Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 14. april 2010

Den kommende IPv6-protokollen og sikkerhet

Litt historie
Dagens Internett er basert på protokollen IPv4, som ble ble definert i 1981. Denne vedtatte måten å kommunisere over Internett på har vist seg å være en stor suksess. Den gamle standarden har imidlertid problemer med at antall tilgjengelige adresser er i ferd med å bli brukt opp. Dette er et økende problem da fler og fler "dingser" etter hvert kobles opp mot nettet. Eksempler på dette er mobiltelefoner, utstyr for automatisk måleravlesning, tv-spill og elektroniske leker, osv. IPv4 mangler også en standardisert måte å gjøre sikker kryptert kommunikasjon på.

IPv6 ble definert i 1998 og bruker 128 bits til å lagre adressen til en enhet i nettet. Dette vil si at protokollen i praksis har "uendelig" antall adresser til rådighet. Krypteringstandarden IPSec er også en del av protokollen, slik at kryptering av trafikk kan gjøres på en standardisert måte.


Kilde: Cisco

Dagens status
Overgangen fra IPv4 til IPv6 har tatt lengre tid enn de fleste hadde regnet med. Dette skyldes hovedsaklig bruk av NAT (Network Address Translation) som har gjort at det relativt begrensede adresseområdet i IPv4 har holdt lengre enn forventet. Ved hjelp av denne metoden kan tusenvis av datamaskiner gjemmes bak én enkelt IPv4-adresse. I IPv6 brukes ikke NAT, da det uansett er nok av adresser.

I dag er under én prosent av Internett-trafikken basert på IPv6. Men trafikken som går over den nye protokollen har vist sterk økning siden 2008. Mange ISPer begynner etter hvert å få støtte for protokollen. P2P-fildelingsprogrammet µTorrent støtter nå også IPv6 og er ansvarlig for en god del av økningen i trafikken. Dette er det mest populære programmet for fildeling ved hjelp av BitTorrent-protokollen.


Kilde: Arbor Networks

Samtidig støtte for begge protokoller
I dag støtter alle de vanligste operativsystemene IPv6 sammen med IPv4. Dette gjelder for eksempel Windows Vista, Windows 7, Mac OSX og de fleste Linux-distribusjoner. Støtten implementeres ved hjelp av en såkalt "dual stack". Forenklet betyr dette at operativsystemene støtter både IPv4 og IPv6 samtidig. Som oftest er det IPv6 som blir prioritert. Operativsystemet vil med andre ord først forsøke å få en IPv6-adresse. Dersom dette ikke lykkes, vil systemet forsøke å bruke IPv4. Operativsystemene er satt opp på denne måten for å gjøre overgangen til den nye Internett-protokollen så sømløs som mulig den dagen nettverket maskinen står på begynner å støtte IPv6.

Sikkerhetsmessig betraktning: På grunn av at IPv6 er førsteprioritet er det viktig å sørge for at IPv6-adresser ikke blir delt ut av enheter i nettet før den nye protokollen faktisk skal implementeres. Sørg derfor for å skru av støtte for IPv6 før det skal brukes. Pass på at DHCP-tjenere i nettet ikke deler ut IPv6-adresser.

Tunnelering av trafikk
I overgangen fra den gamle til den nye protokollen benyttes det ulike måter å tunnelere IPv6-trafikk over IPv4-protokollen på (6to4, Teredo osv). Dette kan føre til at det oppstår "skyggenettverk" i bedriften der maskiner internt i nettverket har kontakt ut mot andre IPv6-maskiner uten at noen har kontroll på trafikken. Disse maskinene kan omgå policy og også sikkerhetsmekanismer som brannmurer, IPS, anti-virus, URL-filtrering osv. Dersom ting er satt opp feil, kan den interne maskinen i værste fall også rute trafikk fra utsiden av nettverket og inn bak bedriftens brannmur.

Sikkerhetsmessig betraktning: Det er derfor viktig å blokkere all IPv6-trafikk til en er klar for å bruke den. Dette må gjøres i begge retninger på bedriftens Internett-brannmur. Både faktisk og tunnellert IPv6-trafikk bør blokkeres. Enda en grunn til å blokkere dette er at malware om kort tid kan komme til å ta i bruk IPv6 til å kommunisere med, siden filtrering og deteksjon av denne typen trafikk er svært mangelfull.

De to vanligste måtene å tunnelere IPv6-trafikk over IPv4 er "6in4" og "Teredo". Den førstnevnte pakker ned IPv6-pakkene i IPv4-pakker med protokollnummer 41. For å blokkere denne typen kommunikasjon holder det å blokkere IP-protokoll 41 i routere og brannmurer. For å blokkere Teredo-trafikk holder det normalt å blokkere port 3544/UDP i utgående retning.

Ny kode for nettverksoperasjoner
I forbindelse med at nettverksutstyr og operativsystemer har fått støtte for IPv6, har det også blitt utviklet helt ny nettverkskode (network stack). I begynnelsen må en regne med at det vil bli oppdaget en del svakheter i denne nye koden, akkurat som det gjennom årene har blitt gjort i  IPv4. Et eksempel på dette er Microsoft Security Bulletin MS10-009. Denne omtaler en svakhet i Microsofts implementering av IPv6 som gjør det mulig for en angriper og få kjørt vilkårlig kode. Svakheter på dette nivået i operativsystemet kan ofte føre til stor skade. Det gjelder derfor å følge godt med på nye svakheter i forbindelse med utrulling av IPv6.

Punkter å tenke på ved framtidig implementering
Når en først  bestemmer seg for å begynne og implementere IPv6 er det mange ting å tenke på. Her er noen punkter å starte med:

  • Fordeling av adresser. Tidligere ble kanskje adresser hardkodet på maskiner. I IPv6 må all utdeling av adresser gjøres automatisk, siden adressene er så lange at det er vanskelig for mennesker å forholde seg til dem.
  • Støtter sikkerhetsutstyret i nettet IPv6? Selv om det virker som om støtten er der kan det være enkelte funksjoner som fortsatt ikke støttes.
  • En må i en periode muligens operere med både IPv4 og IPv6 samtidig. Dette fører til merarbeid og større muligheter for feil. Policy må implementeres på begge nettene samtidig.
  • Begrenset kunnskap om IPv6 hos medarbeidere. En kjernegruppe bør få økt kompetanse rundt området.
  • IPv6-adressene vil som oftest ikke bli NATet. Dette betyr at alle interne maskiner kan adresseres direkte fra Internett. Dette gjør det viktig å sette opp brannmuren riktig for og beskytte interne ressurser mot tilgang fra utsiden.

Oppsummering
Utbredelsen av IPv6 er økende og ser ut til å begynne å nå en kritisk masse som vil gjøre at bruken akselererer ytterligere.

Bedrifter bør derfor begynne å tenke på IPv6. Først og fremst bør en sørge for at den nye protokollen er sperret for å unngå overraskelser i nær fremtid og beholde kontrollen over hva slags trafikk som går inn og ut av bedriftens nettverk. Deretter kan en begynne å planlegge når en vil implementere IPv6 og finne ut hva som må gjøres i nettet. Relevant personell må også sannsynligvis sette seg bedre inn i IPv6 og hvordan det hele fungerer.

Det er lurt å ta en gjennomgang av bedriftens utstyr og sjekke hva som er kompatibelt, tenke gjennom sikkerhetsaspekter og hvordan en skal dele ut adresser.

 
>