IPv6 включен по умолчанию в подавляющем большинстве новых ОС
Начиная с Windows Vista, протокол IPv6 включен по умолчанию во всех операционных системах Microsoft, в том числе Windows Server 2008 и Windows 7. В новых ОС Apple, Linux и Solaris ситуация обстоит точно так же. Прежде чем продолжать, оговорюсь: все мы прекрасно понимаем, что протокол IPv6 — важная и нужная вещь. Я даже рискнул написать с помощью Джо Кляйна (Joe Klein), руководителя отдела безопасности IPv6 в компании Command Information, несколько статей на эту тему. Так что сам по себе новый протокол меня не беспокоит.
Что меня беспокоит
Не знаю, почему, но в большинстве новых компьютеров IPv6 включен по умолчанию. Видимо, разработчики операционных систем вообразили, что к сегодняшнему дню он уже станет основным протоколом Интернета. А может, они решили, что никакого вреда от этого нет, так почему бы не включить.
Для одной из служб Microsoft включенный IPv6 даже обязателен. Речь идет о конференц-зале Windows Meeting Space, который работает на базе пиринговой архитектуры и использует IPv6 для автоматической настройки сети.
Масштабы проблемы
Количество компьютеров, на которых IPv6 включен по умолчанию, потрясает. В статье Кэролин Даффи Мэрсэн (Carolyn Duffy Marsan) на сайте NetworkWorld цитируются слова Джо Кляйна:
Вполне вероятно, что IPv6 включен по умолчанию в порядка 300 миллионов систем. По нашему мнению, это весьма опасно.
Интересно, пользователи скольких из этих 300 миллионов компьютеров осознают, что в их системах включен IPv6, и понимают, что это значит?
Главные уязвимости
В другой статье Мэрсэн приводятся мнения экспертов о том, что представляет наибольшую угрозу с точки зрения одновременного использования IPv6 и IPv4. Вот какие опасности они перечислили:
• Вредоносный трафик IPv6. Хакеры учитывают, что большинство системных администраторов не отслеживают или просто не моогут отслеживать трафик IPv6, и умело этим пользуются. Современные брандмауэры, системы обнаружения атак (IDS) и сетевые утилиты еще не поддерживают IPv6, что позволяет злоумышленникам свободно рассылать вредоносный трафик на все компьютеры, поддерживающие IPv6.
• Мошенническое оборудование IPv6. Поскольку IPv6 предусматривает автоматическую настройку сети, злоумышленники могут получить контроль над компьютерами, поддерживающими новую версию протокола, с помощью специального устройства, способного выдавать IP-адреса стандарта IPv6 в сети, являющейся объектом атаки. Что еще хуже, такие устройства могут обладать возможностями маршрутизации, заставляя весь трафик проходить через себя. Это позволяет хакерам просматривать, модифицировать и блокировать любой сетевой трафик по своему желанию.
• Встроенный протокол ICMP и групповые передачи. В отличие от IPv4, IPv6 требует использования ICMP и групповых передач. Это принципиально изменяет подход к обеспечению сетевой безопасности. Сейчас блокирование ICMP и групповых передач является общепринятой практикой в сетях IPv4. Однако в сетях IPv6 этот прием не работает, поэтому для обеспечения безопасности придется применять сложные методы фильтрования ICMP и групповых пакетов.
Оставлять IPv6 включенным или нет
Оставлять IPv6 включенным или нет, науке неизвестно. Одни специалисты выступают за включение, другие за отключение, а третьи еще не определились. Вот что думают по этому поводу эксперты, опрошенные Мэрсэн.
Тим Лемастер (Tim LeMaster), руководитель отдела системного конструирования федеральной группы Juniper, считает:
Если вы не готовы использовать IPv6, разумнее будет его отключить. Но это не значит, что следует без разбора блокировать весь IPv6 на пять лет вперед. Нужно проанализировать потенциальные угрозы и выработать систематический подход к проблеме, а до тех пор можно обойтись и без IPv6.
Лиза Доннен (Lisa Donnan), вице-президент компании Command Information по передовым технологическим решениям, думает иначе:
Мы не рекомендуем блокировать трафик IPv6. Вместо этого следует проанализировать, сколько в сети насчитывается устройств и приложений с поддержкой IPv6. Если сколько-нибудь существенное количество, тогда необходимо распланировать развертывание IPv6 и обучить своих сотрудников работе с ним.
Шейла Фрэнкель (Sheila Frankel), специалист по вычислительным системам отдела компьютерной безопасности Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) выражает промежуточную точку зрения:
Компаниям требуется хотя бы минимальная подготовка в области IPv6, которая позволит им обезопасить себя от основных угроз. Кроме того, имеет смысл разрешить использование IPv6 на внешних серверах, находящимися за пределами периметральных сетевых экранов организации. С одной стороны, это позволит подключаться к таким серверам пользователям из стран Азии с адресами стандарта IPv6, а с другой, позволит сотрудникам компании получить опыт работы с новым протоколом. Это станет первым шагом на пути к массовому переходу на IPv6. Переход неизбежен, поэтому лучше сразу определить стратегию поведения компании в новых условиях и выработать максимально безопасный подход.
На своих компьютерах я сразу отключил IPv6. Зачем рисковать, если это необязательно? Судя по всему, я поступил правильно, потому что мои клиентские компьютеры не подвержены атакам по этому новому направлению.
На сегодняшний день я считаю это оптимальным выходом, но разумеется, он подойдет далеко не всем. Единственное, что можно сказать с уверенностью — изучать IPv6 нужно всем, и чем скорее, тем лучше, потому что эти знания позволят вам самостоятельно решить, как поступить, с учетом всех особенностей вашей сети.
Как отключить IPv6
К счастью, отключить IPv6 очень легко. Ниже приводятся ссылки на статьи, в которых объясняется, как это сделать, для разных операционных систем.
Нужно ли отключать IPv6 — вопрос сложный и неоднозначный. Впрочем, так бывает со всеми новыми технологиями. Что мне непонятно — так это почему производители опять думают о безопасности в последнюю очередь. Будем надеяться, что это происходит лишь по недосмотру и будет скоро исправлено.
