8 сентября 2021 г.
Время чтения: 2 минуты

Безопасность IPv6

IP-уровень стека протоколов TCP/IP был разработан для сохранения адресного пространства глобальной сети. Сначала IPv4 с этой задачей справлялся, но очень скоро появилась необходимость выпуска новой версии. Её назвали IPv6, так как IPv5 был экспериментальным протоколом, предназначенным для передачи видео и аудио.

Нет смысла сравнивать безопасность протоколов IPv4 и IPv6, потому что у каждого из них есть свои уязвимости. Сейчас все ОС и сетевые устройства используют IPv6 Dual-Stack, где по умолчанию есть эта последняя версия протокола. И даже если пользователь не развернул IPv6, его сети всё ещё имеют уязвимости IPv4 и IPv6. Способ развёртывания IPv6 также будет влиять впоследствии на его безопасность. Обо всём этом важно знать, чтобы организовать безопасную сеть, не допустив ошибок.

Различия между IPv6 и IPv4

Может показаться, что Pv6 отличается от IPv4 лишь длиной адреса — 32 бита против 128 бит соответственно. Но на самом деле различий у протоколов гораздо больше. У IPv6 понятие пространства адресов встроено в архитектуру, также есть срок действия адресов (предпочитаемый и допустимый), а структура заголовка более простая.

Интерфейсы IPv6 могут иметь несколько адресов, каждый из которых может меняться. Новая система может установить соединение с другими системами без сложных настроек. Протокол ICMP у IPv6 остался прежним, но приобрёл ряд новых атрибутов. Также в новой версии появилось многоадресное вещание.

Из IPv6 уже нет некоторых функций, которые усложняли работу маршрутизаторов. Например, из IP-заголовка убрали контрольную сумму. Также в новой версии протокола нет и NAT44, которую часто многие рассматривают как опцию повышения безопасности в сетях IPv4.

В новой версии протокола используются публичные адреса и сквозное соединение. Это некоторых пугает, но на самом деле можно организовать вполне надёжную защиту и без NAT44 — при помощи брандмауэров. При этом сквозное соединение не будет нарушено. Да и в целом, не стоит рассматривать NAT44 как идеальный способ обеспечения безопасности, так как у него и связанных с ним методов обхода немало своих недочётов.

Встроенная поддержка IPsec для защиты IPv6

IPsec — это протокол для шифрования. Его включили в версию IPv6, но ошибочно думать, что в этом плане обновлённая версия стала лучше прежней. Хотя эту функцию добавили в стек IPv6, пользоваться ею пользователей никто не обязывает.

В IPv4 тоже есть IPsec, который обычно применяют для VPN. Но данный протокол нечасто применяется для того, чтобы защитить сквозной трафик. Ему мешает функция NAT44, которая искажает заголовки IPv4. В новой версии такой проблемы нет.

Итак, в Pv6 использовать IPsec удобнее и проще. Можно применять протокол для шифрования, чтобы весь трафик в центрах обработки данных был в безопасности. Ещё одна возможная цель использования IPsec — вывод из эксплуатации существующих концентраторов VPN.

Защита протокола IPv6 от сканирования адресов

Здесь всё не так однозначно. С одной стороны, для хакеров действительно создаются серьёзные препятствия, потому что адресов подсети у IPv6 невероятно много. И если сканировать её последовательно, но это уйдёт не одна сотня лет. Но это совсем не значит, что злоумышленники находятся в безвыходном положении, просто им нужно выполнить более трудную задачу. Всё зависит от типа адресов и местоположения сканера.

Визуализация помогает понять, как устроено адресное пространство протокола. Хакерам гораздо проще работать с сетями, у которых предсказуемая структура. Например, строго упорядоченные хосты. Чем больше у взломщика предварительных сведений, тем проще ему достичь своей цели.

Для защиты IPv6 используют непрозрачные статические и конфиденциальные адреса. Другой известный способ — структурировать адреса IPv6 на базе адресов IPv4. Но в этом есть риск упростить задачу злоумышленникам, которые смогут просканировать адреса так же, как и в сети IPv4. Даже MAC-адреса не всегда спасают ситуацию. Поэтому нужно помнить, что протокол IPv6 не защищён на 100% от сканирования адресов.

Запомнить

IPv6 создали для сохранения адресного пространства глобальной сети.

Между IPv6 и IPv4 достаточно много отличий, не только длина адреса.

Использовать IPsec в IPv6 удобнее и проще, чем в IPv4.

Протокол IPv6 не защищён на 100% от сканирования адресов.

Digest #9: привлекаем трафик на сайт с помощью push-уведомлений

Gutenberg — новый удобный редактор WordPress

Рекомендуем

Спонтанное появление ОС Linux

Список инструментов для работы администратора VPS

Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter
© Джино, 2003–2021. «Джино» является зарегистрированным товарным знаком.
Лицензия на телематические услуги связи № 150549 от 09.03.2017.
Правовая информация Политика конфиденциальности Карта сайта