Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

IPv6 все ближе

IPv6 все ближе

Границы сети Интернет непрерывно растут, и адреса протокола IPv4 заканчиваются. Переход на новую версию протокола IP — вот выход из ситуации. Об исчерпании IPv4—адресов начали говорить в начале 2000-х годов, заявляя, что адресное пространство закончится через одно-два десятилетия. Третьего февраля этого года агентство IANA распределило последние 5 блоков IPv4-адресов региональным интернет-регистраторам, и по данным исследований остатки адресов у региональных интернет-регистраторов закончатся в августе 2011 года.

В чем же отличие IPv6 от IPv4?

Одно из основных отличий — это большее адресное пространство. В 4 версии протокола IP длина адреса в 32 бит (примерно 4,3 млрд. адресов за исключением зарезервированных для специальных нужд), а в шестой — 128 бит, что соответствует порядка 3*1038 уникальных адресов.

Размер заголовка IP-пакета увеличился до 40 байт, поскольку информация о разбиении пакета вынесена из основного заголовка в расширенные заголовки, и убрана контрольная сумма как излишняя, ведь канальные и транспортные протоколы проверяют корректность пакета. Большинство IP-атак четвертой версии протокола было основано на ошибках сбора/разбора пакета брандмауэром, а в новой версии протокола IPузел-отправитель должен определить максимальный передаваемый блок и разбить IPv6-пакет на фрагменты, оформив их как самостоятельные IPv6-пакеты (в соответствии с RFC 1191). Требования к мощности узлов-отправителей возрастает.

Запись IP-адреса полностью изменилась: девять групп из четырех шестнадцатеричных цифр, разделенных двоеточием. Что тут говорить о запоминании такого адреса, если его и ввести-то будет непросто, особенно если web-сервер не имеет доменного имени. Для того, чтобы браузер распознал такой IP-адрес, его код должен быть изменен.

Протокол IPv6 способен поддерживать jumbograms (пакеты сверхбольшого размера) до 4 Гбайт. Их использование может существенно повысить производительность сетей.

Введение в протоколе IPv6 поля «Метка потока» позволяет значительно упростить процедуру маршрутизации однородного потока пакетов. При этом предполагается, что все пакеты данного потока должны быть подвергнуты определённой обработке, характер которой задаётся дополнительными заголовками.

Зачем внедрять IPv6?

Почти все рабочие станции находятся за маршрутизаторами, следовательно, имеют адреса 192.168.х.х. Маршрутизаторы, в свою очередь, выполняют преобразование сетевых адресов (технология NAT), что позволяет сэкономить IP-адреса (NATв режиме PAT). Распространена практика, когда сотни компьютеров работают с локальными адресами, а для внешней сети используется один внешний IP-адрес при проходе пакета в сеть Интернет. Назревает вопрос: зачем тогда нужно больше внешних IP-адресов? Ответ прост. Все компьютеры за одним IP-адресом не поставишь, ведь при преобразовании адресов «много в один» к одному сервису создается иллюзия DOS—атаки на сервис. Частичное решение проблемы — это использование пула адресов, для которых осуществляется трансляция. Провайдеры тратят большие деньги на увеличение инфраструктуры NAT, но внешние адреса рано или поздно кончатся.

Вопрос еще в том, кому же выдано столько адресов, если все «за NAT`ом»? Правильно, различным компаниям, ибо им необходимо пробрасывать определенные туннели, публиковать свои интернет-сервисы и другое. Много адресов было выделено в 80-х годах, крупным организациям были выделены адресные блоки класса А, т.к. изначально использовался метод классовой адресации. Многие организации продолжают использовать внешние IP-адреса для недоступных вне локальной сети устройств, с точки зрения глобального распределения адресного пространства это неэффективно в большинстве случаев.

Инженерно-технический процесс не стоит на месте, и стало возможным использование нескольких операционных систем на одном компьютере, каждой из которых может быть необходим внешний IP-адрес. 

Безопасность IPv6

Рабочая станция, имея адрес IPv6 самостоятельно присваивает себе адрес типа LocalLink, рассылает его в сообщении ICMPv6 и RouterSolicitation, значит злоумышленнику нужно всего лишь установить ассоциацию с рабочей станцией и прослушать трафик, а дальше напрямую соединиться  с сетевыми службами клиента. В ОС Windowsи LinuxIPv6 включен по умолчанию,  и если Linuxрассылает только 5 multicast-запросов, то «окна» открываются на распашку.

В 6 версии протокола IP ARP отсутствует, зато активно используется ICMPv6. Злоумышленник, посылая ложное сообщение Neighbor Advertisement в ответ на Neighbor Solicitation, может изменить таблицу и выполнять атаку.

Протокол IPSec в IPv6 сталобязательным. Как рабочие станции будут использовать ключи, если не будут знать заранее MAC-адрес другой машины? Может использовать одинаковые ключи шифрования и контроля целостности на всех узлах? В такой ситуации злоумышленник может легко получить ключ, а потом реализовать атаку MITM, нарушив целостность и конфиденциальность трафика. При использовании сертификатов открытых ключей проблему можно было бы решить, но в масштабах сети Интернет это затруднительно сделать. Как межсетевым экранам обрабатывать зашифрованный трафик? Для этого необходимо разбирать пакеты данного протокола, что усложнит обработку и повысит требования к аппаратной части.

Москва не сразу строилась

Подобная фраза знакома почти каждому. Невозможно отстроить город за месяц или два. На это требуется гораздо больше времени, так и переход на IPv6 будет не сразу. Устройства будут поддерживать двойной стандарт, что требует больших ресурсов и увеличивает сложность реализации, а значит и ошибок. В маршрутизаторах будет возможность устанавливать туннели «IPv6-over-IPv4» для преобразования одного пакета в другой. Кто знает сколько еще времени мы будет жить таким образом.

Согласно исследованиям Google в первую пятерку стран, активнее всего использующих IPv6, вошли: Россия (0,76%), Франция (0,65%), Украина (0,64%), Норвегия (0,49%) и США (0,45%). Утверждение об активном внедрении IPv6 в Азии оказалось мифом — из Китая по IPv6 выходит всего 0,24% пользователей, а в Японии — 0,15%.

8 июня компания Cisco устроит суточный тест-драйв новой версии протокола IP.

Дополнительные материалы

Комментарии (0)