Ochrana lokální IPv6 sítě

Překlad adres čili NAT je zlo. Nicméně má své pozitivní stránky. Nové RFC 4864 je analyzuje a doporučuje cesty, jak se na půdě IPv6 dobrat podobných přínosů, aniž bychom přišli o veřejné adresy a možnost přímé komunikace mezi koncovými stroji.

V diskusi k mému předchozímu článku o problémech směrovací hlavičky v IPv6 se objevilo pár radikálních názorů. Ten nejkrystaličtější zněl Zakázat IPv6? Jsem všemi 21 pro. Určitou pihou na jeho kráse je, že na úrovni regionálních registrátorů se začínají vést seriózní debaty o konci přidělování IPv4 adres. V odkazované prezentaci se navrhuje, aby bylo datum konce přidělování adres stanoveno pevně, a to dva roky ode dne, kdy počet osmibitových prefixů v centrální zásobě IANA klesne pod 30 (tzv den A). V současnosti jich zbývá necelých padesát a vypadá to, že ke dni A by mělo dojít kolem poloviny roku 2009, čili že IPv4 adresy budou přidělovány do poloviny roku 2011.

Pozoruhodným shledávám i to, že se navrhuje nezavádět žádná opatření tlumící spotřebu IPv4 adres. Přitom se všeobecně očekával pravý opak – postupné zpřísňování kritérií k získání adresy. Pravda, návrh má k přijetí daleko. Dle osmé stránky prezentace Filiz Yilmaz byl v Severní Americe opuštěn (kdo by to byl řekl?) a v ostatních oblastech se o něm diskutuje. Nicméně už samotná skutečnost, že se podobné úvahy vedou, je zneklidňující.

Součástí problému krátícího se adresního prostoru IPv4 je otázka potenciálního vracení adres již přidělených. Výše odkazovaná prezentace je nechává stranou, jen uvádí, že bude třeba se k němu nějak postavit. A pokud skutečně dojde k vracení adres a přeadresovávání koncových sítí, troufnu si předpovídat razantní nárůst zájmu o IPv6.

Druhý z názorů hodných citování začínal „IPV4+NATing je ověřené a fungující řešení, IPV6 je nebezpečná zbytečnost…“ Shodou okolností teď v květnu vyšlo RFC 4864 o ochraně lokální sítě připojené po IPv6. Jeho obsahem je především analýza přínosů NATu (zápory nechává stranou, jim se věnuje dost a dost dalších textů) a popis, jak dosáhnout podobných efektů na půdě IPv6.

O této problematice jsem psal předloni (v textu najdete i vysvětlení funkce NATu), když se objevil pracovní návrh textu. Během dvou let dozrál do podoby RFC a některé původně jen lehce naznačené postupy v něm byly rozvedeny.

Dokument nejprve rozebírá přínosy nasazení NATu mezi lokální síť a Internet, pokračuje stručným popisem několika mechanismů IPv6 a následně rozebírá, jak jejich prostřednictvím získat podobná pozitiva i pro sít připojenou protokolem IPv6. Podívejme se na ty nejpodstatnější.

První z výhod NATu je, že realizuje jednoduchou bránu do Internetu. Pro příklady netřeba chodit daleko – typický ADSL modem se chová jako bezobslužný NAT: Dostane od poskytovatele jednu IPv4 adresu (v lepším případě veřejnou, v horším neveřejnou a prochází dalším NATem v síti poskytovatele), kterou získá pomocí DHCP. Sám pak počítačům v lokální síti prostřednictvím DHCP přiděluje adresy z neveřejného prostoru definovaného v RFC 1918. Takto vypadá implicitní konfigurace. Aby modem fungoval, stačí jej vybalit z krabice, zapojit a nastavit uživatelské jméno a heslo pro přístup k ADSL.

Podobné jednoduchosti lze dosáhnout i s IPv6 při použití veřejných adres. Pro IPv6 totiž existuje volba DHCP nazvaná Prefix Delegation (DHCP-PD RFC 3633), jejímž prostřednictvím si může směrovač požádat o prefix připojené sítě. Čili přístupový směrovač pomocí DHCP-PD získá od poskytovatele prefix pro lokální síť a adresy z něj pak bude místním počítačům přidělovat pomocí DHCPv6 nebo si je nastaví samy bezstavovou konfigurací. Navíc lze pro lokální komunikaci používat neveřejné adresy (odvozené od ULA prefixu, RFC 4193). Vše může probíhat bez nutnosti konfigurace, stejně jako v případě IPv4.

Nelze přehlédnout přínos NATu pro jednoduché zabezpečení sítě. Každý správný NATobijec v tento moment vyskočí, že NAT není bezpečnostní mechanismus. Nicméně skutečnost, že počítače v lokální síti nejsou z Internetu volně dostupné a lze s nimi komunikovat, jen pokud samy nedávno nějakou komunikaci iniciovaly, má na jejich bezpečnost nezpochybnitelně pozitivní vliv.

Této funkce se dá dosáhnout jedině pomocí stavového firewallu. Autoři dokumentu doporučují, aby zařízení zprostředkovávající přístup k IPv6 Internetu (např. zmíněné ADSL modemy) v sobě obsahovala stavový firewall, jehož implicitní konfigurace propustí dovnitř jen pakety, které vznikly jako odpověď na požadavek zevnitř lokální sítě. Takovéto implicitní nastavení by bez nutnosti konfigurace poskytlo chování velmi podobné NATu. S tím, že firewall je bezpečnostní mechanismus a pro znalé poskytne daleko širší možnosti konfigurace a díky nim lepší ochranu. Autoři se zároveň přimlouvají za jednoduché rozhraní, kterým by uživatel přidal pravidlo povolující ve firewallu určitý typ komunikace, například pro síťové hry či videokonferenční nástroje.

Kromě toho IPv6 samo o sobě představuje bezpečnostní přínos. Obludný rozsah adresního prostoru de facto znemožňuje skenování sítí a hledání počítačů v nich. Když bude útočník znát výrobce síťových karet a omezí se jen na hádání posledních tří bajtů adresy, bude mu proskenování jedné podsítě při 1000 testech za vteřinu trvat přes 4,5 hodiny. Používání krátkodobých adres podle RFC 3041 omezí dobu, po kterou je stroj na dané adrese dostupný, a znehodnotí sběr známých adres. Navíc IPv6 obsahuje bezpečnostní mechanismy IPsec, které se s NATem snášejí jen velmi špatně.

Při použití NATu se celá lokální síť navenek tváří jako jeden počítač. Díky tomu chrání soukromí svých uživatelů a skrývá topologii, která může být pro útočníka zajímavá. K ochraně soukromí slouží výše zmiňované adresy podle RFC 3041, kdy má počítač jednu trvalou adresu zavedenou v DNS pro příchozí spojení. Když ale sám navazuje spojení, používá náhodně generované adresy s krátkou životností. Díky nim lze uživatelský počítač vysledovat jen na úroveň podsítě, není k dispozici žádné vodítko, které by spojilo jeho včerejší datové přenosy s dnešními.

Právě odhalení identity podsítí, a tedy možnost udělat si obrázek o topologii lokální sítě, je oblastí, kde IPv6 za NATem zaostává. Text sice obsahuje návrhy, jak dosáhnout podobného výsledku při skrývání topologie, ale jedná se o postupy velmi krkolomné (alternativní adresy s individuálními směrovacími záznamy či tunelování, například využití podpory mobilních zařízení). Ovšem vzhledem k odolnosti IPv6 vůči skenování tento nedostatek příliš nebolí.

EBF16

Další dvě výhody NATu se týkají úspory globálního adresního prostoru a nezávislé správy adres v lokální síti. První ve světě IPv6 nemá smysl – adres je, co hrdlo ráčí. Pokud by si někdo chtěl spravovat lokální adresy nezávisle, může sáhnout po neveřejných ULA adresách (viz výše). Ovšem i s veřejnými adresami má při správě sítě daleko volnější ruce. Typicky má k dispozici 16 bitů na adresu podsítě, takže může síť strukturovat podle skutečných potřeb a nemusí laborovat s délkami jednotlivých částí adresy v omezeném prostoru. Navíc lze oba typy adres používat současně – v IPv6 má každé rozhraní adres, kolik jen libo.

A koneckonců opravdoví milovníci NATu jej mohou nasadit i pro IPv6. V lokální síti používat ULA adresy a po cestě do Internetu je překládat na veřejné. Ovšem smysl takového počínání je pramalý.

Anketa

A co si myslíte vy - zakázat IPV6, nebo ne?

29 názorů Vstoupit do diskuse
poslední názor přidán 11. 6. 2007 10:22

Školení Jak vytvořit rychle jednoduchý web

  •  
    Jak mít na Internetu blog.
  • Jak si založit web na Wordpressu.
  • Jak pokračovat v jeho provozování.

Detailní informace o školení Jak vytvořit rychle jednoduchý web »