IPv6: Windows Server 2003 поддерживает более безопасный IP-адрес.

Опубликовано: 14 Апреля, 2023

Благодаря 128-битной адресации IPv6 предоставляет огромное адресное пространство, которое может устранить необходимость в трансляции сетевых адресов и других методах сохранения адресов. Однако IPv6 обеспечивает нечто большее, чем просто увеличение количества доступных адресов. Он также предназначен для повышения производительности и, что еще более важно в современном деловом мире, повышения безопасности IP-коммуникаций.


Windows Server 2003 обеспечивает лучшую поддержку IPv6 и некоторых его механизмов безопасности. Однако администраторам важно знать об ограничениях реализации IPv6 в Server 2003, когда речь идет о функциях безопасности. В этой статье мы обсудим как теоретические, так и практические аспекты использования IPv6 для создания более безопасной сетевой среды с новейшей серверной операционной системой Microsoft. Эта статья представляет собой обзор реализации Microsoft IPv6 и не претендует на роль полного руководства по внедрению IPv6 в вашей сети.


IPv6-адреса


Адреса IPv6 форматируются как последовательность до восьми 16-битных шестнадцатеричных чисел с разделяющими их двоеточиями, поэтому они выглядят иначе, чем адреса IPv4, которые обычно обозначаются как четыре десятичных числа с точками между ними (отсюда и термин «четверка с точками»).


Поддержка IPv6 в Server 2003


Чтобы использовать IPv6 с Windows 2000 (с пакетом обновления 1 или выше), вам нужно было загрузить бесплатные файлы от Microsoft, чтобы добавить поддержку новой версии IP в операционную систему (и систему нужно было перезагрузить, чтобы включить IPv6). Вы можете получить сторонние продукты для добавления поддержки IPv6 в Windows NT и 9x. Однако Server 2003 включает поддержку IPv6 «из коробки» без каких-либо надстроек. Вы устанавливаете IPv6 в качестве сетевого протокола через окно свойств для подключения по локальной сети, как показано на рисунке A.



Изображение 26157


РИСУНОК A: Установка IPv6 в качестве протокола в Windows Server 2003


Чтобы установить поддержку IPv6, выполните следующие действия:




  1. Щелкните Пуск | Панель управления | Сетевые соединения


  2. Щелкните правой кнопкой мыши подключение по локальной сети и выберите «Свойства».


  3. Нажмите кнопку Установить.


  4. Выберите «Протокол» в поле «Сетевые компоненты» и нажмите кнопку «Добавить».


  5. Щелкните Microsoft TCP/IP версии 6 и нажмите кнопку ОК.

IPv6 теперь будет отображаться в списке установленных протоколов в свойствах подключения, как показано на рисунке B.



Изображение 26158


РИСУНОК B. После установки TCP/IP версии 6 отображается как установленный сетевой компонент.


В Server 2003 нельзя установить только IPv6; IPv4 также должен быть установлен (он устанавливается по умолчанию при установке операционной системы).


Вы можете настроить эти элементы для IPv6:



  • IPv6-адрес (можно получить по объявлению роутера или назначить вручную).
  • Маршрутизатор по умолчанию, который будет использоваться для связи с узлами IPv6 в сегментах сети, отличных от его собственного (может быть назначен автоматически через объявление маршрутизатора или добавлен в таблицу маршрутизации IPv6 вручную)
  • DNS-сервер, используемый для преобразования имен хостов в адреса IPv6.

Большинство конфигураций для IPv6 можно выполнить с помощью команды Netsh в контексте IPv6. Чтобы переключиться на контекст IPv6, введите netsh interface ipv6. Затем вы можете использовать команды IPv6, которые позволяют добавлять, изменять и удалять адреса и маршруты, добавлять туннелирование 6 на 4 или 6 на 4, настраивать генерацию временных адресов и многое другое.



Как большее адресное пространство повышает безопасность


Огромное увеличение адресного пространства само по себе обеспечивает некоторую степень дополнительной безопасности, просто делая сканирование всех возможных адресов более трудоемким и трудным для потенциального злоумышленника. Хотя это больше похоже на метод «безопасности через неясность», и на него не следует полагаться для защиты ваших систем без дополнительных механизмов безопасности, все, что замедляет злоумышленника, работает в ваших интересах.


Поддержка IPv6 для IPSec


Наиболее важной функцией безопасности в IPv6 является встроенная поддержка протокола IP Security (IPSec). IPSec — это интернет-стандарт, предназначенный для обеспечения конфиденциальности, целостности и аутентификации данных посредством использования протоколов заголовка аутентификации (AH) и инкапсуляции полезной нагрузки безопасности (ESP).


Поддержка IPSec для IPv4 была добавлена постфактум, тогда как это неотъемлемая часть IPv6. Однако в файлах справки Microsoft указано, что реализация IPSec, поставляемая с Server 2003 IPv6, не рекомендуется для производственного использования. Это связано с тем, что он использует статические ключи и не обеспечивает обновление ключей при повторном использовании порядковых номеров и, таким образом, не обеспечивает уровень безопасности, необходимый для критически важных коммуникаций. Вот еще одна проблема: реализация IPSec, поставляемая с IPv6 Server 2003, не поддерживает шифрование данных ESP, что означает, что она не обеспечивает конфиденциальность данных (вы можете использовать ESP с нулевым шифрованием, но он обеспечивает только аутентификацию и целостность, а не конфиденциальность данных). ). Кроме того, обмен ключами в Интернете (IKE) не поддерживается для согласования ассоциаций безопасности. Другими словами, IPSec-аспект IPv6 в Server 2003 еще не готов к использованию.


Обратите внимание, что здесь мы говорим только о IPSec в IPv6 — это отдельная реализация от Microsoft IPSec для TCP/IP (версия 4), которая поддерживает шифрование данных и IKE SA.


Поддержка временного адреса


Временная адресация может повысить безопасность, обеспечивая некоторую анонимность при доступе в Интернет, аналогичную той, которой пользуются пользователи коммутируемого доступа IPv4, которым их интернет-провайдеры присваивают динамические IP-адреса при каждом подключении. Случайные идентификаторы интерфейса создаются всякий раз, когда инициализируется протокол IPv6, что затрудняет отслеживание конкретного пользователя по IP-адресу (что легко сделать при обычных коммутируемых соединениях IPv6, поскольку идентификатор интерфейса основан на физическом адресе).


По умолчанию Server 2003 IPv6 не создает временные адреса, но эту функцию можно включить с помощью команды set privacy в контексте IPv6 в netsh.


Представляет ли IPv6 новые уязвимости в системе безопасности?


Несмотря на то, что протокол IPv6 предназначен для повышения безопасности с помощью IPSec, он также включает в себя множество улучшений, некоторые из которых могут быть использованы злоумышленниками. Например, функция автоматической настройки адресов может использоваться злоумышленниками для объявления мошеннических маршрутизаторов. Кроме того, некоторые механизмы перехода, разработанные для облегчения взаимодействия между сетями IPv6 и IPv4, могут быть использованы злоумышленниками не по назначению. Инструменты перехода позволяют приложениям IPv4 подключаться к службам IPv6, а приложениям IPv6 — подключаться к службам v4.


Из-за стандартизированных методов перехода, таких как 6to4, туннели Simple Internet Transition (SIT) и IPv6 через UDP (например, Teredo и Shipworm), трафик IPv6 может поступать в сети без ведома их администраторов (и, следовательно, без зная, что они уязвимы для эксплойтов IPv6). Например, поскольку многие брандмауэры разрешают трафик UDP, IPv6 поверх UDP может проходить через эти брандмауэры, и администраторы не понимают, что происходит. Злоумышленники могут использовать от 6 до 4 туннелей, чтобы обойти программное обеспечение для обнаружения вторжений.


Также важно отметить, что брандмауэр подключения к Интернету (ICF), входящий в состав Server 2003, способен фильтровать только трафик IPv4; он не может блокировать трафик IPv6. Злоумышленники могут воспользоваться этим и проникнуть в вашу сеть с пакетами IPv6, если вы не используете другое программное обеспечение брандмауэра, которое имеет такую возможность.


Резюме


IPv6 — это интернет-протокол следующего поколения, разработанный с учетом требований безопасности. Microsoft сделала важный шаг к полной поддержке IPv6, включив его в Windows Server 2003 (и Windows XP) в качестве сетевого компонента, который можно установить, ничего не загружая. Microsoft усердно работает над достижением этой цели и в будущем будет улучшать стек IPv6. XP Service Pack 1 включает в себя качественную версию IPv6. Для получения дополнительной информации о реализации Microsoft IPv6 посетите веб-сайт Windows Server 2003 IPv6 по адресу http://www.microsoft.com/windowsserver2003/technologies/ipv6/default.mspx#implementations.