vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Невидимый трафик IPv6 несет угрозу современным сетям 14

Дата публикации: 16.07.2009
Количество просмотров: 12041

Некоторые эксперты в области сетевой безопасности считают, что в сетях большинства американских организаций имеет место скрытое перемещение трафика на базе протокола IPv6, и очень немного сетевых администраторов имеют в своем распоряжении средства для обнаружения, управления и блокировки этих потоков данных. Соответственно, IPv6-трафик все чаще используется злонамеренными гражданами для организации сетевых атак. Сетевой администратор может даже не догадываться, что в его сети есть хост с поддержкой IPv6, пользующийся повышенным вниманием со стороны злоумышленников.

IPv6 является, по всей видимости, следующим протоколом, который поддержит, а затем придет на смену, используемого в настоящее время по умолчанию, IPv4. Шестая версия протокола обеспечивает куда более обширное адресное пространство, повышенные возможности обеспечения сетевой безопасности, а также, куда большие возможности поддержки потокового мультимедиа и одноранговых приложений. Возможность перехода на IPv6 существует уже несколько лет, но американские организации предпочитают пока не спешить с этим процессом. Правда, по прогнозам аналитиков, к 2011 году адресное пространство IPv4 будет полностью исчерпано, так что переход на IPv6 является лишь делом времени, пишет Network World.

Угрозы современным сетям, связанные с использованием IPv6-трафика, пока еще не вполне очевидны, но уже достаточно осознаваемы в США. Например, этот вопрос обсуждался на июньском заседании американского национального комитета по надзору за телекоммуникационной безопасностью (National Security Telecommunications Advisory Committee). А федеральные учреждения в большинстве своем имеют планы и бюджеты для интеграции IPv6 в архитектуру своих сетей.

Специалисты по безопасности отмечают, что даже в том случае, если в организации не предусмотрено использование протокола шестой версии, сетевому администратору необходимо иметь в своем распоряжении системы предотвращения несанкционированного доступа к сети "умеющие" блокировать не только обычный IPv6-трафик, но и трафик передаваемый через туннель в сети IPv4.

И, разумеется, поддержка протокола IPv6 должна быть отключена на всех устройствах, подключенных к сети. Ведь во многих операционных системах поддержка протокола IPv6 по умолчанию разрешена. Один из специалистов по сетевой безопасности, например, оценивает число компьютеров в США с разрешением на использование IPv6 (по умолчанию) в 300 млн. единиц. Это означает, что во многих организациях есть несколько устройств (настольных или мобильных компьютеров, серверов и т.п.), на которых системные администраторы забывают запретить IPv6, а брэндмауэры рассчитаны на работу исключительно с IPv4. Именно на этой уязвимости основано большинство зафиксированных в настоящее время атак с использование IPv6.

Число таких атак пока невелико, но лишь потому, что не так и много адресов IPv6, по сравнению с IPv4, подключено к сети. В целом же, их достаточно, чтобы все системные администраторы принимали во внимание наличие этой угрозы.

Вместе с тем, эксперты предупреждают, что не стоит бездумно блокировать абсолютно весь трафик IPv6. Все больше компьютеров в глобальное сети начинают использовать новый протокол, поэтому к угрозам на его основе следует относится серьезно, что вовсе не означает полного отказа от него. Необходимо просто хорошо представлять себе какое количество устройств с поддержкой IPv6 находится в сети предприятия и планомерно изучать особенности использования нового протокола. Ведь IPv6 становится повседневной реальностью, спрятаться от которой уже в ближайшие годы просто не удастся.

А теперь некоторые высказывания конкретных специалистов, имеющих представление о данной проблеме. Имена и должности приведены в оригинальном написании, во избежание ошибок при переводе.

«Если вы не контролируете трафик IPv6 в своей сети, эта тропка может стать дорогой для атаки… Некоторые системные администраторы не понимают, что в их сети может находиться пользователь, использующий IPv6 и на этот хост злоумышленниками может быть отправлен некий трафик, о котором никто не узнает». Tim LeMaster, director of systems engineering for Juniper's federal group.

«По крайней мере половина системных администраторов в США имеет в своих сетях движение трафика IPv6, о котором они не подозревают, но который используется хакерами…. Вы не можете игнорировать IPv6. Вы обязаны сделать минимальные шаги, чтобы защитить границы своих сетей. Вы нуждаетесь в межсетвой защите, которая понимает и IPv4 и IPv6. Вы нуждаеетсь в инструментах управления сетью, которые понимают и IPv4 и иIPv6». Yanick Pouffary, technology director for the North American IPv6 Task Force and an HP Distinguished Technologist.

«Большая часть из 500 крупнейших компаний мира имеют в своих сетях трафик IPv6, невзирая на то, что даже не думают об этом. Вы можете не видеть делового применения IPv6-трафика сегодня, но он есть в вашей сети». Dave West, director of systems engineering for Cisco's public sector group.

«Сегодня мы видим слишком мало контроля за трафиком IPv6. Хакеры пытаются улучшить способы его использования, чтобы оставаться незамеченными. Мы наблюдаем множество ботов, находящихся под управлением злоумышленников с помощью IPv6». Jason Schiller, senior Internet network engineer, global IP network engineering for the public IP network at Verizon Business.

«Использование трафика IPv6 злоумышленниками является вполне реальной угрозой… Люди могут использовать устройства с поддержкой IPv6 и не знать об этом. Будет идеальным выключить поддержку IPv6 на всех устройствах вашей сети, пока вы не готовы блокировать IPv6-трафик на границе сети». Sheila Frankel, a computer scientist in the Computer Security Division of the National Institutes of Standards and Technology (NIST).

«Мы с большой вероятностью говорим о 300 млн. систем, в которых IPv6 включен по умолчанию. И расцениваем это как большой риск… Если у вас есть межсетевая защита для IPv4, это значит, что между вами и атакующим может быть трафик IPv6». Joe Klein, director of IPv6 Security at Command Information.

Дмитрий

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/16045/nevidimyiy-trafik-ipv6-neset-ugrozu-sovremennyim-setyam.html

Комментарии:(14) комментировать

17 июля 2009 - 17:43
Navu:
#1

Некоторые эксперты в области сетевой безопасности считают, что в сетях большинства американских организаций имеет место скрытое перемещение трафика на базе протокола IPv6, и очень немного сетевых администраторов имеют в своем распоряжении средства для обнаружения, управления и блокировки этих потоков данных.

Читать полностью


17 июля 2009 - 17:43
Гость_bisonio_:
#2

ПОЛНЫЙ БРЕД!!!


17 июля 2009 - 19:20
Гость_ддд_:
#3

ну почему сразу бред?


17 июля 2009 - 19:27
UglyAdmin:
#4

А какие там могут быть потоки, если на маршрутизаторах настроен IPv4?
Сети на неуправляемых свитчах? :-D

Или речь идёт о потоках ВНУТРИ мелких офисов? Так кому они интересны на этом ресурсе???


17 июля 2009 - 21:37
Nag:
#5

Просмотр сообщенияUglyAdmin (17 июля 2009 - 18:27) писал:

А какие там могут быть потоки, если на маршрутизаторах настроен IPv4?
Сети на неуправляемых свитчах? :-D

Или речь идёт о потоках ВНУТРИ мелких офисов? Так кому они интересны на этом ресурсе???

Подозреваю, что IPv6 восприняли как некий "шифрованный" VPN поверх 4-ки, который не давится стандартными фаерволами. ;-)


18 июля 2009 - 0:28
UglyAdmin:
#6

Так к файрволлу мозги нужны, иначе это "средство на змеином масле"...


18 июля 2009 - 11:43
Nag:
#7

Просмотр сообщенияUglyAdmin (17 июля 2009 - 23:28) писал:

Так к файрволлу мозги нужны, иначе это "средство на змеином масле"...

Гхм. ;-) Вот до них и хотят достучаться.
Мысль воспринимать IPv6 как уязвимость - не всем в голову придет и не сразу.


18 июля 2009 - 13:23
Гость_Qwer_:
#8

Ага, "Некоторые эксперты"... А имена и фамилии экспертов можно озвучить? Ну, чтобы убедиться, в том, что это действительно эксперты, а не журналистские изыски вроде: "Ну надо же чего-то написать, а то платить не будут." Юному дарованию, видать, невдомёк, что "что в сетях большинства американских организаций имеет место скрытое перемещение трафика" не только "на базе протокола IPv6", но и "на базе" других протоколов, таких как IPX, SNA и др. И никто по этому поводу NSC не собирает.

Вот ещё оборотец: "Угрозы современным сетям, связанные с использованием IPv6-трафика..."? Тоесть сеть ---- отдельно, протокол ---- отдельно. Отлично!

В общем, всецело поддерживаю одного из предыдущих ораторов: ПОЛНЫЙ БРЕД!!!
"Проблема" высосана из пальца.


18 июля 2009 - 16:38
Гость_Дмитрий (автор перевода)_:
#9

Гость (Qwer), Вы очевидно плохо ориентируетесь куда попали, т.е. человек здесь случайный. Именно потому, что здесь не приветствуется любимое некоторыми журналистами дуракаваляние с "разливанием воды" не по делу, я позволил себе не приводить имена специалистов, высказывающих свое мнение по данному вопросу. Просто потому, что говорят они,в общем-то, одно и то же, а общий смысл можно передать и без перечисления длинных титулов и званий. Но специально для той части аудитории, которая могла прочесть Ваш совершенно некорректный выпад в мой адрес, а значит и в адрес нашей ленты новостей, я добавил в текст новости перевод цитат специалистов со всеми их именами и регалиями. Имена и должности оставил в оригинальном написании.


18 июля 2009 - 23:16
Nag:
#10

«Если вы не контролируете трафик IPv6 в своей сети, эта тропка может стать дорогой для атаки… Некоторые системные администраторы не понимают, что в их сети может находиться пользователь, использующий IPv6 и на этот хост злоумышленниками может быть отправлен некий трафик, о котором никто не узнает». Tim LeMaster, director of systems engineering for Juniper's federal group.
И т.п.


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться