Чому IPv6 має значення для вашої безпеки?

Інтернет-експерти та регулятори протягом багатьох років попереджали, що IPv4 був неадекватним із його обмеженим пулом адрес. Однак IPv6, його наступник, мав рішення та функції, необхідні для сучасних потреб Інтернету. Він забезпечував більше з'єднань, більшу безпеку та ширшу цілісність. Він також міг забезпечити підтримку пристроїв, які підтримують Інтернет. IPv6 з'явився у 1998 році, а у 2016 році настав рік, коли він зміг досягти 10% від загальної кількості розгортань.

IETF або Internet Engineering Task Force розробила IPv6 для заміни IPv4. Основною особливістю IPv6 було збільшення IP-адрес до 128 біт порівняно з 32 бітами. Це дозволило збільшити їх кількість і звільнити від доступних мережних адрес, що скорочуються.

Враховуючи, що з п'яти регіональних інтернет-реєстраторів чотири були виведені з простору IPv4 і існує вторинний ринок мережевих адрес IPv4, але їх вартість вища, ніж при використанні IPv6.

Перехід на IPv6 означає як фінансові витрати, так і вимогу зусиль та робочої сили. Якщо перехід на новий протокол був здійснений неправильно, існував ризик залишити зяючі діри у безпеці мережі.

Тому необхідно планування, оскільки якщо випадково запустити і IPv4, і IPv6, це може звести нанівець безпеку, встановлену навколо протоколу. Отже, рішення безпеки повинні забезпечувати повну сумісність із новою інфраструктурою IPv6.

Недоліки IPv4

Коли IPv4 був запущений в 1981 році, він міг надати чотири мільярди адрес, що здавалося більш ніж достатнім, враховуючи обмежену кількість комп'ютерів у ті часи. Через чотири десятиліття кількість пристроїв, що підключаються до Інтернету, просто вражає, оскільки вона включає настільні комп'ютери, ноутбуки, планшети, смартфони, телевізори, ігрові приставки і навіть холодильники та автомобілі.

Навіть наявних сьогодні чотирьох мільярдів мережевих адрес недостатньо, щоб задовольнити зростаючі потреби.

Переваги IPv6

Використовуючи 128-бітові адреси, IPv6 пропонує набагато більший пул адрес. Він може надати 340 ундецільйонів у порівнянні з 4,3 мільярдами 32-бітних адрес, доступних в IPv4.

Новий розширений пул адрес забезпечує масштабованість і вводить додаткові функції безпеки, ускладнюючи сканування та ідентифікацію хостів для хакерів. Таким чином, з додатковими IP-адресами IPv6 також пропонує ряд переваг, включаючи продуктивність, безпеку та цілісність.

Переваги IPv6 для безпеки

Технологія шифрування була присутня в Ipv4 як додаткова функція і була необов'язковою, не використовувалася повсюдно. Перевірка цілісності та шифрування, що використовуються сьогодні у VPN, є стандартним компонентом, доступним в IPv6, який використовується для всіх з'єднань та підтримується сумісними системами та пристроями.

Завдяки ширшому впровадженню IPv6 хакерам стало значно складніше атакувати слабкі місця у будь-якій мережі. IPv6 також підтримує безпечну роздільну здатність імен. Протокол SEND або Secure Neighbour Discovery дозволяє підтвердити особу хоста під час з'єднання за допомогою криптографічного підтвердження. Це гарантує, що отруєння протоколу дозволу адрес (ARP) та типи атак на основі імен утруднені. Хоча він не замінює перевірку на рівні служб або додатків, він все ж таки підвищує довіру під час з'єднань. IPv4 хакерам було легко перенаправляти трафік між легітимними вузлами, а потім маніпулювати їх розмовою або спостерігати за ним. Тепер IPv6 робить таке перенаправлення надзвичайно важким.

Додаткова безпека повністю залежить від правильного проектування та його реалізації. Для реалізації складної, але гнучкої інфраструктури IPv6 потрібно більше зусиль. Проте, якщо вона налаштована правильно, то видно, що мережі IPv6 безпечніші, ніж IPv4.

Недоліки IPv6

Помічено, що командно-контрольні можливості на базі IPv6 були порушені шкідливим програмним забезпеченням. Тому, якщо сервер за замовчуванням включає IPv6, але відповідний брандмауер цього не робить, що можливо, у багатьох випадках зростають шанси шкідливих атак.

Правильна конфігурація та розгортання є критичними питаннями. Немає сенсу впроваджувати IPv6 так само, як і IPv4, оскільки це гарантовано призведе до проблем. ІТ-адміністраторам необхідно освоїти нові методи роботи в мережі, починаючи з простого моніторингу журналів безпеки і закінчуючи усунення несправностей в мережі та настроювання брандмауерів.

При переході з IPv4 на IPv6 можливі помилки та плутанина. Не можна миттєво перейти на IPv6. Має бути часткове впровадження, наприклад, використання технологій тунелювання передачі Ipv6 поверх Ipv4. Цей обхідний шлях є ще одним можливим джерелом пробілів у безпеці, що виникають через неправильну конфігурацію та плутанину. Широкомасштабне використання IPv6 ускладнило для кіберзлочинців аналіз того, як поринути у вбудований захист.

Допомога постачальників послуг

Багато продуктів безпеки потребують оновлення та адаптації до нових мережевих моделей. Це включає транспортні засоби для оновлень, пошуку, звітності та керування метою безперервного сканування та функцій захисту.

У міру появи нових вразливостей та невідомих векторів загроз постачальники послуг мають бути готовими до вирішення проблем.

Вони повинні забезпечити повну підтримку IPv6 і залишатися пильними до нових небезпек, які може принести IPv6.

І, нарешті, що робити?

Усі підприємства повинні розглянути можливість переходу на IPv6, якщо вони ще цього не зробили. При переході на новий протокол необхідно переконатися, що вся мережна інфраструктура є сучасною та сумісною. Не варто поспішати впроваджувати IPv6, якщо він ще повністю готовий. Багато платформ поставляються з IPv6 за промовчанням. Однак його не слід включати доти, доки він не буде належним чином налаштований та сумісний. Наприклад, багато брандмауерів орієнтовані виключно на IPv4 і не фільтрують трафік IPv6, тим самим залишаючи системи незахищеними. Крім того, необхідно переконатися, що безпека настільних систем включає запобігання втраті даних і веб-безпеку.

Висновок

Питання "коли", а не "якщо", коли йдеться про конфігурацію IPv6. Багато служб, таких як Facebook, Google, використовують IPv6, а також кілька великих інтернет-провайдерів. Постачальники веб-послуг та телекомунікації активно мігрують разом з мобільними операторами, домагаючись повнішого впровадження IPv6 для підтримки високошвидкісних мереж.