ИТ аутсорсинг + Безопасность сети

Начиная с Windows Vista, протокол IPv6 включен по умолчанию во всех операционных системах Microsoft, в том числе Windows Server 2008 и Windows 7. В новых ОС Apple, Linux и Solaris ситуация обстоит точно так же. Прежде чем продолжать, оговорюсь: все мы прекрасно понимаем, что протокол IPv6 — важная и нужная вещь. Я даже рискнул написать с помощью Джо Кляйна (Joe Klein), руководителя отдела безопасности IPv6 в компании Command Information, несколько статей на эту тему. Так что сам по себе новый протокол меня не беспокоит.
Что меня беспокоит
Не знаю, почему, но в большинстве новых компьютеров IPv6 включен по умолчанию. Видимо, разработчики операционных систем вообразили, что к сегодняшнему дню он уже станет основным протоколом Интернета. А может, они решили, что никакого вреда от этого нет, так почему бы не включить.
Для одной из служб Microsoft включенный IPv6 даже обязателен. Речь идет о конференц-зале Windows Meeting Space, который работает на базе пиринговой архитектуры и использует IPv6 для автоматической настройки сети.
Масштабы проблемы
Количество компьютеров, на которых IPv6 включен по умолчанию, потрясает. В статье Кэролин Даффи Мэрсэн (Carolyn Duffy Marsan) на сайте NetworkWorld цитируются слова Джо Кляйна:

Интересно, пользователи скольких из этих 300 миллионов компьютеров осознают, что в их системах включен IPv6, и понимают, что это значит?

Главные уязвимости

В другой статье Мэрсэн приводятся мнения экспертов о том, что представляет наибольшую угрозу с точки зрения одновременного использования IPv6 и IPv4. Вот какие опасности они перечислили:

• Вредоносный трафик IPv6. Хакеры учитывают, что большинство системных администраторов не отслеживают или просто не моогут отслеживать трафик IPv6, и умело этим пользуются. Современные брандмауэры, системы обнаружения атак (IDS) и сетевые утилиты еще не поддерживают IPv6, что позволяет злоумышленникам свободно рассылать вредоносный трафик на все компьютеры, поддерживающие IPv6.

• Туннелирование IPv6. Протоколы типа

Teredo

и

Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)

инкапсулируют пакеты IPv6 в пакетах IPv4. Трансформированные пакеты обманывают брандмауэры IPv4 и оборудование для трансляции сетевых адресов (NAT), с легкостью минуя периметрические заслоны, призванные распознавать и блокировать трафик IPv6.

• Мошенническое оборудование IPv6. Поскольку IPv6 предусматривает автоматическую настройку сети, злоумышленники могут получить контроль над компьютерами, поддерживающими новую версию протокола, с помощью специального устройства, способного выдавать IP-адреса стандарта IPv6 в сети, являющейся объектом атаки. Что еще хуже, такие устройства могут обладать возможностями маршрутизации, заставляя весь трафик проходить через себя. Это позволяет хакерам просматривать, модифицировать и блокировать любой сетевой трафик по своему желанию.

• Встроенный протокол ICMP и групповые передачи. В отличие от IPv4, IPv6 требует использования

ICMP

и

групповых передач

. Это принципиально изменяет подход к обеспечению сетевой безопасности. Сейчас блокирование ICMP и групповых передач является общепринятой практикой в сетях IPv4. Однако в сетях IPv6 этот прием не работает, поэтому для обеспечения безопасности придется применять сложные методы фильтрования ICMP и групповых пакетов.

Оставлять IPv6 включенным или нет

Оставлять IPv6 включенным или нет, науке неизвестно. Одни специалисты выступают за включение, другие за отключение, а третьи еще не определились. Вот что думают по этому поводу эксперты, опрошенные Мэрсэн.
Тим Лемастер (Tim LeMaster), руководитель отдела системного конструирования федеральной группы Juniper, считает:

Лиза Доннен (Lisa Donnan), вице-президент компании Command Information по передовым технологическим решениям, думает иначе:

Шейла Фрэнкель (Sheila Frankel), специалист по вычислительным системам отдела компьютерной безопасности Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) выражает промежуточную точку зрения:

На своих компьютерах я сразу отключил IPv6. Зачем рисковать, если это необязательно? Судя по всему, я поступил правильно, потому что мои клиентские компьютеры не подвержены атакам по этому новому направлению.

На сегодняшний день я считаю это оптимальным выходом, но разумеется, он подойдет далеко не всем. Единственное, что можно сказать с уверенностью — изучать IPv6 нужно всем, и чем скорее, тем лучше, потому что эти знания позволят вам самостоятельно решить, как поступить, с учетом всех особенностей вашей сети.

Как отключить IPv6

К счастью, отключить IPv6 очень легко. Ниже приводятся статьи, в которых объясняется, как это сделать, для разных операционных систем.

Простой способ отключить IPv6 в Windows Vista

Знаете ли вы, как отключить IPv6 в Windows Vista (и кстати, в курсе ли вы, что по умолчанию он включен)? На самом деле, это очень просто! Некоторые хотели бы даже удалить его совсем, но это невозможно, поскольку IPv6 является встроенным компонентом ядра Vista. Новая версия протокола Интернета разработана в соответствии с высокими стандартами безопасности и призвана решить проблему нехватки адресов IPv4, но зачастую у пользователей возникает потребность отключить IPv6 по ряду причин:

• они не собираются пользоваться IPv6, потому что новый протокол еще не популярен и люди просто не представляют, как с ним обращаться;
• отключение IPv6 в Windows позволяет сэкономить ресурсы процессора и памяти;
• производительность сетевого соединения при отключении IPv6 повышается.

С другой стороны, при отключении IPv6 нельзя будет пользоваться программой Windows Meeting Space и другими приложениями, работающими на платформе Windows Peer-to-Peer Networking и зависящие от технологии туннелирования Teredo. Если для вас это не актуально, вы можете отключить IPv6, следуя нашим инструкциям.

1) Откройте меню «Пуск» (Start), нажмите правой кнопкой мыши на объекте «Сеть» (Network) и выберите пункт «Свойства» (Properties).
2) Откроется окно Центра управления сетями и общим доступом (Network and Sharing Center). Нажмите ссылку «Управление сетевыми подключениями» (Manage network connections).

3) Откроется окно «Сетевые подключения» (Network Connections). Нажмите правой кнопкой мыши на том объекте подключения, для которого хотите отключить IPv6, и выберите пункт «Свойства».

4) Откроется окно «Подключение по локальной сети — свойства» (Local Area Connection Properties). Снимите флажок «Протокол Интернета версии 6 (TCP/IPv6)» (Internet Protocol Version 6 (TCP/IPv6)) и нажмите «OK».
Обратите внимание: таким способом IPv6 отключается для интерфейсов и сетевых подключений по локальной сети (LAN), но продолжает действовать на туннельных интерфейсах и интерфейсах обратной связи. Чтобы отключить IPv6 для туннельных интерфейсов, придется отредактировать реестр. Если эта идея вам не нравится, можете ограничиться пунктами 1-4. Если мысль о редактировании реестра вас не пугает, переходите к пункту 5.

5) Введите «regedit» в командной строке, чтобы запустить редактор реестра.

6) В окне редактора найдите следующий объект: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents
Если объекта «DisabledComponents» нет, его нужно создать. Для этого:
a) Выберите пункт меню «Правка | Создать | Параметр DWORD (32 бита)» (Edit | New | DWORD (32-bit) Value).

b) Введите «DisabledComponents» и нажмите [ENTER].

7) Дважды щелкните на объекте «DisabledComponents», задайте шестнадцатеричное значение «0xffffffff», чтобы отключить IPv6 на всех интерфейсах LAN, соединениях и туннельных интерфейсах, за исключением интерфейса обратной связи, и нажмите «OK».

Перезагрузите компьютер, чтобы изменения вступили в силу.

Sometime you just need to disable IPv6 protocol. In some case, you do not need it at all or it may increase browsing speed.

Linux has Internet Protocol Version 6 (IPv6) enabled by default, almost all distro enable it.

Open your modprob.conf file (Red Hat and friends) and add following line:
# vi /etc/modprobe.conf

Add following line:
alias net-pf-10 off

Save and close the file. Reboot the system.

If you are using Debian/Ubuntu linux (thanks to beranger), open file /etc/modprobe.d/aliases
# vi /etc/modprobe.d/aliases
Find the line:
alias net-pf-10 ipv6
Replace to
alias net-pf-10 off
alias ipv6 off

Save and reboot the system. IPv6 support should now be disabled and it did improve my DNS performance. Also you can install DNS proxy – to improve DNS performance and squid caching server.

Disable IPv6 networking for possible speed gain Mac OS X
Contributed by: spishack

If you’ve noticed that your internet connection is slow since you installed Tiger, you’re not alone. On both of my machines, OS X 10.4 effectively killed my internet connection. I was averaging 100kpbs download, which is very slow compared to normal. I also couldn’t do video chats with anyone on iChat unless I tried over and over, and the quality was always awful. Today I found the issue:

Open System Preferences – Network. Go into the properties for your connection and click on the TCP/IP tab. Then click the Configure IPv6 button and set the menu to Off. Click OK and then Apply Now.

In about 10 seconds, your network will hopefully be speedy again. I went from 100kpbs to 700kpbs and I was able to do a 4-way video chat. IPv6 was definitely my issue, and it might just be yours if you’ve been having internet speed issues.

[robg adds: My IPv6 is clearly enabled, but I haven't noticed any speed loss from 10.3 to 10.4. Still, if you have, this might be worth trying...]

В заключение

Нужно ли отключать IPv6 — вопрос сложный и неоднозначный. Впрочем, так бывает со всеми новыми технологиями. Что мне непонятно — так это почему производители опять думают о безопасности в последнюю очередь. Будем надеяться, что это происходит лишь по недосмотру и будет скоро исправлено.

Автор: Michael Kassner
Перевод: SVET Winblog.ru

Popularity: 5%