontrolne warstwy transportowej. W efekcie routery IPv6 nie muszą przetwarzać sum kontrolnych, gdy zmienią się pola nagłówka. To ulepszenie może okazać się zbędne, ponieważ w routerach stosuje się już dedykowane moduły sprzętowe do przetwarzania sum kontrolnych.
  • Zmieniono nazwę pola TTL (Time-to-Live) na Hop Limit, ponieważ routery nie będę już musiały obliczać czasu, jaki pakiet spędził w kolejce.
  • Protokół IPv4 dopuszczał stały rozmiar (40 bajtów) opcjonalnych parametrów. W IPv6 opcje zostały zaimplementowane jako rozszerzenie występujące po nagłówku. Rozmiar rozszerzenia jest limitowany tylko wielkością całego pakietu.
  • Jumbograms. W protokole IPv4 pakiety mogą przenosić do 64KB danych. IPv6 opcjonalnie obsługuje pakiety większe niż ten limit. Takie pakiety otrzymały miano jumbogramów i mogą mieć wielkość do 4 Gbit. Jumbogramy mogą zwiększyć wydajność, a ich obecność jest sygnalizowana przez nagłówek Jumbo Payload Option.

Bezpieczeństwo IPv6
Protokół IPv6 nie rozwiązuje problemów z bezpieczeństwem charakterystycznych dla IPv4, jak sniffing, ataki w warstwie aplikacji, man-in-the-middle, flooding, wirusy. Mimo że podczas prac nad protokołem IPv6 uwzględniono kwestie bezpieczeństwa, przejście z IPv6 może stworzyć nowe zagrożenia i słabe punkty w zabezpieczeniach firmowych sieci. Wśród nowych zagrożeń można wymienić manipulacje nagłówkiem, L3/L4 spoofing w przypadku implementacji dual-stack, bezstanową autokonfigurację (stateless autoconfiguration) czy amplification attack (rodzaj ataku DoS).

Problemem protokołów IP jest przesyłanie komunikacji sygnałowej, np. przez protokoły routingu, tym samym medium, co właściwej komunikacji. Protokoły routingu IPv6 mogą wykorzystywać szyfrowanie i uwierzytelnianie, żeby zapewnić bezpieczeństwo informacji sygnałowych. Istotną zmianą jest integracja zabezpieczeń w samym protokole – w sieci IPv6 urządzenia muszą obowiązkowo obsługiwać IPSec. To pozwala na współpracę wielu różnych zabezpieczeń, a w konsekwencji na lepsze zabezpieczenie całego systemu.

Wprowadzenie IPv6 będzie wiązało się z aktualizacją zabezpieczeń, ponieważ ten protokół nie jest kompatybilny wstecz. Urządzenia i oprogramowanie wykorzystywane do obsługi komunikacji sieciowej nie będą współpracować z ruchem IPv6, dopóki nie zostaną zaktualizowane lub zastąpione innymi urządzeniami obsługującymi ten protokół. Jest to szczególnie ważne w przypadku takich urządzeń, jak zapory sieciowe i systemy wykrywania włamań, które będą wymagały aktualizacji oprogramowania lub wymiany niektórych komponentów sprzętowych. Wielu producentów udostępniło już takie aktualizacje, np. IOS od wersji 12.08 obsługuje IPv6.

Ponieważ urządzenia sieciowe z reguły traktują IPv6 jako zupełnie oddzielny protokół, mogą wymagać dodatkowej konfiguracji. W związku z tym listy kontroli dostępu, podstawowe reguły i inne konfiguracje będą wymagać ponownej analizy i dopasowania do środowiska IPv6.

Z kolei funkcja autokonfiguracji IPv6 znacznie zarządzania adresami. Ta funkcja umożliwia urządzeniom automatyczne pobieranie adresów sieciowych bez ingerencji administratora. IPv6 pozwala na stosowanie dwóch różnych technik autokonfiguracji. Autkonfiguracja typu stateful wykorzystuje DHCPv6, kolejną wersję protokołu DHCP, która niewiele zmienia z punktu widzenia bezpieczeństwa. Drugi typ autokonfiguracji to stateless. Ta technika pozwala urządzeniom generować własne adresy IP i sprawdzać, czy dany adres występuje już w sieci, aby uniknąć duplikacji. Takie zdecentralizowane podejście ułatwia pracę administratora, ale jest poważnym wyzwaniem dla osób odpowiedzialnych za śledzenie wykorzystania zasobów sieciowych.

Uruchamianie sieci IPv6 bez żadnych zabezpieczeń stwarza wiele poważnych zagrożeń. Przykładowo, niektóre systemy operacyjne mogą obsługiwać oba protokoły IP bez interwencji użytkownika i mogą próbować komunikować się z Internetem przez IPv6 bez zmian w konfiguracji. Jeśli użytkownicy nie są tego świadomi i nie ma wdrożonych polityk bezpieczeństwa IPv6, powstaje zagrożenie atakiem. Dlatego tak ważne jest zapewnienie bezpieczeństwa IPv6 przed szerokim wdrożeniem tego protokołu.

Większość firm chroni swoje sieci przed atakami z zewnątrz, zaniedbując z reguły wewnętrzne zagrożenia. W sieciach IPv6 należy chronić następujące obszary środowiska IT:

  • zabezpieczyć przed atakami z zewnątrz i wewnątrz,
  • zabezpieczyć zdalny dostęp z wykorzystaniem rozwiązań VPN,
  • chronić infrastruktury, aby zapewnić bezpieczną podstawę działania sieci,
  • chronić serwery, aby zabezpieczyć krytyczne zasoby i dane,
  • chronić urządzenia końcowe i użytkowników, aby ustrzec się przed atakami z wewnątrz.

Z czasem może zmienić się sposób komunikacji w sieciach IPv6. Z modelu klient-serwer nastąpi przechodzenie w kierunku komunikacji P2P (peer-to-peer). Mobilny IPv6 i tunelowanie mogą zmienić koncepcję styku sieci lokalnej z siecią publiczną, ponieważ zaufane urządzenia będą fizycznie znajdować się poza siecią lokalną. Konieczne będzie stosowanie lepszych narzędzi do szyfrowania komunikacji między urządzeniami końcowymi. Z czasem architektura IPv6 zostanie dostosowana do rzeczywistych sposobów komunikacji. Jednak podstawowe reguły myślenia o bezpieczeństwie nie zmienią się. Przykładowo, koncepcja SDN (Cisco Self Defending Network) może posłużyć jako przewodnik po zabezpieczaniu zarówno sieci IPv4, jak i IPv6.

O zakupie urządzeń zapewniających ochronę IPv6, jak zapory sieciowe, koncentratory VPN czy systemy IDS/IPS, należy pomyśleć jeszcze przed rozpoczęciem wdrożenia. Niestety, dotychczas niewiele urządzeń tego typu obsługuje IPv6. Mimo że od lat planuje się migrację do IPv6, wciąż brakuje wielu potrzebnych funkcjonalności. Prawdopodobnie klika kolejnych lat zajmie udoskonalanie zabezpieczeń sieci IPv6, zanim dorównają one pod względem funkcji urządzeniom ochronnym znanym z sieci IPv4.

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ