Безопасность IPv6. Мифы и реальность

IPv6 сейчас активно внедряется по всему миру, в связи с этим, все более актуальными становятся, связанные с этим, вопросы безопасности. Есть множество мифов относительно безопасности IPv6 и сегодня мы рассмотрим некоторые из них.

Миф: Я не использую IPv6 так что мне не о чем волноваться
Реальность : Ваши устройства используют IPv6

Системы под управлением Linux, BSD, Mac OS X, современными версиями Microsoft Windows, iOS, и Android — все имеют встроенную поддержку IPv6. Зачастую IPv6 включен по-умолчанию. Во многих случаях IPv6 установлен, как более предпочтительный протокол, нежели IPv4. Это означает, что устройство всегда будет сперва пытаться установить соединение по IPv6 и лишь в случае неудачной попытки будет подключаться по IPv4.

Это значит, что даже в сети, где никто специально не внедрял IPv6, вполне вероятно, что устройства посылают пакеты IPv6 и имеют открытые IPv6 сокеты. Это, в свою очередь, является потенциальной угрозой безопасности. Кто-то, возможно и вы, тратил время на установку и настройку межсетевых экранов в сети. Если все они настроены на IPv4 то вы только что оставили бекдор (уязвимость).

Дело в том, что в вашей сети, скорее всего, уже есть устройства с поддержкой IPv6 потому вы не должны забывать о них, развертывая систему безопасности.

Миф: Я не использую IPv6 так что мне не о чем волноваться
Реальность: Ваши пользователи используют IPv6

В дополнение к включенной по-умолчанию поддержке IPv6, некоторые из основных Операционных Систем также включают поддержку авто-туннелирования IPv6. Наиболее распространеные механизмы автоматического (также называют динамическим) туннелирования — ээто 6in4 и Teredo. В обоих случаях, устройство автоматически создает IPv6-in-IPv4 туннель в IPv4 сети. Намерения исключительно благие: позволить IPv6 коммуникацию между IPv6-совместимыми узлами по IPv4 сети. Практический результат часто является менее положительным: IPv6 коммуникация проходит через IPv4 брандмауэры, даже если это нарушает вашу политику безопасности.

Примечание: в то время как 6in4 и Toredo являются наиболее распространенными механизмами автоматического туннелирования, многие другие туннельные протоколы также могут позволить пользователям или злоумышленникам обходить вашу сетевую безопасность. 6in4, 6to4, 6in6, ISATAP, Toredo, 6rd, и DS-Lite — все они должны быть учтены.

Последнее соображение по поводу мифа «Я не использую IPv6 так что мне не о чем волноваться» касается мобильных устройств. Когда ваши устройства и ваши пользователи находятся в дороге, в дали от офиса, к каким сетям они подключаются? Дело в том, что они, вероятнее всего, в какой-то момент будут подключены к двойной сети, поддерживающей оба протокола IPv6 и IPv4. Многие крупные операторы в настоящее время развертывают IPv6 и если вы не позаботились о безопасности IPv6, то вы получите устройство, подключенное по незащищенному протоколу в неизвестной сети…

Лучший способ избежать всего этого — принудительно внедрить поддержку IPv6 и провести полный аудит безопасности, как часть этого процесса.