Многие годы обитатели Интернета рассматривали протокол IPv6 как способ ускорения сетевого трафика и решения надвигающейся проблемы исчерпания пула сетевых адресов. Однако хотя многие ИТ-менеджеры контролировали развитие данной технологии, а некоторые организации успели уже перейти на этот стандарт, есть еще немало предприятий, которые не готовы решать новые проблемы безопасности, возникающие вследствие такого перехода, отмечает Скотт Беренс, директор исследовательского центра Neohapsis Labs. “Мы видим множество компаний, стремящихся к переходу на IPv6, — говорит он. — Более того, каждый современный хост-сервер под управлением Windows поставляется с включенной поддержкой этого протокола”. В то же время большинство ИТ-департаментов еще не выработали стратегию и не подготовили свои системы к адекватной реакции на возможные проблемы. Многие до сих пор используют системы мониторинга и обеспечения безопасности на основе IPv4. Это позволяет злоумышленникам установить фальшивый IPv6-адрес поверх существующей IPv4-сети и заставить клиентов посылать информацию в сетевой туннель IPv6.
Протокол IPv6 обещает повышенную производительность сети и улучшенный доступ в Интернет, однако многие эксперты по безопасности говорят, что новый стандарт открывает дорогу для новых угроз.
В прошлом такой метод атаки, известный как Stateless Address Auto Configuration (SLAAC), был скорее теорией, чем реальностью. “Однако по мере широкого распространения Windows 8 это становится проблемой, которая непременно должна быть решена: угроза очень и очень реальна”, — предупреждает Беренс.
Новая угроза основывается на так называемой атаке Man-in-the-Middle. “Недовольные сотрудники могут использовать эту схему, чтобы перехватывать Web-трафик и отслеживать действия других работников компании, — пояснил он. — В более фатальном сценарии они могут изменять или подделывать сайты для организации атаки”. Фактически злоумышленник может добиться своей цели, располагая только оболочкой сайта.
Предположительно угроза может исходить из-за пределов корпоративной сети. Например, пользователь подключается к Web-сайту или входит в социальную сеть из общедоступной точки Wi-Fi-соединения. В такой ситуации человек с враждебными намерениями может перенаправить трафик с запрашиваемого сайта на свою систему.
Целью таких действий могут быть фишинговая атака, атака на клиентов и другие способы получения регистрационных данных пользователя, а также персональных данных, включая номера кредитных карт. “В результате предприятие может обнаружить, что постороннее лицо имеет доступ к крайне чувствительной корпоративной информации”, — считает Беренс.
Наиболее радикальный способ полностью устранить риск и ликвидировать любую возможность атаки состоит в полном отключении IPv6, указывает Беренс. К сожалению, некоторым организациям это может помешать переходу на желаемую технологию.
Более реалистичный подход для большинства предприятий, по словам Беренса, заключается в комплексе защитных мер, рекомендуемых Internet Engineering Task Force. Например, угрозу можно свести к минимуму за счет сегментирования и логического разделения внутренних сетей. “Такой подход может ограничить риск в пределах организации, — поясняет он. — Если я не имею доступ к определенным сегментам сети, то уже не в состоянии буду предпринять атаку против этих сегментов”.
Кроме того, некоторые наиболее производительные коммутаторы Cisco сейчас стали включать поддержку технологии RA Guard. Если эта технология активирована и корректно сконфигурирована, указанный метод атаки не будет работать. Минусами такого подхода являются его относительная новизна и высокая цена коммутаторов, полагает Беренс.
Хотя до сих пор не было задокументировано ни одного случая SLAAC-атаки, Беренс и другие исследователи проблем компьютерной безопасности уверены, что реализация таких атак — только вопрос времени. В долгосрочной перспективе предприятиям придется строить и конфигурировать сети, поддерживающие протокол IPv6. “Атаки не имеют успеха в хорошо продуманной инфраструктуре, — заключает он. — Проблема может возникнуть в такой среде, где используются сети с включенным, но не сконфигурированным протоколом IPv6”.