19 080
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
https://androbit.net/ContentUploads/A865/ipv6.jpg
Kattints ide  ➜

Ezért éri meg IPv6‑ra váltani

Droppa Béla2015.09.15. 10.20
Az Internet Protocol (IP) a rendszer, aminek hála az eszközeink a világhálón megtalálják egymást, és képesek kapcsolatokat létrehozni, enélkül lényegében nem beszélhetnénk internetről. A rendszert még a nyolcvanas éves elején tervezték, amikor nem számítottak az internet robbanásszerű növekedésére. A szabályozók évek óta figyelmeztetnek az IPv4 korlátozott címkészletére, illetve arra, hogy idővel ez nem lesz elég.

Az IPv4 utódja, az IPv6 megkapta azokat a funkciókat és megoldásokat, amik a modern internethez nélkülözhetetlenek: nagyobb integritás és előrehaladottabb biztonsági megoldások jellemzik a szabványt, nem elfeledkezve a fejlettebb, újgenerációs webes eszközök széleskörű támogatásáról. A rengeteg előny mellett azonban az IPv6 biztonsági réseket is tartogathat, amire fel kell készíteni a hálózatokat.

Az IPv6-átállás elkerülhetetlen, de a migráció jelentős erőfeszítéseket, előkészítést és vizsgálatokat igényel. Amennyiben helytelenül végezzük el, akkor tátongó biztonsági réseket hagyunk a pajzson. A gondos tervezés nélkül végrehajtott áthangolás során akár az is megtörténhet, hogy egyszerre fut az IPv4 és az IPv6, ezzel lenullázva az egyes protokollok körül kialakított biztonsági kerítést. Ezért fontos, hogy a biztonsági megoldások teljes mértékben kompatibilisek legyenek az új infrastruktúrákkal.


Mi a probléma az IPv4-gyel?



1981-ben az IPv4 által lefedett 4,3 milliárd cím bőven elegendőnek tűnt az akkori, igencsak limitált számítógép-penetrációhoz viszonyítva. Három évtizeddel később, a számítógépektől kezdve olyan széles skálán mozgó eszközök használják az internetet, mint az okostelefonok, a táblagépek, a játékkonzolok, az okostelevíziók, de az autók és adott esetben még a termosztát is a hálózatra van kötve. Hirtelen az elérhető négymilliárd cím iszonyatosan kevés lett.


Az IPv6 előnyei



Az IPv6 a 128-bites rendszert használva szignifikánsan több címet tartalmaz, mint névadó elődje: 340 szextillió, vagyis 3,4×1038 címet lehet kiosztani, ami jelentősen több a mostani 4,3 milliárd, 32 bites IPv4-nél. A kiterjesztett címjegyzék biztosítja a skálázhatóságot, de olyan további biztonsági rendszereket is elérhetővé tesz, mint például a host szkennelés, ami a támadóknak nehezebbé teszi az azonosítást.

Az IPv6 azon felül, hogy jóval nagyobb címtartománnyal rendelkezik, számos más előnyt birtokol az IPv4-hez képest. Az IPv6 a protokollba beépítetten támogatja a multicast továbbítást, míg IPv4 esetében ez a tulajdonság opcionális. A multicast olyan összeköttetési mód az interneten, ami a hagyományostól (unicast) eltérően nem két gép, hanem tetszőleges számú gépből álló csoport tagjai között teremt kapcsolatot. Ilyen esetekben az adatokat nem kell minden gépnek külön-külön elküldeni, hanem elég csak egyszer a csoportcímre, ami jelentős sávszélesség megtakarítást eredményez a unicast móddal szemben.

Mobil IPv4 protokollal ellentétben a Mobil IPv6 (MIPv6) segít elkerülni a korábban tapasztalt nem optimális útválasztást (triangular routing), illetve elérhetővé teszi a mobil (WiFi - vezeték nélküli) klienseknek az új útválasztó választást a hálózati címek átszámozása nélkül, ami stabilabb és gyorsabb kapcsolatot eredményez, kevesebb megszakadással. IPv4 esetében az adatcsomagok méretének felső korlátja 64 kB (kilobyte), míg az IPv6 esetében ez 4GB (gigabyte) méretig növelhető, ami jelentősen megnövelheti az adatátviteli sebességet.

Összefoglalva: az új címekkel együtt az IPv6 olyan előnyöket nyújt, mint a biztonság, az integritás és a teljesítmény.


Az IPv6 biztonsági előnyei



Az IPv6 segítségével végponttól végpontig (end-to-end) titkosítást használhatunk. Annak ellenére, hogy utólagosan ez a funkció az IPv4-be is bekerült, ott inkább egy egyedileg használt, ritka extraként beszélhetünk róla. A jelenlegi VPN-ekben használt titkosítás és integritás-ellenőrzés az IPv6 sztenderd komponense, ami minden kapcsolat és az összes támogatott eszköz számára elérhető. Az IPv6 széleskörű elterjesztésével ennek megfelelően az MITM-támadások nehezebbé válnak.

Mindezeken kívül a technológia támogatja a még biztonságosabb névfeloldást, ugyanis a Secure Neighbor Discovery (SEND) protokoll segítségével kriptográfiai visszaigazolást tud kérni a hosttól, aki azt állítja, hogy a megadott kapcsolódási időben van jelen. Ez például az Address Resolution Protocol (ARP) nevű támadási formát teszi nehezebbé. És bár nem kínál alkalmazás- vagy szolgáltatásrétegű ellenőrzést, még mindig emelt szintű bizalmat igényel.

IPv4 alatt a támadó egyszerűen átirányíthatja a kapcsolatot két legitim fogadó fél között, és befolyásolhatja, legalábbis megfigyelheti a közöttük folyó információcserét. IPv6 használata mellett a betörő dolgát nagyon megnehezítjük. A biztonságosabb infrastruktúra kizárólag a megfelelő tervezéstől és implementációtól függ, kihasználva a bonyolultabb és rugalmasabb IPv6 architektúra összes képességét.


Az IPv6 hátrányai



Eddig a kiberbűnözők szerencsére kevés figyelmet fordítottak az IPv6 felé, azonban a trend könnyedén megváltozhat, illetve volt már példa az IPv6-alapú command-and-control malware-re. Tehát ha a szerver alapértelmezésben elérhetővé teszi az IPv6-ot, de a tűzfal nem, akkor elkerülhetetlenül több rosszindulatú visszaélésnek adhatunk táptalajt. Épp emiatt fontos az IPv6 helyes telepítése.

Azt azonban nem szabad elfelejteni, hogy az IPv4 és IPv6 szabványokat külön kell kezelni, nem szabad egy kalap alá venné a telepítés során sem. Az informatikai adminisztrátoroknak egy teljesen új hálózatépítési megközelítést kell megtanulniuk, az egyszerű hálózati hibaelhárítástól egészen a tűzfalak beállításáig és a biztonsági naplók ellenőrzéséig. Túl sok lehetőség van a hibára és a félreértésekre.

Fontos megjegyezni, hogy nincs lehetőség az IPv6-ra való egyszerű váltásra, vagyis nincs egyetlen szoftver vagy beállítás, amit végrehajtva mindez bekövetkezik. Egyetlen megoldás van: fokozatosan kell átállni, azonban a zavartság, ami a rossz konfiguráció és a biztonsági rések újabb forrása lehet. Ahogyan az IPv6 elterjedése növekszik, úgy a kiberbűnözők is egyre több energiát fektetnek abba, hogyan lehet aláásni a beépített biztonsági rendszereket.


Akkor mit tegyek?



Az IPv6-ra váltáskor nem azt kell megkérdezni, hogy szükséges-e, hanem hogy mikor álljunk neki. A Google-höz és Facebook-hoz hasonló szolgáltatások már régóta elérhetőek IPv6-ról, de rengeteg nagy internetszolgáltató, illetve telekommunikációs- és webszolgáltató éppen váltás alatt áll. Mindenkinek meg kell fontolni a frissítést, valamint ki kell dolgozni egy tervet, ha eddig nem tették volna már meg.

A kezdeti időbeli átfedéskor óvatosnak kell lenni, amikor tunnelinget alkalmazunk: bár az alagutak létfontosságúak az IPv4 és IPv6 komponensek között, és képesek elérhetővé tenni a hálózat egyes elemein az újabb szabványt, egyben biztonsági kockázatot is nyújtanak. Emiatt az alagutakat a minimumon kell tartani, és akkor is a feltétlenül szükségeseket engedélyezzük. Gondosan kell ellenőrizni az automatikus tunnelinget használó eszközöket.

Válasszunk másik nézőpontot, ha a fától nem látjuk az erdőt: az IPv6 alatti hálózati elrendezés alapvetően különbözik attól, amit az IPv4 esetében megtapasztalhattunk, emiatt a jelenlegi rendszer lemásolása távol áll az ideálistól. Így az egész struktúrát újra kell tervezni, hogy az új protokoll minden adottságát ki lehessen használni. Ne felejtsük el figyelembe venni az internetre néző és a LAN erőforrásokat sem – ne szabaduljunk meg közömbösen a DMZ-től!

Erősítsük meg, hogy a hálózati architektúránk friss és kompatibilis: könnyű kifelejteni a routereket és a switcheket a patchelési túrákból, emiatt mindenekelőtt frissítsük fel őket a legújabb firmware-re. Ha ezek az eszközök nem állnak készen az IPv6-ra, dolgozzunk ki egy tervet. Ilyen esetekben az IPv6 bevezetésével kockázatokat kreálhatunk, amiket jobb megelőzni, mielőtt még mások kihasználnák azokat.

Győződjünk meg, hogy az asztali biztonsági megoldásaink között szerepel az adatvesztés megelőzése és a webes biztonság. Adott esetben a tűzfalakat is újra kell konfigurálni, vagy legalábbis frissíteni szükséges. Bizonyosodjunk meg arról, hogy a végpontszolgáltatónk minden szükséges teljes körű ellenőrzéshez való eszköze megvan, kiváltva a hagyományos ellenőrzéseket. És a legfontosabb most következik: ne engedélyezzük az IPv6-ot, amíg mindennel nem vagyunk kész.

Forrás: Sophos, Deutsche Telekom, NIIF

Caseable – Egyedi tokok szemétből
PITAKA – Az egyik legmenőbb iPhone‑tok
Spenótlevelet használtak emberi szövetvázként
Itt a Justice League első előzetese
A Qualcomm korlátozta a Samsung Exynos chipek értékesítését
Ez volt 2016 legnépszerűbb okostelefonja
Felkapott témák
Osszad meg, és adunk egy iPhone-t!
Megérkezett és letölthető az Android 8.0
Huawei P10 okostelefon teszt – Fontolva haladó
Ez volt 2016 legnépszerűbb okostelefonja
iPhone-on sem elképzelhetetlen a „gyárilag telepített” kémszoftver
Áprilistól kapható a Tesla napelemes cserepe
Állásajánlatok
Customer Quality Engineer
ABAP Software Analyst, Developer and Tester
Marketing Content Editor - VOC0002JP
Senior Genesys System Engineer Szeged
Gépész fejlesztőmérnök HF 12-8102
MOM Machine Integrator PLC
Czech Speaking Service Support Agent [ST-UCZ02]