На початку червня відбувся всесвітній запуск інтернет-протоколу IPv6. Основні інтернет-та контент-провайдери вже почали використовувати цей протокол на постійній основі, що викликало різкий стрибок трафіку як власне IPv6, так і тунельних протоколів - 6in4, Teredo та інших. Беручі до уваги все більш активне застосування IPv6, офіційний його запуск став значним кроком вперед. День «здачі IPv6 в експлуатацію» пройшов, але відповісти на питання щодо безпеки нового протоколу фахівцям ще належить.

Серйозною проблемою є здатність неавторизованих тунельних протоколів приховувати трафік IPv6, що дозволяє обходити пристрої мережевого захисту. Щоб перекрити ці обхідні шляхи, спеціалісти повинні чітко уявляти принцип роботи перехідних механізмів IPv6.

Легко зрозуміти, для чого організаціям необхідний перехід на IPv6. Запас нерозподілених адрес IPv4 вже практично вичерпаний. Кожний пристрій, підключений до Інтернету, ідентифікується за IP-адресою; в протоколі IPv4 адреса має довжину 32 біта, тобто всього 232 унікальних IP-адреси. IPv6 розширює цю кількість до 2128.

Протокол IPv4 до недавніх пір справлявся зі своїм завданням, однак через те, що до Інтернету підключається все більше і більше пристроїв, дні його, можна сказати, минають. У IPv6 є й інші переваги перед IPv4 , наприклад спрощене виділення адрес.

Перехід на IPv6 ставить перед організаціями, в яких розгорнуто комп'ютерні мережі, ряд важливих завдань. Їм слід приділяти питанням безпеки протоколу IPv6 таке ж серйозне увагу, так і IPv4.Ответственним за практичну реалізацію систем безпеки необхідно знати основи нового протоколу, щоб правильно організувати перехід. В Інтернеті вже опубліковані поради та рекомендації з цього приводу, у тому числі розроблені Національним інститутом стандартів і технологій (NIST, США).

Якщо пристрій мережевого захисту підтримують IPv6, зараз саме час включити їх. В деяких операційних системах, наприклад Windows Vista і Windows 7, механізми переходу на IPv6 активні по замовчанню. Це значить, що можливості нового протоколу будуть задіяні без відома ІТ-фахівців, і трафік почне слідувати в обхід міжмережевих екранів і систем запобігання вторгнень.

Хости і маршрутизатори, що використовують IPv6, з'єднуються з іншими IPv6-пристроями в мережах IPv4 за допомогою тунелів. Проблема полягає в тому, що тунелі здатні пробивати міжмережеві екрани. Таким чином, зловмисники можуть обдурити систему безпеки і отримати доступ до ресурсів локальної мережі зовні. Слід ретельно прораховувати і по можливості мінімізувати використання тунельних протоколів (6to4 і т.і.) для підтримки переходу на IPv6.

Мережевим адміністраторам необхідно мати на увазі, що протокол IPv6 вже може працювати в корпоративній мережі і служити прихованим каналом для ботнетів і хакерів. Навіть якщо трафік IPv6 в організації невеликий, інфраструктура безпеки повинна вміти виявляти і обробляти його. Адже всім ясно, що невидимку зловити неможливо.

Що стосується безпечного розгортання IPv6, ключовими словами тут є «виявлення» і «контроль». Системи мережевого захисту в організаціях повинні підтримувати IPv6 і коректно обробляти його трафік. Іноді це вимагає оновлення системи, оскільки рішення для запобігання вторгнень і міжмережеві екрани колишніх поколінь можуть не контролювати трафік IPv6. На щастя, протягом останніх кількох років більшість провідних виробників систем мережного захисту забезпечили в них підтримку IPv6.Організаціям слід проконсультуватися з постачальниками з питань всієї необхідної функціональності в системах і почати впровадження нового протоколу в своїх мережах. Допомогти тут здатні офіційно затверджені програми тестування IPv6, наприклад програма сертифікації USGv6, розроблена фахівцями NIST.

По мірі зростання числа організацій, які впроваджують IPv6, адміністраторам необхідно стежити за роботою механізмів переходу і конфігураціями пристроїв, не допускаючи несанкціонованого відкриття доступу в мережу зовні. Моніторінг всього мережевого трафіку — важлива умова для мережевої безпеки. Всі виявлені неавторизовані тунелі повинні своєчасно блокуватися, щоб захистити мережу від атак. Впровадження IPv6 в глобальному масштабі неминуче. Тому сьогодні потрібно вжити всіх заходів для того, щоб перехід на новий протокол не піддав корпоративні мережі додатковим загрозам вторгнень.

Автор статті — співробітник Check Point Software Technologies Ltd. і один з розробників IPv6. У 2008 р. він став одним із лауреатів премії IEEE Internet Award за свої передові розробки в області інтернет-маршрутизаторів.