Почему нельзя игнорировать IPv6

Поскольку использование протокола IPv6 будет неизбежно расти, сейчас самое время признать, что у вас в сети есть или скоро появится IPv6, и начать работать с плоскостью IPv6, чтобы включить ее в свою стратегию управления, пишет на портале Network Computing Джош Стивенс, технический директор компании BackBox.

Этим летом я посмотрел новый анимационный фильм «Человек-паук: через паутину», и он заставил меня задуматься о теории мультивселенной и о том, что IPv4, IPv6 и даже внеполосные сети для телеметрии сродни набору вселенных, из которых состоит ваша сеть. Эти различные измерения существуют независимо от того, осознаете вы их наличие и взаимодействуете с ними или нет. Но понимание того, что может существовать еще одна плоскость бытия, из которой злоумышленники атакуют вас, является ключевым моментом в защите предприятия.

Внедрение IPv6 и злоупотребление им набирает обороты

Об протоколе IPv6 говорят уже 20 лет, но, возможно, вы до сих пор не планируете его использование в рамках своей стратегии управления сетью, и злоумышленники это замечают. За последние восемь месяцев доля адресов IPv6, связанных с вредоносной активностью, по данным сети CrowdSec, увеличилась вдвое — с 10 до 20%. Это согласуется с динамикой устойчивого роста внедрения IPv6 — процент пользователей, обращающихся к Google по протоколу IPv6, превысила 40%.

Субъекты угроз все чаще действуют в плоскости IPv6, и у вас нет возможности увидеть эту активность, пока вы не войдете в эту плоскость и не начнете наблюдать. Необходимо начать изучать и расширять возможности управления, чтобы охватить не только IPv4, но и IPv6 и другие плоскости.

Реальные уязвимости и угрозы

Многие версии Linux и Windows теперь отдают предпочтение IPv6. Кроме того, встраиваемые версии Linux широко распространены в устройствах IoT, и эти устройства становятся все более распространенными в различных средах. Если вы не работаете с этой плоскостью, то когда эти IoT-устройства обращаются к вашей сети с запросом на получение IPv6-адреса, вы можете даже не узнать об этом. Нередко в организациях имеется значительное количество таких несанкционированных устройств, которые, как правило, не управляются, что создает риски.

IoT-устройства также обычно не обновляются, поскольку либо они не подлежат исправлению, либо исправления для них сомнительны. Субъекты угроз имеют возможность и способность подменять IPv6-адреса и перехватывать эти устройства, перенаправляя трафик по своему усмотрению. Очевидно, что доверять устройствам в организации нельзя, поэтому необходимо обеспечить согласованный контроль DHCP и DNS во всей сети IPv6.

Неизбежность IPv6

Многие организации стараются избегать IPv6 как можно дольше из-за объемного и сложного обучения сетевых инженеров. Вместо этого они полагаются на трансляцию сетевых адресов (NAT). К сожалению, NAT становится неудобной в средах, где требуется широкая доступность, например, в среде MSP, некоторых других доменах управления или в сетях операторского класса.

Поскольку использование IPv6 будет неизбежно расти, сейчас самое время признать, что у вас в сети есть или скоро появится IPv6, и начать работать с плоскостью IPv6, чтобы включить ее в свою стратегию управления.

Рекомендации по переходу на IPv6

Начните с создания стандартного DNS для IPv6, что поможет регулировать трафик. Затем разверните платформу автоматизации, полностью поддерживающую IPv6, в сети управления, которую вы будете использовать для мониторинга, наблюдения и управления конфигурацией или автоматизации. Эти два шага гарантируют, что маршрутизация по протоколу IPv6 будет осуществляться должным образом на всех устройствах и маршрутизаторах Linux и Windows на сетевом уровне.

Если у вас есть платформа автоматизации сети, то у вас есть и инструменты для решения распространенных и важных задач, в том числе:

• Аудит доступа. Проверка того, где у вас включен IPv6, и проверка согласованности настроек DNS и DHCP для IPv6 в масштабах организации для снижения риска атаки с подменой DNS.
• Инвентаризация активов. Поиск и обнаружение устройств с поддержкой IPv6 в вашей среде. Выявление рисков безопасности, автоматизация мер по их устранению и точная инвентаризация устройств для обеспечения соответствия требованиям.
• Администрирование правил безопасности. Упрощение администрирования правил межсетевого экрана IPv6 и списков контроля доступа за счет автоматической проверки устройств на соответствие критическим параметрам и исправления ошибок для приведения настроек в соответствие со стандартом, а также поддержания и управления последовательной гигиеной безопасности.
• Обновление ОС. Очень важно, чтобы устройства обновлялись для поддержки наиболее безопасной и актуальной версии IPv6 для вашей среды. Предварительные и последующие проверки с автоматическим составлением отчетов обеспечивают успешное обновление устройств, не синхронизированных с последней версией.

IPv6 расширяет свое присутствие, и пришло время включить его в стратегию управления сетью, особенно в части управления конфигурацией сети и устранения уязвимостей на сетевых и IoT-устройствах. Наиболее эффективным и действенным способом защиты организации от роста вредоносной активности, направленной на нее из других плоскостей, является платформа автоматизации, которая поддерживает сразу несколько измерений. Это и старое измерение IPv4, и новое измерение IPv6, и любые другие плоскости, которые могут появиться, например, внеполосная сеть для телеметрии.