Новые разработки обеспечат безопасность в сетях IPv6
За последние четыре года я немало написал об IPv6 и даже набрался смелости, чтобы взять несколько интервью у Джо Кляйна (Joe Klein), заслуженного эксперта в этой области. В результате у меня появилась твердая уверенность, что IPv6 — куда более сложная технология, чем я представлял, и многим специалистам по безопасности это явно не понравится.
IPv6 устраняет многие проблемы безопасности, актуальные для IPv4, но в то же время создает новые уязвимости. Одна из опасностей заключается в том, что при использовании IPv6 у всех сетевых устройств появляются маршрутизируемые IP-адреса и это делает их уязвимыми перед всевозможными атаками из внешней сети.
Доступность ограничивает конфиденциальность
Поскольку все устройства становятся доступны из Интернета, становится легче отслеживать отдельных пользователей по IP-адресам. На это обратили внимание исследователи из Виргинского политехнического института (Virginia Tech). В одной из своих работ они пишут:
Автоматическая конфигурация адресов, которую по умолчанию использует протокол IPv6, предоставляет третьим лицам возможность отслеживать активность определенных пользователей во всей глобальной сети с помощью простых инструментов — пинга и трассировки маршрута. Подписанные сообщения тоже раскрывают информацию об отправителе и получателе посторонним.
Исследователям очень не понравилось такое положение дел, и особенно тот факт, что стандартная схема адресации IPv6 делает MAC-адрес устройства видимым в глобальной сети. Поэтому они разработали защитный механизм под названием «Moving Target IPv6 Defense» (MT6D), который позволяет «хостам взаимодействовать друг с другом в открытом интернет-пространстве, обеспечивая полную анонимность для защиты от атак, отслеживания и корреляции трафика».
Это действительно стоящее изобретение. Разработчики Стивен Гроат (Stephen Groat), Мэттью Данлоп (Matthew Dunlop), Уильям Урбански (William Urbanski), Рэндольф Марчани (Randolph Marchany) и Джозеф Тронт (Joseph Tront) заняли с этим проектом третье почетное место в Национальном конкурсе инноваций в сфере безопасности 2011 (National Security Innovation Competition) и в данный момент ожидают выдачи патента на свою технологию.
Похоже, исследователям действительно удалось полностью решить проблему приватности. Но учитывая, сколько скрытых опасностей таят в себе протоколы IPv4 и IPv6, я попросил разработчиков объяснить, как именно действует их механизм.
Касснер: В вашем исследовании упоминается о том, что система автоматической конфигурации адресов без запоминания состояния, которая применяется в IPv6, ставит под угрозу конфиденциальность пользователей. Не могли бы вы объяснить, что это за система и чем именно она опасна?
Исследователи: Автоматическая конфигурация адресов без запоминания состояния (Stateless Address Autoconfiguration, SLAAC) позволяет хостам IPv6 самостоятельно получать адреса. Данный механизм снижает нагрузку на сетевых администраторов и существенно отличается от системы адресации IPv4, в которой адреса хостам выдает DHCP-сервер.
Недостаток SLAAC заключается в том, что адреса хостов, или идентификаторы интерфейса (IID), остаются неизменными в любой подсети. Стандартная схема адресации — 64-битный расширенный уникальный идентификатор (EUI-64) — предусматривает использование MAC-адреса в качестве идентификатора интерфейса. В результате злоумышленники получают возможность отслеживать и атаковать хоста в любой точке мира, зная его MAC-адрес и список подсетей.
Касснер: Я читал, что в современных операционных системах Microsoft используются защитные расширения (privacy extensions), позволяющие скрыть часть MAC-адреса. Разве этого недостаточно для защиты?
Исследователи: Защитные расширения — это, без сомнения, шаг вперед, но они защищают от атаки только клиентские машины и оставляют сервер уязвимым. Эти расширения изменяются недостаточно часто для предотвращения сетевых атак, поэтому они неэффективны для защиты глобально доступных систем (например, веб-серверов или конечных точек VPN), использующих статические адреса для обеспечения сетевых подключений. Такие системы служат для хакеров легкой добычей.
К тому же, защитные расширения ориентированы главным образом на обеспечение безопасности интернет-трафика. Другие технологии, в частности, VoIP и VPN, не могут функционировать с использованием защитных расширений.
Кроме того, защитные расширения, применяемые в операционных системах Windows, используют еще один адрес IPv6 для поиска соседних компьютеров, работы локальной службы DNS и других функций. Это статический адрес, доступный другим хостам. Если злоумышленникам известен данный адрес, они могут использовать его для атаки на целевой компьютер.
Касснер: Для обеспечения безопасности и конфиденциальности вы разработали механизм MT6D, предусматривающий динамическое изменение адресов отправителя и получателя. Что это решает?
Исследователи: Динамическая смена адресов обеспечивает конфиденциальность, анонимность и защиту взаимодействующих хостов. Наш механизм аналогичен скачкообразной перестройке частоты. Хакер, наблюдающий за сетевым трафиком, видит взаимодействие множества уникальных пар хостов, в то время как на самом деле обмен данными происходит лишь между двумя одними и теми же хостами. В результате злоумышленник не может определить принадлежность ни одного из хостов и провести атаку на определенный адрес.
Касснер: MT6D также предусматривает шифрование сообщений. Значит ли это, что протокол IPsec больше не нужен?
Исследователи: MT6D можно рассматривать как усовершенствованную версию IPsec. Протокол IPsec способен шифровать сетевой трафик, но требует использования статических адресов. Если применять его на уровне хоста или шлюза, злоумышленники могут нарушить коммуникации, запустив DoS-атаку по данному адресу.
MT6D обеспечивает шифрование на сетевом уровне и одновременно с этим динамически скрывает адреса. В результате злоумышленники не могут отслеживать защищенный с помощью MT6D сетевой трафик (как и при использовании IPsec), а кроме того, не могут обнаружить статический адрес для запуска DoS-атаки.
Касснер: В вашем исследовании говорится, что «ключевая особенность MT6D — возможность изменять адреса непосредственно в ходе сеанса коммуникации между хостами без обрыва связи и необходимости переподключения». Это уникальный подход, однако не изменяет ли он принцип трехстороннего квитирования для TCP-соединения?
Исследователи: MT6D создает туннель, по которому проходит весь сетевой трафик, но не изменяет механизм трехстороннего квитирования для TCP-соединения. Туннелирование трафика уменьшает нагрузку в ходе TCP-сеанса за счет того, что все протоколы четвертого уровня обрабатываются одинаково. Смена адресов происходит в течение сеанса взаимодействия и не требует повторного подключения или дополнительного трехстороннего квитирования.
Касснер: В вашем исследовании также упоминается, что MT6D предотвращает некоторые сетевые атаки. Какие именно? Связано ли это с использованием динамических адресов?
Исследователи: MT6D позволяет предотвратить целый ряд направленных сетевых атак (например, отказ в обслуживании), а также эксплойтов на уровне приложений. Это достигается за счет динамического скрытия адреса целевого хоста. Поскольку размеры сети IPv6 огромны, обнаружение целевого хоста путем сканирования статистически невозможно. И даже если злоумышленникам удастся выяснить адрес хоста путем прослушивания, продолжительность атаки не превысит интервала между сменами адресов.
Касснер: В вашем исследовании утверждается, что Виргинский политехнический институт — идеальная площадка для тестирования различных технологий IPv6. Почему?
Исследователи: Виргинский политехнический институт — одно из немногих в США учреждений, где действует полнофункциональная рабочая сеть IPv6. Более того, это крупнейшая в стране сеть IPv6, насчитывающая более 30 тысяч узлов. Наличие рабочей сети позволяет нам тестировать MT6D в реальных условиях.
Касснер: Я читал, что MT6D можно использовать и в сетях IPv4. Имеет ли это смысл? Или разумнее было бы для начала перейти на IPv6?
Исследователи: Механизм MT6D может работать и в сетях IPv4, но с двумя оговорками. Во-первых, подсети IPv4 очень малы, поэтому злоумышленники могут просканировать любую из них за считанные минуты и с легкостью обнаружить целевой адрес. Во-вторых, массив доступных адресов IPv4 ограничен, из-за чего при смене адресов неизбежны конфликты.
Подсети IPv6 — 64-разрядные, поэтому в одну подсеть можно более 4 миллиардов раз уместить все пространство адресов IPv4. Просканировать сеть такого масштаба на данный момент просто невозможно.
К тому же, при столь широком адресном пространстве вероятность конфликта адресов исключительно мала. Поэтому куда разумнее применять MT6D в сетях IPv6.
В заключение
Похоже, MT6D действительно может обеспечить конфиденциальность пользователей и защитить от целого ряда сетевых атак компьютеры, подключенные напрямую к глобальной сети.
