С точки зрения значительного увеличения адресного пространства протокол IPv6 сулит огромные преимущества. Однако менеджеры по безопасности столкнутся с проблемами, связанными с защитой сетей от злоумышленников и внесением изменений в правила безопасности.
Перевод сетей на технологию IPv6 набирает обороты, и организациям пора заняться проверкой своих инфраструктур, чтобы убедиться в их готовности. В начале февраля последний блок IP-адресов был передан Региональным интернет-регистраторам (Regional Internet Registry, RIR). Хотя каждый регистратор имеет собственные политики и правила распределения адресов, этих адресов вряд ли хватит до конца года. Так, по прогнозу, опубликованному в отчете IPv4 Address Report, последний адрес будет назначен 23 сентября.
Эксперты считают, что перевод сетей с нынешних IPv4-адресов на 128-рязрядные IPv6-адреса может вызвать проблемы с безопасностью. Технология IPv6 позволяет использовать практически неограниченное адресное пространство — 340 ундециллионов (1036) адресов. По мнению Квинг Ли, руководителя исследовательских работ компании Blue Coat Systems, спамерам будет где разгуляться. Переход на IPv6 сулит не появление новых проблем со спамом, а усугубление существующих из-за огромного количества доступных адресов.
В самом деле, спамеры, как и другие организации, уже начали переход на IPv6. Исследование, проведенное в марте лабораторией RIPE Labs, подразделением европейского Интернет-регистратора, показало, что 3,5% электронных сообщений, переданных по сетям IPv6, является спамом. Это немного, если учесть, что для IPv4 аналогичный показатель составил 31%. Тем не менее ясно, что переход спамеров на IPv6 уже идет. С точки зрения общего объема вклад IPv6 остается небольшим — 1,89%, по оценке RIPE Labs. Однако в исследовании не учитывался спам, который не попал адресату из-за того, что был заблокирован сетевым экраном на базе черных списков DNS-хостов и специально настроенных серых списков.
Черные и серые списки также представляют проблему, так как сейчас поддерживается только один список. Пока на базе IPv6 не появится больше таких списков и систем репутации, будет трудно фильтровать сообщения на предмет спама. Но с их созданием тоже могут возникнуть сложности, считает Квинг Ли, так как возможно придется перестроить способ создания черных списков и систем репутации. IPv6-адрес состоит из двух частей: префикса, назначенного данной сети, и значения, динамически генерируемого каждым устройством. Поэтому IPv6-адрес обновляется каждые 24—48 ч. Заблокировать его не так просто, как в случае адреса, состоящего из фиксированных чисел. Механизм систем репутации нужно переделать так, чтобы больше полагаться на сканирование содержания сообщений, а не на репутацию.
Из-за динамического изменения IP-адресов ИТ-менеджеры не смогут механически перенести имеющиеся правила безопасности в IPv6-сети, считает Квинг Ли. Им надо будет перестроить эти правила для учета новой пакетной структуры IPv6 и способа генерации адресов.
Организациям придется протестировать сетевые экраны, чтобы убедиться в том, что новые правила соответствуют технологии IPv6. По словам Асафа Грейнера, вице-президента Commtouch, Интернет-провайдеры не смогут рассматривать IPv6 как IPv4 с увеличенным адресным пространством. В IPv6 предусмотрена иерархическая структура адресации, в которой адреса могут присваиваться и отдельному устройству, и нескольким устройствам в группе.
Кроме того, в адресе предусмотрено поле для поддержки качества обслуживания. IPv6 также позволяет мобильным устройствам динамически менять адреса при изменении местонахождения без отключения связи с сетью. Все это нужно учитывать при разработке правил для сетевых экранов и сетей, подчеркнул Асаф Грейнер.
В пакетах IPv6 имеются заголовки расширений, предназначенные для улучшения производительности за счет упрощения общей структуры. Поскольку эти заголовки являются факультативными и могут использоваться разными способами, протоколы безопасности сетевых экранов и других сетевых устройств должны понимать все варианты. Ведь злоумышленники смогут манипулировать факультативными заголовками ради своей выгоды.
Многие телекоммуникационные операторы предлагают двойной пакет услуг, в котором заказчики могут использовать адреса и IPv6, и IPv4. По мнению Квинг Ли, это тоже создает проблемы, так как администраторам нужно не забыть создать правила для сетевых экранов и сетевые политики безопасности для защиты обеих сетей. В противном случае злоумышленники могут приникнуть через дыры в сетях IPv6.