16 570
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 570
https://androbit.net/ContentUploads/A865/ipv6.jpg
Kattints ide  ➜

Ezért éri meg IPv6‑ra váltani

Droppa Béla2015.09.15. 10.20
Az Internet Protocol (IP) a rendszer, aminek hála az eszközeink a világhálón megtalálják egymást, és képesek kapcsolatokat létrehozni, enélkül lényegében nem beszélhetnénk internetről. A rendszert még a nyolcvanas éves elején tervezték, amikor nem számítottak az internet robbanásszerű növekedésére. A szabályozók évek óta figyelmeztetnek az IPv4 korlátozott címkészletére, illetve arra, hogy idővel ez nem lesz elég.

Az IPv4 utódja, az IPv6 megkapta azokat a funkciókat és megoldásokat, amik a modern internethez nélkülözhetetlenek: nagyobb integritás és előrehaladottabb biztonsági megoldások jellemzik a szabványt, nem elfeledkezve a fejlettebb, újgenerációs webes eszközök széleskörű támogatásáról. A rengeteg előny mellett azonban az IPv6 biztonsági réseket is tartogathat, amire fel kell készíteni a hálózatokat.

Az IPv6-átállás elkerülhetetlen, de a migráció jelentős erőfeszítéseket, előkészítést és vizsgálatokat igényel. Amennyiben helytelenül végezzük el, akkor tátongó biztonsági réseket hagyunk a pajzson. A gondos tervezés nélkül végrehajtott áthangolás során akár az is megtörténhet, hogy egyszerre fut az IPv4 és az IPv6, ezzel lenullázva az egyes protokollok körül kialakított biztonsági kerítést. Ezért fontos, hogy a biztonsági megoldások teljes mértékben kompatibilisek legyenek az új infrastruktúrákkal.


Mi a probléma az IPv4-gyel?



1981-ben az IPv4 által lefedett 4,3 milliárd cím bőven elegendőnek tűnt az akkori, igencsak limitált számítógép-penetrációhoz viszonyítva. Három évtizeddel később, a számítógépektől kezdve olyan széles skálán mozgó eszközök használják az internetet, mint az okostelefonok, a táblagépek, a játékkonzolok, az okostelevíziók, de az autók és adott esetben még a termosztát is a hálózatra van kötve. Hirtelen az elérhető négymilliárd cím iszonyatosan kevés lett.


Az IPv6 előnyei



Az IPv6 a 128-bites rendszert használva szignifikánsan több címet tartalmaz, mint névadó elődje: 340 szextillió, vagyis 3,4×1038 címet lehet kiosztani, ami jelentősen több a mostani 4,3 milliárd, 32 bites IPv4-nél. A kiterjesztett címjegyzék biztosítja a skálázhatóságot, de olyan további biztonsági rendszereket is elérhetővé tesz, mint például a host szkennelés, ami a támadóknak nehezebbé teszi az azonosítást.

Az IPv6 azon felül, hogy jóval nagyobb címtartománnyal rendelkezik, számos más előnyt birtokol az IPv4-hez képest. Az IPv6 a protokollba beépítetten támogatja a multicast továbbítást, míg IPv4 esetében ez a tulajdonság opcionális. A multicast olyan összeköttetési mód az interneten, ami a hagyományostól (unicast) eltérően nem két gép, hanem tetszőleges számú gépből álló csoport tagjai között teremt kapcsolatot. Ilyen esetekben az adatokat nem kell minden gépnek külön-külön elküldeni, hanem elég csak egyszer a csoportcímre, ami jelentős sávszélesség megtakarítást eredményez a unicast móddal szemben.

Mobil IPv4 protokollal ellentétben a Mobil IPv6 (MIPv6) segít elkerülni a korábban tapasztalt nem optimális útválasztást (triangular routing), illetve elérhetővé teszi a mobil (WiFi - vezeték nélküli) klienseknek az új útválasztó választást a hálózati címek átszámozása nélkül, ami stabilabb és gyorsabb kapcsolatot eredményez, kevesebb megszakadással. IPv4 esetében az adatcsomagok méretének felső korlátja 64 kB (kilobyte), míg az IPv6 esetében ez 4GB (gigabyte) méretig növelhető, ami jelentősen megnövelheti az adatátviteli sebességet.

Összefoglalva: az új címekkel együtt az IPv6 olyan előnyöket nyújt, mint a biztonság, az integritás és a teljesítmény.


Az IPv6 biztonsági előnyei



Az IPv6 segítségével végponttól végpontig (end-to-end) titkosítást használhatunk. Annak ellenére, hogy utólagosan ez a funkció az IPv4-be is bekerült, ott inkább egy egyedileg használt, ritka extraként beszélhetünk róla. A jelenlegi VPN-ekben használt titkosítás és integritás-ellenőrzés az IPv6 sztenderd komponense, ami minden kapcsolat és az összes támogatott eszköz számára elérhető. Az IPv6 széleskörű elterjesztésével ennek megfelelően az MITM-támadások nehezebbé válnak.

Mindezeken kívül a technológia támogatja a még biztonságosabb névfeloldást, ugyanis a Secure Neighbor Discovery (SEND) protokoll segítségével kriptográfiai visszaigazolást tud kérni a hosttól, aki azt állítja, hogy a megadott kapcsolódási időben van jelen. Ez például az Address Resolution Protocol (ARP) nevű támadási formát teszi nehezebbé. És bár nem kínál alkalmazás- vagy szolgáltatásrétegű ellenőrzést, még mindig emelt szintű bizalmat igényel.

IPv4 alatt a támadó egyszerűen átirányíthatja a kapcsolatot két legitim fogadó fél között, és befolyásolhatja, legalábbis megfigyelheti a közöttük folyó információcserét. IPv6 használata mellett a betörő dolgát nagyon megnehezítjük. A biztonságosabb infrastruktúra kizárólag a megfelelő tervezéstől és implementációtól függ, kihasználva a bonyolultabb és rugalmasabb IPv6 architektúra összes képességét.


Az IPv6 hátrányai



Eddig a kiberbűnözők szerencsére kevés figyelmet fordítottak az IPv6 felé, azonban a trend könnyedén megváltozhat, illetve volt már példa az IPv6-alapú command-and-control malware-re. Tehát ha a szerver alapértelmezésben elérhetővé teszi az IPv6-ot, de a tűzfal nem, akkor elkerülhetetlenül több rosszindulatú visszaélésnek adhatunk táptalajt. Épp emiatt fontos az IPv6 helyes telepítése.

Azt azonban nem szabad elfelejteni, hogy az IPv4 és IPv6 szabványokat külön kell kezelni, nem szabad egy kalap alá venné a telepítés során sem. Az informatikai adminisztrátoroknak egy teljesen új hálózatépítési megközelítést kell megtanulniuk, az egyszerű hálózati hibaelhárítástól egészen a tűzfalak beállításáig és a biztonsági naplók ellenőrzéséig. Túl sok lehetőség van a hibára és a félreértésekre.

Fontos megjegyezni, hogy nincs lehetőség az IPv6-ra való egyszerű váltásra, vagyis nincs egyetlen szoftver vagy beállítás, amit végrehajtva mindez bekövetkezik. Egyetlen megoldás van: fokozatosan kell átállni, azonban a zavartság, ami a rossz konfiguráció és a biztonsági rések újabb forrása lehet. Ahogyan az IPv6 elterjedése növekszik, úgy a kiberbűnözők is egyre több energiát fektetnek abba, hogyan lehet aláásni a beépített biztonsági rendszereket.


Akkor mit tegyek?



Az IPv6-ra váltáskor nem azt kell megkérdezni, hogy szükséges-e, hanem hogy mikor álljunk neki. A Google-höz és Facebook-hoz hasonló szolgáltatások már régóta elérhetőek IPv6-ról, de rengeteg nagy internetszolgáltató, illetve telekommunikációs- és webszolgáltató éppen váltás alatt áll. Mindenkinek meg kell fontolni a frissítést, valamint ki kell dolgozni egy tervet, ha eddig nem tették volna már meg.

A kezdeti időbeli átfedéskor óvatosnak kell lenni, amikor tunnelinget alkalmazunk: bár az alagutak létfontosságúak az IPv4 és IPv6 komponensek között, és képesek elérhetővé tenni a hálózat egyes elemein az újabb szabványt, egyben biztonsági kockázatot is nyújtanak. Emiatt az alagutakat a minimumon kell tartani, és akkor is a feltétlenül szükségeseket engedélyezzük. Gondosan kell ellenőrizni az automatikus tunnelinget használó eszközöket.

Válasszunk másik nézőpontot, ha a fától nem látjuk az erdőt: az IPv6 alatti hálózati elrendezés alapvetően különbözik attól, amit az IPv4 esetében megtapasztalhattunk, emiatt a jelenlegi rendszer lemásolása távol áll az ideálistól. Így az egész struktúrát újra kell tervezni, hogy az új protokoll minden adottságát ki lehessen használni. Ne felejtsük el figyelembe venni az internetre néző és a LAN erőforrásokat sem – ne szabaduljunk meg közömbösen a DMZ-től!

Erősítsük meg, hogy a hálózati architektúránk friss és kompatibilis: könnyű kifelejteni a routereket és a switcheket a patchelési túrákból, emiatt mindenekelőtt frissítsük fel őket a legújabb firmware-re. Ha ezek az eszközök nem állnak készen az IPv6-ra, dolgozzunk ki egy tervet. Ilyen esetekben az IPv6 bevezetésével kockázatokat kreálhatunk, amiket jobb megelőzni, mielőtt még mások kihasználnák azokat.

Győződjünk meg, hogy az asztali biztonsági megoldásaink között szerepel az adatvesztés megelőzése és a webes biztonság. Adott esetben a tűzfalakat is újra kell konfigurálni, vagy legalábbis frissíteni szükséges. Bizonyosodjunk meg arról, hogy a végpontszolgáltatónk minden szükséges teljes körű ellenőrzéshez való eszköze megvan, kiváltva a hagyományos ellenőrzéseket. És a legfontosabb most következik: ne engedélyezzük az IPv6-ot, amíg mindennel nem vagyunk kész.

Forrás: Sophos, Deutsche Telekom, NIIF
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Ingyenes nCore regisztráció ‑ Újabb csalók próbálkoznak
Szellemek szállták meg és katonák lőtték szitává Budapestet
Ezek a különbségek az iPhone‑ és Android‑felhasználók között
Telltale játék lesz a Guardians of the Galaxy
Ezek a Huawei‑készülékek kapják meg az Android 7.0 Nougat frissítést
Megérkezett az Android 7.0 Nougat a Sony Xperia XZ és Xperia X Performance készülékekre
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Ezek a jelenleg kapható legerősebb okostelefonok
Microsoft Surface Phone - Számítógép és okostelefon egy készülékben
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Egy alkalmazás bitcoin-terminált csinál a telefonunkból
Keret nélküli kijelzővel érkezik a szétcsúsztatható ZTE Nubia
Állásajánlatok
Szoftvertesztelő Budapest
Java Developer
Gépészmérnök csoportvezető HF 11-7927
C++ fejlesztő
Ügyfélszolgálati Munkatárs
Sales and Marketing Executive Hungary, Romania, Bulgaria
UI Developer