Что необходимо знать о IPv6?

Протокол IPv6 влияет на безопасность вашей сети, даже если вы не развернули его внутри. Вот наиболее важные моменты, которые каждая команда безопасности должна понимать о протоколе. Между тем на ресурсе spaceproxy.net можно купить прокси IPv6.

Если вы считаете, что ваша команда безопасности не должна знать об IPv6, потому что он еще не развернут в вашей организации, подумайте еще раз. Ваши сотрудники и сети зависят от версии 6 протокола Интернета, современного протокола связи для компьютеров и сетей, подключенных к Интернету, независимо от того, развернули вы его или нет. Неспособность понять IPv6 и то, как он работает с вашими сетями, может сделать их уязвимыми и создать риск для вашей организации.

Повысьте свою карьеру с помощью лучших сертификатов безопасности: для кого они предназначены, сколько они стоят и что вам нужно.

Каждый администратор безопасности должен понимать следующие семь ключевых моментов, касающихся IPv6:

1. IPv6 более популярен, чем большинство осознает

Администраторы безопасности и большинство ИТ-сотрудников, если на то пошло, не понимают, в какой степени IPv6 уже был развернут в Интернете. Следовательно, большинство администраторов безопасности считают, что им не нужно решать проблему безопасности IPv6. Поскольку они не включили IPv6 на своем предприятии, они не видят необходимости предпринимать шаги для его защиты.

IPv6 встроен и включен по умолчанию во всех современных операционных системах. Это включает в себя системы в корпоративном центре обработки данных и облачных средах, которые должны соответствовать требованиям безопасности. Если эти устройства с поддержкой IPv6 подключаются к сети с поддержкой IPv6, они будут использовать IPv6 для подключения.

Ядро Интернета уже поддерживает IPv6, и мобильные беспроводные сети операторов связи широко используют IPv6. На самом деле, ваш мобильный телефон, скорее всего, использует IPv6, и вы даже не осознаете этого. Многие бытовые интернет-сервисы также используют IPv6, и абоненты с относительно новыми модемами и маршрутизаторами, вероятно, имеют IPv6 в своей домашней локальной сети. Более 30% ведущих веб-сайтов используют IPv6, и Google отмечает, что более 30% его глобальных пользователей используют IPv6 (выше в таких странах, как Индия и США). Во многих местах в Интернете использование IPv6 превысило 50%, что делает IPv4 там миноритарным протоколом.

2. Сотрудники используют IPv6

Администраторы безопасности не смогли должным образом обеспечить безопасность IPv6 для своих пользователей, подключенных к Интернету. Удаленные сотрудники используют IPv6. Операционные системы, работающие на мобильных устройствах конечных пользователей, по умолчанию поддерживают IPv6 и используют IPv6 для подключения через Интернет. Сегодня это еще более распространено, поскольку пандемия COVID-19 вынуждает работать на дому.

Корпоративные VPN часто не имеют настроенного IPv6. Таким образом, IPv6-трафик конечного пользователя поступает с его устройств непосредственно в Интернет, минуя любые средства контроля корпоративной безопасности. Это называется прорывом IPv6 VPN, который был известен в течение многих лет, но потерян для многих администраторов брандмауэра.

Возможно, организация почувствовала переход к облаку и приобрела службу брокера безопасности доступа к облаку (CASB) для обеспечения соблюдения корпоративной политики безопасности. Однако не все поставщики CASB поддерживают IPv6. Конечные пользователи, подключенные к IPv6, могут обойти элементы управления безопасностью CASB, поскольку они используют IPv6 для подключения к популярным сайтам.

3. IPv6 уже есть на вашем предприятии

Большинство специалистов по безопасности не потратили много времени на изучение IPv6. Администраторы корпоративной безопасности могут полагать, что развертывание IPv6 ложится на плечи сетевых администраторов. Команды безопасности считают, что им не нужно изучать или защищать IPv6, пока он окончательно не будет внедрен на предприятии.

Многие администраторы безопасности не понимают, как протокол IPv6 функционирует в Интернете, в корпоративной глобальной сети или в локальных сетях. Например, операционные системы с поддержкой IPv6, подключенные к корпоративным сетям проводного и беспроводного доступа, отправляют пакеты IPv6 и могут связываться друг с другом с помощью локальной одноадресной и многоадресной связи IPv6. IPv6 уже находится внутри предприятия.

Администраторам безопасности необходимо узнать о протоколе IPv6 и предвидеть поведение злоумышленника. Однако качественные учебные ресурсы IPv6 ограничены. Существует много книг по IPv6 (но только одна книга по безопасности IPv6), некоторые онлайн-учебные материалы и практические занятия по IPv6 с живыми инструкторами от нескольких поставщиков. Лучший способ войти в курс дела — пройти обучение у эксперта по IPv6, используя практическую лабораторную среду IPv6 для моделирования атак IPv6 и изучения способов защиты от них.

4. IPv6 не более или менее безопасен, чем IPv4

Преимущества развертывания IPv6 вытекают из его огромного адресного пространства, которое устраняет необходимость в преобразовании сетевых адресов, подобных IPv4 (NAT), и обеспечивает большую масштабируемость сети, чем IPv4. Отсутствие NAT в IPv6 не делает сети слабее (RFC 4864). Фактически, это усиливает их, уменьшая анонимность, которая возникает в результате изменения адреса источника в заголовке пакета. Собственные сквозные маршрутизируемые протоколы облегчают судебную экспертизу и могут повысить подлинность соединений.

В протокол IPv6 не встроена внутренняя безопасность, точно так же, как в IPv4 не встроены функции безопасности. Оба протокола могут использовать IPSec, но это необязательно и не обязательно для всех коммуникаций. IPv4 и IPv6 обеспечивают основу маршрутизируемого протокола для безопасных протоколов уровня приложений, таких как безопасность транспортного уровня (TLS) и Безопасная оболочка (SSH).

5. В продуктах поставщиков отсутствуют функции безопасности IPv6

Мы все можем согласиться с тем, что упреждающая защита IPv6 перед развертыванием является правильным подходом. Однако это проблема, если предприятие приступает к развертыванию IPv6 и позже узнает, что его поставщик безопасности имеет только функции IPv4. Предприятие должно остановить развертывание, чтобы дождаться графика разработки продукта поставщика, быстро заменить продукт на продукт, поддерживающий IPv6, или, что еще хуже, оставить IPv6 незащищенным.

Изучите используемые меры защиты безопасности, чтобы определить их уровень возможностей IPv6. Первоначально сосредоточьтесь на системах безопасности периметра Интернета, таких как брандмауэры, системы предотвращения вторжений (IPSS), защита от вредоносных программ, защищенные веб-шлюзы (SWG), прокси-серверы, фильтрация репутации и каналы анализа угроз. Некоторые поставщики могут просто указать «IPv6» в своем листе данных продукта, что потребует дальнейшего исследования для определения фактического уровня паритета между их функциями IPv4 и IPv6.

Стремитесь обеспечить равную защиту для IPv6 и IPv4. Спросите поставщиков о подробных возможностях IPv6 в их продуктах и услугах, чтобы вы знали, где находитесь, и могли планировать безопасное развертывание IPv6.

6. Неподготовленные группы безопасности могут остановить развертывание IPv6

Если команда безопасности не готова к IPv6, она может задержать или остановить процесс внедрения корпоративного IPv6. Существует риск для предприятия, если группы безопасности не участвуют в возможном развертывании IPv6.

Бизнес не хочет, чтобы команды безопасности препятствовали развертыванию IPv6. Команды корпоративной безопасности имеют решающее значение для успешного развертывания IPv6. Крайне важно взаимодействовать с междисциплинарными группами по внедрению IPv6 и сделать безопасность ключевым участником внедрения IPv6.

7. IPv6 должен быть защищен с самого начала, а не задним числом

IPv6 — это неизбежность. Администраторы корпоративной безопасности должны принять это как можно скорее. Будут ли команды безопасности ждать, пока Интернет не достигнет 75% использования IPv6, чтобы начать изучать IPv6 и защищать его? IPv6 является основным, и большинство групп корпоративной безопасности отстают от технологической кривой.

Если команды безопасности активны, они могут включить IPv6 и контролировать его, а не бояться чего-то, чего они не понимают и в значительной степени невидимы для них. Вместо того, чтобы пытаться отключить IPv6 везде (совершенно бесплодная попытка), лучше включить IPv6, получить его видимость и контролировать его в соответствии с корпоративными политиками безопасности. Командам безопасности рекомендуется планировать и безопасно развертывать IPv6 с самого начала, а не пытаться решить проблему безопасности в качестве запоздалой мысли.