Ar ko sākt IPv6 ieviešanu uzņēmumā?
Nākamās paaudzes Internet protokols - IPv6 tiek lietots jau pāris desmitgades, kopš 1998.gada. Gan lielākie Internet pakalpojumu sniedzēji, gan satura turētāji IPv6 jau ir ieviesuši. Saskaņā ar Google un Cisco statistikas datiem - pēdējos piecos gados pasaulē strauji pieaug arī IPv6 lietotāju skaits.
Lai arī Latvijā joprojām ir uzņēmumi un valsts sektora iestādes, kas IPv6 ieviešanu pagaidām neplāno, tomēr ir vairāki iemesli, kāpēc zināt vairāk par IPv6 un plānot tā ieviešanu ir aktuāli.
Jāņem vērā, ka mūsdienās, 2020. gadā operētājsistēmās lielākoties IPv6 ir ieslēgts pēc noklusējuma un vienlaicīgi var funkcionēt gan IPv4, gan IPv6 adreses, t.i. dual stack - ar vai bez izejas uz Internet. Lietotne ir tā, kas izvēlas pielietoto Internet protokolu un, pieejamības gadījumā, priekšroka tiek dota IPv6. Ja IPv6 datu plūsma ir neapzināta un nekontrolēta, tas var radīt drošības riskus iekārtai un tās lietotājam. Piemēram:
- lokālajā tīklā uzbrucējs var mēģināt novirzīt pie sevis iekārtas IPv6 datu plūsmu, ja šī protokola ieviešana nav veikta korekti;
- izveidojot virtuālā privātā tīkla (VPN) pieslēgumu, lai nodrošinātu attālināto piekļuvi darbavietas tīkla resursiem. Ja lietotāja iekārta ieguvusi arī IPv6 adresi, tad pieslēdzoties tikai caur IPv4 sasniedzamu VPN vārteju, lietotāja IPv6 datu plūsma neies caur VPN vārteju. Atkarībā no VPN vārtejas mērķa – caurlaist visu lietotāju datu plūsmu vai tikai, lai atļautu sasniegt uzņēmuma tīklus, jāpielāgo konfigurācija gan lietotāju iekārtās, gan VPN vārtejā. Detalizētāk šeit: RFC7123, RFC7359
Turpmāk aprakstīti svarīgākie soļi, par ko jādomā, uzsākot IPv6 ieviešanu:
1. IPv6 adrešu iegūšana
RIPE NCC izdala IP adreses lokālajam Internet reģistram (LIR), kas visbiežāk ir Internet pakalpojumu sniedzējs, bet var būt arī jebkurš uzņēmums vai privātpersona, ja kļūst par RIPE NCC biedru. Atšķirībā no IPv4 adresēm, kas praktiski vairs nav pieejamas, IPv6 adreses var iegūt ikviena organizācija, kas uztur savu autonomo sistēmu un tai ir pieslēgumi vairāk nekā vienam Internet pakalpojumu sniedzējam. Šajā gadījumā tās iespējams iegūt kā no pakalpojumu sniedzēja neatkarīgas (Provider Independent) IPv6 adreses.
2. IPv6 adrešu plāns
Ja IPv4 adreses organizācija reģistrē sarakstā, piemēram, izklājlapā (Excel tabulā), tad, ieviešot IPv6, praktiskāk būtu sākt lietot IP adrešu vadības sistēmu. Ņemot vērā IPv6 adrešu formātu, kā arī tīkla ģeogrāfisko un funkcionālo struktūru, adrešu plānam ir jābūt pārskatāmam un viegli paplašināmam. IPv6 adrešu izdalīšana ir vienkāršāka nekā IPv4 gadījumā, jo nav tik daudz jādomā par tīkla maskas garumu lielās IP adrešu lauka pieejamības dēļ. Visbiežāk lietotais standarta maskas garums ir /64, papildus - /127 point-to-point saitēm, /128 lokālajam loopback interfeisam. Izdalot IPv6 adreses, jāpārslēdzas no koncepta, ka tīklus izdala, taupot IP adreses, kā tas notiek IPv4 gadījumā, uz izpratni, ka IPv6 adreses ir tik daudz, ka to pietiks visām tīkla iekārtām nākotnē.
- Ir pieejami rīki (tīkla adresācijas kalkulatori un IP adrešu vadības sistēmas), kas piedāvā izveidot IPv6 adrešu plānu.
- Vairāku IP adrešu vadības sistēmu salīdzinājums pieejams šeit: https://en.wikipedia.org/wiki/IP_address_management
- Piemērs kalkulatoram: http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
- Piemērs IPv6 adrešu plānam: https://6map.infoblox.com/
3. Iekārtu funkcionalitāte un atbalsts IPv6
Pilna IP līmeņa savienojuma nodrošināšanai ir jāpārbauda lietotā funkcionalitāte un pieejamais atbalsts esošajās lietotnēs un iekārtās, sākot no maršrutētājiem, komutatoriem, un ugunsmūriem. IPv6 ieviešana var sākties tikai tad, kad skaidrs, kas ir pieslēgts esošajā IPv4 infrastruktūrā.
Būtiski ir, veicot jaunu iekārtu iepirkumus, prasībās iekļaut nepieciešamo funkcionalitāti, kas atbalsta arī IPv6. Šeit apkopotas IPv6 prasības jaunu iekārtu tehniskajām specifikācijām: https://www.ripe.net/publications/docs/ripe-554
4. Ieviešanas plāns
IPv4 un IPv6 ir neatkarīgi tīkla līmeņa protokoli un savā starpā tieši nesadarbojas, tas nozīmē, ka iekārta ar IPv4 adresāciju nesadarbosies ar iekārtu, kurai ir piešķirta vienīgi IPv6 adrese. Visvienkāršākais un biežāk lietotais IPv4-IPv6 pārejas mehānisms (transition mechanism) ir dual-stack, kas nozīmē - vienā sistēmā paralēli strādājošas IPv4 un IPv6 protokolu kopnes, bet komunikācijai starp gala iekārtām pielietoto protokolu nosaka katra lietotne. Citos gadījumos, ja iekārta ar IPv4 adresi vēlas sadarboties ar IPv6 iekārtu, vai otrādi, nepieciešama pārveide (translation) no viena protokola uz otru, kas var prasīt papildu iekārtas un resursus.
IPv6 ieviešana organizācijas tīklā arī var notikt soli pa solim, pirmkārt, ar IPv6 pieslēgumu Internet pakalpojumu sniedzējam, nodrošinot iespēju veikt DNS ierakstus, vēlāk – pieslēgt publiski pieejamos pakalpojumus un visbeidzot pieslēgt IPv6 lietotājiem. Var būt tā, ka atsevišķas tīkla daļas vēl gadiem ilgi paliks ar iekārtām, kurām ir tikai IPv4 adreses, kamēr vien konkrēta programmatūra, kas neatbalsta IPv6, tiks uz šim iekārtām lietota.
5. Drošība
Tieši tāpat kā ieviešot jebkuru citu informācijas sistēmu vai protokolu, drošības jautājumiem būtu jāpievērš uzmanība visos IPv6 ieviešanas posmos.
IPv6 nodrošina, ka komunikācija starp gala iekārtām lielākoties notiek tieši, kā tas bija plānots interneta pirmsākumos. Tas, kas būtiski mainās, pārejot uz IPv6 - nav vairs jālieto ne CIDR ne Network Address Translation (NAT), kas tika ieviests 1994. gadā, lai taupītu Internetā maršrutējamās IPv4 adreses, apzinoties ka NAT nevar tikt uzskatīts kā drošības risinājums.
Drošība ir jāpanāk ar ugunsmūra un lietotnes līmeņa vārteju (Application Level Gateway) konfigurēšanu līdzīgi kā IPv4 gadījumā, atļaujot izejošos savienojumus un ierobežojot ienākošos, turklāt bez NAT. Lai gan IPv6 gadījumā arī ir Interneta tīklā nemaršrutējamas adreses, tās paredzētas lietot tikai iekšējiem, izolētiem tīkliem, bez izejas uz Internet.
Svarīgi ieviest un uzturēt vienlīdzīgas drošības politikas gan IPv4, gan IPv6, nejauši neatstāt kādu IPv6 iekārtu brīvi pieejamu Internet. Lai gan lielā IPv6 adrešu skaita dēļ tīklu skenēšana (network scanning) nevar tikt veikta pilnās pārlases veidā, IPv6 tīklu skenēšanai ir piemēroti rīki, kuri, piemēram, izmanto no DNS iegūstamo informāciju vai veic skenēšanu atlases veidā.
Attiecībā uz drošību lokālajā tīklā, jāuztur līdzīgi risinājumi, ko lieto IPv4 tīklā; vissvarīgāk realizēt tīkla segmentāciju un mikro segmentāciju, neveidot vājākus drošības noteikumus IPv6 tīklam.
Kā būtiskākā atšķirība starp IPv4 un IPv6 pārvaldību ugunsmūrī ir ICMP protokola vadība. Ja IPv4 gadījumā ICMP protokolu varēja izvēlēties pilnībā bloķēt, tad ICMPv6 protokolam ir būtiska nozīme visa IPv6 savienojuma izveidē un ir jāveic tā kontrole, vadoties pēc nepieciešamajiem ICMPv6 servisiem.
Arī tīklā lietotajiem drošības risinājumiem, tādiem kā, tīkla ielaušanās atklāšanas iekārtas (NIDS) un drošības brīdinājumu analīzes risinājumi (SIEM) arī ir pilnībā jāatbalsta IPv6 protokols un jāspēj apstrādāt ar to saistītās tīkla plūsmas un paziņojumi.
Šeit pieejami biežāk uzdotie jautājumi par IPv6 drošību: https://www.internetsociety.org/deploy360/ipv6/security/faq/
6. Apmācības
Galvenokārt izpratnes, zināšanu, laika un citu resursu trūkums ir tas, kas attur no IPv6 ieviešanas. Meklējot informāciju par iepriekš minētajām tēmām, Internetā pieejami daudz mācību materiālu. Bezmaksas mācību materiālu sagatavojis RIPE NCC, un tie ir pieejami šeit: https://www.ripe.net/support/training/material
Attēls: unsplash.com
Raksta tapšanā izmantotie materiāli: