Невидимый трафик IPv6 несет угрозу современным сетям

Некоторые эксперты в области сетевой безопасности считают, что в сетях большинства американских организаций имеет место скрытое перемещение трафика на базе протокола IPv6, и очень немного сетевых администраторов имеют в своем распоряжении средства для обнаружения, управления и блокировки этих потоков данных. Соответственно, IPv6-трафик все чаще используется злонамеренными гражданами для организации сетевых атак. Сетевой администратор может даже не догадываться, что в его сети есть хост с поддержкой IPv6, пользующийся повышенным вниманием со стороны злоумышленников.

IPv6 является, по всей видимости, следующим протоколом, который поддержит, а затем придет на смену, используемого в настоящее время по умолчанию, IPv4. Шестая версия протокола обеспечивает куда более обширное адресное пространство, повышенные возможности обеспечения сетевой безопасности, а также, куда большие возможности поддержки потокового мультимедиа и одноранговых приложений. Возможность перехода на IPv6 существует уже несколько лет, но американские организации предпочитают пока не спешить с этим процессом. Правда, по прогнозам аналитиков, к 2011 году адресное пространство IPv4 будет полностью исчерпано, так что переход на IPv6 является лишь делом времени, пишет Network World.

Угрозы современным сетям, связанные с использованием IPv6-трафика, пока еще не вполне очевидны, но уже достаточно осознаваемы в США. Например, этот вопрос обсуждался на июньском заседании американского национального комитета по надзору за телекоммуникационной безопасностью (National Security Telecommunications Advisory Committee). А федеральные учреждения в большинстве своем имеют планы и бюджеты для интеграции IPv6 в архитектуру своих сетей.

Специалисты по безопасности отмечают, что даже в том случае, если в организации не предусмотрено использование протокола шестой версии, сетевому администратору необходимо иметь в своем распоряжении системы предотвращения несанкционированного доступа к сети "умеющие" блокировать не только обычный IPv6-трафик, но и трафик передаваемый через туннель в сети IPv4.

И, разумеется, поддержка протокола IPv6 должна быть отключена на всех устройствах, подключенных к сети. Ведь во многих операционных системах поддержка протокола IPv6 по умолчанию разрешена. Один из специалистов по сетевой безопасности, например, оценивает число компьютеров в США с разрешением на использование IPv6 (по умолчанию) в 300 млн. единиц. Это означает, что во многих организациях есть несколько устройств (настольных или мобильных компьютеров, серверов и т.п.), на которых системные администраторы забывают запретить IPv6, а брэндмауэры рассчитаны на работу исключительно с IPv4. Именно на этой уязвимости основано большинство зафиксированных в настоящее время атак с использование IPv6.

Число таких атак пока невелико, но лишь потому, что не так и много адресов IPv6, по сравнению с IPv4, подключено к сети. В целом же, их достаточно, чтобы все системные администраторы принимали во внимание наличие этой угрозы.

Вместе с тем, эксперты предупреждают, что не стоит бездумно блокировать абсолютно весь трафик IPv6. Все больше компьютеров в глобальное сети начинают использовать новый протокол, поэтому к угрозам на его основе следует относится серьезно, что вовсе не означает полного отказа от него. Необходимо просто хорошо представлять себе какое количество устройств с поддержкой IPv6 находится в сети предприятия и планомерно изучать особенности использования нового протокола. Ведь IPv6 становится повседневной реальностью, спрятаться от которой уже в ближайшие годы просто не удастся.

А теперь некоторые высказывания конкретных специалистов, имеющих представление о данной проблеме. Имена и должности приведены в оригинальном написании, во избежание ошибок при переводе.

«Если вы не контролируете трафик IPv6 в своей сети, эта тропка может стать дорогой для атаки… Некоторые системные администраторы не понимают, что в их сети может находиться пользователь, использующий IPv6 и на этот хост злоумышленниками может быть отправлен некий трафик, о котором никто не узнает». Tim LeMaster, director of systems engineering for Juniper's federal group.

«По крайней мере половина системных администраторов в США имеет в своих сетях движение трафика IPv6, о котором они не подозревают, но который используется хакерами…. Вы не можете игнорировать IPv6. Вы обязаны сделать минимальные шаги, чтобы защитить границы своих сетей. Вы нуждаетесь в межсетвой защите, которая понимает и IPv4 и IPv6. Вы нуждаеетсь в инструментах управления сетью, которые понимают и IPv4 и иIPv6». Yanick Pouffary, technology director for the North American IPv6 Task Force and an HP Distinguished Technologist.

«Большая часть из 500 крупнейших компаний мира имеют в своих сетях трафик IPv6, невзирая на то, что даже не думают об этом. Вы можете не видеть делового применения IPv6-трафика сегодня, но он есть в вашей сети». Dave West, director of systems engineering for Cisco's public sector group.

«Сегодня мы видим слишком мало контроля за трафиком IPv6. Хакеры пытаются улучшить способы его использования, чтобы оставаться незамеченными. Мы наблюдаем множество ботов, находящихся под управлением злоумышленников с помощью IPv6». Jason Schiller, senior Internet network engineer, global IP network engineering for the public IP network at Verizon Business.

«Использование трафика IPv6 злоумышленниками является вполне реальной угрозой… Люди могут использовать устройства с поддержкой IPv6 и не знать об этом. Будет идеальным выключить поддержку IPv6 на всех устройствах вашей сети, пока вы не готовы блокировать IPv6-трафик на границе сети». Sheila Frankel, a computer scientist in the Computer Security Division of the National Institutes of Standards and Technology (NIST).

«Мы с большой вероятностью говорим о 300 млн. систем, в которых IPv6 включен по умолчанию. И расцениваем это как большой риск… Если у вас есть межсетевая защита для IPv4, это значит, что между вами и атакующим может быть трафик IPv6». Joe Klein, director of IPv6 Security at Command Information.

Дмитрий