11.03.2015

На сайте ISOC появился цикл статей про безопасность в IPv6: «IPv6 Security Myths«. Вот краткий перевод-конспект:

Миф первый: я не использую IPv6, и меня это не касается.

Реальность: ваше оборудование может использовать IPv6, вы просто про это не знаете.

 Миф второй: безопасность IPv6 заложена в саму архитектуру протокола и беспокоиться не о чем.

Реальность: протокол был разработан 15-20 лет назад, а за эти годы многое изменилось. Кстати, IPsec — тоже не новый протокол…

Миф третий: отсутствие NAT приводит к ухудшению безопасности.

Реальность: файервол с контролем состояния работает одинаково хорошо как с NAT, так и без NAT.

Миф четвертый: в подсети IPv6 столько адресов, что бесполезно сканировать.

Реальность: диапазон сканирования всегда можно сузить, например хосты с SLAAC вычисляются по ff:fe в середине младшей части адреса. А использование DHCP-сервера приводит к тому, что адреса раздаются последовательно.

Миф пятый: приватные адреса (приватные расширения) спасут от всего!

Реальность: поскольку они «короткоживущие», то это также усложнит и настройку-наладку сети в случае возникновения проблем.

Миф шестой: IPv6 слишком новый протокол, и злоумышленники еще не успели воспользоваться им.

Реальность: Инструменты (программы) для воздействия на сети уже доступны…

Миф седьмой: этот протокол — всего лишь 96 дополнительных бит и ничего нового.

Реальность: это совершенно новый формат. Но запись адресов отличается очень сильно, что может привести к ошибкам в настройке маршрутизации и фильтрации.

Миф восьмой: всё вокруг поддерживает IPv6.

Реальность: Скорее всего, нет! Надпись «Поддерживает IPv6» скорее всего означает, что на устройстве можно сконфигурировать IPv6 адрес. И всё…

Миф девятый: каких-либо материалов по безопасности в IPv6 нет.

Реальность: Они есть! (см.ссылки на сайте-первоисточнике).

 


Примечание: заметка отображается, как полученная по IPv4, хотя была отправлена из «чистого» IPv6-сегмента. Будем разбираться… 🙂


  *** Via IPv4 ***