Bezpieczeństwo

Co to za dziwny adres, czyli o IPv6 i bezpieczeństwie słów kilka

15 września 2010

Co to za dziwny adres, czyli o IPv6 i bezpieczeństwie słów kilka

217.149.243.245 – to adres Bloga Orange-TP w wersji zrozumiałej dla urządzeń sieciowych. Ten adres jest 32-bitową liczbą całkowitą. Najbardziej rozpowszechniony obecnie standard IP w wersji 4, przewiduje wykorzystanie ok. 4 miliardów takich adresów. Dużo? Może i tak, jednakze zapotrzebowanie jest znacznie większe. Na szczęście nie czeka nas jednak „bezinternetowa” apokalipsa.

W odsieczy czeka adresacja w tzw. IPv6, gdzie adres danego hosta jest liczbą 128-bitową, co daje zdecydowanie większą ilość adresów do wykorzystania. W tej wersji używa się najczęściej notacji w układzie szesnastkowym. Dla przykładu – 2a01:1700:2:ffff::9f01 to adres serwera dns.tpsa.pl w protokole IPv6. Dziwnie, ale prędzej, czy później trzeba się będzie zacząć przyzwyczajać, a poza tym, to nie my mamy sobie z tym radzić, tylko nasze komputery… Tych adresów zabraknąć raczej nie powinno – przy obecnym zaludnieniu naszej planety na każdego ziemianina przypada ich po jednym… kwintylionie (jedynka z 30 zerami). Dla większości użytkowników zmiana nie powinna być problemem, bowiem i tak nie korzystają z adresów IP, a jedynie z ich literowych odpowiedników (np. www.blog.tp.pl). Problemem może jednak tkwić – gdzieżby inaczej – w bezpieczeństwie. Producenci oprogramowania i systemów operacyjnych stopniowo wprowadzają równoległą obsługę obu wersji protokołu, zazwyczaj w obu przypadkach domyślnie uruchomioną. Rzecz w tym, że użytkownicy mogą nie być tego do końca świadomi, w efekcie czego stosują oprogramowanie firewall, obsługujące tylko IPv4, będąc pewnymi, że filtrują całą możliwą komunikację do swojego komputera!

Niedawno w sieci przytoczono przykład ataku, dotyczącego pełniących rolę firewalli komputerów z systemem Linux. Użytkownicy Neostrady, niezależnie od systemu operacyjnego, mogą jednak spać spokojnie – by opisany powyżej atak miał miejsce, niezbędny jest styk przełącznika L2 (jeden z elementów sieci) z urządzeniem klienta. Tymczasem w przypadku „Neo” ruch z Waszych domów trafia najpierw na routery dostępowe, który nie obsługują jeszcze ruchu w nowym standardzie. Zwykły użytkownik Neostrady, nawet z linuxowym firewallem, może czuć się bezpieczny – opisany atak dotyczy bowiem osób, wpiętych bezpośrednio do punktu wymiany ruchu albo „szkieletu” niezaufanych sieci. Zagrożony jest niestety nie tylko Linux, Macintoshe i Windowsy od Visty w górę też (ale nie korzystające z Neostrady 🙂 ) – one są prostu domyślnie skonfigurowane tak, by ruch w IPv4 i IPv6 mógł odbywać się równolegle. IPv6 można jednak łatwo wyłączyć (tu przykład dla Windowsa).
Co więc, gdy korzystacie z usług innego dostawcy, albo nie macie Linuxa? Przede wszystkim zastanowić się, czy obsługiwać IPv6 jest Wam niezbędna. Jeśli nie – wyłączyć! Jak zrobić to w Windowsie, zlinkowałem wyżej, gdy zaś chodzi o Linuxa, to jeśli IPv6 jest w module (o ile nie jest ładowany ręcznie):

w pliku /etc/modprobe.conf (lub analogicznym) należy dopisać (lub zmienić istniejący wpis):
alias net-pf-10 off
alias ipv6 off

Ewentualnie przejrzeć dokumentację systemu, lub po prostu uruchomić dokładne wyszukiwanie przez Google, pod kątem swojej dystrybucji systemu.
Gdy potrzebujecie IPv6, sprawa jest jeszcze prostsza – trzeba skonfigurować swój firewall (w przypadku Linuxa przygotowując plik ip4tables, zrobić również ip6tables, zazwyczaj zlokalizowany w tym samym katalogu). Jeśli macie Windowsa i firewall nie daje rady – trzeba go zmienić na taki, który daje (wszystkie trzy wersje pakietu McAfee, oferowane jako e-bezpieczeństwo klientom Neostrady, mają możliwość włączenia obsługi IPv6). Jak słusznie pisze na swoim blogu cytowany przez nas wcześniej Sławek Lipowski: Podstawa, to zdać sobie sprawę z istnienia zagrożenia, przeanalizować obecną konfigurację, no i – na litość! – nie stosować ustawień domyślnych! Czyli nic trudnego 🙂

Udostępnij: Co to za dziwny adres, czyli o IPv6 i bezpieczeństwie słów kilka

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej