главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Защитник Windows спасет от опасной уязвимости
  • Хакеры доказали уязвимость Microsoft Edge
  • Windows 10 Creators Update: все новые функции
  • Windows 10 будет обновляться по лимитным подключениям
  • Весенние скидки на технику Chuwi
  • Windows 7 и 8.1 действительно не поддерживают новые процессоры
  • Начиная с Windows Vista, протокол IPv6 включен по умолчанию во всех операционных системах Microsoft, в том числе Windows Server 2008 и Windows 7. В новых ОС Apple, Linux и Solaris ситуация обстоит точно так же. Прежде чем продолжать, оговорюсь: все мы прекрасно понимаем, что протокол IPv6 — важная и нужная вещь. Я даже рискнул написать с помощью Джо Кляйна (Joe Klein), руководителя отдела безопасности IPv6 в компании Command Information, несколько статей на эту тему. Так что сам по себе новый протокол меня не беспокоит.

    Что меня беспокоит

    Не знаю, почему, но в большинстве новых компьютеров IPv6 включен по умолчанию. Видимо, разработчики операционных систем вообразили, что к сегодняшнему дню он уже станет основным протоколом Интернета. А может, они решили, что никакого вреда от этого нет, так почему бы не включить.

    Для одной из служб Microsoft включенный IPv6 даже обязателен. Речь идет о конференц-зале Windows Meeting Space, который работает на базе пиринговой архитектуры и использует IPv6 для автоматической настройки сети.

    Масштабы проблемы

    Количество компьютеров, на которых IPv6 включен по умолчанию, потрясает. В статье Кэролин Даффи Мэрсэн (Carolyn Duffy Marsan) на сайте NetworkWorld цитируются слова Джо Кляйна:

    Вполне вероятно, что IPv6 включен по умолчанию в порядка 300 миллионов систем. По нашему мнению, это весьма опасно.

    Интересно, пользователи скольких из этих 300 миллионов компьютеров осознают, что в их системах включен IPv6, и понимают, что это значит?

    Главные уязвимости

    В другой статье Мэрсэн приводятся мнения экспертов о том, что представляет наибольшую угрозу с точки зрения одновременного использования IPv6 и IPv4. Вот какие опасности они перечислили:

    • Вредоносный трафик IPv6. Хакеры учитывают, что большинство системных администраторов не отслеживают или просто не моогут отслеживать трафик IPv6, и умело этим пользуются. Современные брандмауэры, системы обнаружения атак (IDS) и сетевые утилиты еще не поддерживают IPv6, что позволяет злоумышленникам свободно рассылать вредоносный трафик на все компьютеры, поддерживающие IPv6.

    • Туннелирование IPv6. Протоколы типа Teredo и Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) инкапсулируют пакеты IPv6 в пакетах IPv4. Трансформированные пакеты обманывают брандмауэры IPv4 и оборудование для трансляции сетевых адресов (NAT), с легкостью минуя периметрические заслоны, призванные распознавать и блокировать трафик IPv6.

    • Мошенническое оборудование IPv6. Поскольку IPv6 предусматривает автоматическую настройку сети, злоумышленники могут получить контроль над компьютерами, поддерживающими новую версию протокола, с помощью специального устройства, способного выдавать IP-адреса стандарта IPv6 в сети, являющейся объектом атаки. Что еще хуже, такие устройства могут обладать возможностями маршрутизации, заставляя весь трафик проходить через себя. Это позволяет хакерам просматривать, модифицировать и блокировать любой сетевой трафик по своему желанию.

    • Встроенный протокол ICMP и групповые передачи. В отличие от IPv4, IPv6 требует использования ICMP и групповых передач. Это принципиально изменяет подход к обеспечению сетевой безопасности. Сейчас блокирование ICMP и групповых передач является общепринятой практикой в сетях IPv4. Однако в сетях IPv6 этот прием не работает, поэтому для обеспечения безопасности придется применять сложные методы фильтрования ICMP и групповых пакетов.

    Оставлять IPv6 включенным или нет

    Оставлять IPv6 включенным или нет, науке неизвестно. Одни специалисты выступают за включение, другие за отключение, а третьи еще не определились. Вот что думают по этому поводу эксперты, опрошенные Мэрсэн.

    Тим Лемастер (Tim LeMaster), руководитель отдела системного конструирования федеральной группы Juniper, считает:

    Если вы не готовы использовать IPv6, разумнее будет его отключить. Но это не значит, что следует без разбора блокировать весь IPv6 на пять лет вперед. Нужно проанализировать потенциальные угрозы и выработать систематический подход к проблеме, а до тех пор можно обойтись и без IPv6.

    Лиза Доннен (Lisa Donnan), вице-президент компании Command Information по передовым технологическим решениям, думает иначе:

    Мы не рекомендуем блокировать трафик IPv6. Вместо этого следует проанализировать, сколько в сети насчитывается устройств и приложений с поддержкой IPv6. Если сколько-нибудь существенное количество, тогда необходимо распланировать развертывание IPv6 и обучить своих сотрудников работе с ним.

    Шейла Фрэнкель (Sheila Frankel), специалист по вычислительным системам отдела компьютерной безопасности Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) выражает промежуточную точку зрения:

    Компаниям требуется хотя бы минимальная подготовка в области IPv6, которая позволит им обезопасить себя от основных угроз. Кроме того, имеет смысл разрешить использование IPv6 на внешних серверах, находящимися за пределами периметральных сетевых экранов организации. С одной стороны, это позволит подключаться к таким серверам пользователям из стран Азии с адресами стандарта IPv6, а с другой, позволит сотрудникам компании получить опыт работы с новым протоколом. Это станет первым шагом на пути к массовому переходу на IPv6. Переход неизбежен, поэтому лучше сразу определить стратегию поведения компании в новых условиях и выработать максимально безопасный подход.

    На своих компьютерах я сразу отключил IPv6. Зачем рисковать, если это необязательно? Судя по всему, я поступил правильно, потому что мои клиентские компьютеры не подвержены атакам по этому новому направлению.

    На сегодняшний день я считаю это оптимальным выходом, но разумеется, он подойдет далеко не всем. Единственное, что можно сказать с уверенностью — изучать IPv6 нужно всем, и чем скорее, тем лучше, потому что эти знания позволят вам самостоятельно решить, как поступить, с учетом всех особенностей вашей сети.

    Как отключить IPv6

    К счастью, отключить IPv6 очень легко. Ниже приводятся ссылки на статьи, в которых объясняется, как это сделать, для разных операционных систем.

    Отключение IPv6 в Windows Vista
    Отключение IPv6 в Linux
    Отключение IPv6 в Mac OS X

    В заключение

    Нужно ли отключать IPv6 — вопрос сложный и неоднозначный. Впрочем, так бывает со всеми новыми технологиями. Что мне непонятно — так это почему производители опять думают о безопасности в последнюю очередь. Будем надеяться, что это происходит лишь по недосмотру и будет скоро исправлено.

    Автор: Michael Kassner
    Перевод: SVET


    Оцените статью:
    Голосов 6

    Материалы по теме:
  • Летом Интернет переходит на IPv6
  • Простой способ отключить IPv6 в Windows Vista
  • IPv6 и Windows XP
  • Windows Vista уязвима через протокол Teredo со дня выхода.
  • Windows Vista 'подвесит' интернет?


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет десять плюс десять?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2017 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+