V oblasti počítačových sítí patří slovo bezpečnost jednoznačně k těm nejskloňovanějším a zajímá jak obyčejné uživatele, tak také provozovatele řady služeb. V následujícím článku se tedy podíváme na problematiku bezpečnosti v IPv6 a některé další novinky, které tento protokol přináší a zmíníme také analýzu souběhu internetu s IPv4 i IPv6 současně.
Počítačová bezpečnost je něčím, co nutně zajímá každého uživatele. Nikomu není jedno, zdali jsou jeho hovory či korespondence sledovány. Je známé, že není ničím obtížným měnit obsah vámi zasílaných informací. Stejně tak snadno se za vás někdo může snadno vydávat. Osobně se domnívám, že velikost problému si plně uvědomujeme až nyní, když procházíme řadou nezabezpečených a neznámých sítí (kaváren, barů či letišť), ze kterých se připojujeme k Facebooku, e-mailu či IM. Přitom získání vašeho hesla k těmto službám není v takovýchto sítích pro pokročilejšího uživatele žádný problém.
Asi jednou z nejznámějších kauz s prolomením bezpečí na Facebooku je známý příklad turecké ženy, které na profil někdo vyvěsil informaci o poskytování bezplatných erotických služeb přímo u ní v bytě. Vše je oproti naší běžné zkušenosti s evropským prostředím umocněno tím, že Turecko je velmi tradicionalistická islamistická země, kde často více nežli zákony platí zvykové právo. Podobných případů ale jistě budou desítky či stovky.
Bezpečnost je možné částečně zajistit pomocí zabezpečení na úrovni aplikační, což je ale varianta poněkud komplikovaná na implementaci - a pak není šance ze strany uživatele bezpečnost vylepšit. Pokud Facebook nenabízí šifrovaný přenos dat, tak jej můžete buď nepoužívat, nebo se smířit s rizikem.
Řešením tohoto problému je užití šifrování na síťové úrovni, což jinými slovy znamená, že je zabezpečen každý odchozí paket z vašeho zařízení. Nemusíte se spoléhat na opatření provozovatele (i když ten má stále dost možností, jak vše pokazit), je to přirozené, rychlé a efektivní. Toto nabízel již IPsec, který byl doplněn jako volitelná součást IPv4. A jak to již bývá, téměř nikdo jej nevyužíval.
Změna tedy přichází až s IPv6, která hned dva prvky zabezpečení integruje do své specifikace jako povinné. To, co je nutné používat, tak je hlavička AH(Authentication Header) – tedy jakési zaručení toho, že paket, který dostáváte, opravdu pochází od odesilatele. Jde tedy o autentizaci – není možné podvrhovat či modifikovat pakety, což je velmi užitečné, ale stále to neznamená bezpečnost v tom smyslu, že vaše komunikace je neveřejná.
Druhým, již volitelným, ale plně integrovaným a implementovaným bezpečnostním prvkem, je Hlavička ESP(Encapsulation Security Payload), která slouží pro šifrování odchozího paketu, ochranu integrity, částečnou autentizaci a jako ochrana před případným zopakováním. To v praxi znamená, že data nemohou být odposlouchávána, podvržena ani jinak sledována. Vše funguje tak, že odchozí paket se obalí ještě do ESP a je tak v bezpečné „obálce“ dopraven až k příjemci.
Mohla by se naskytnout otázka, zdali je AH potřebné ve chvíli, kdy je zde připravené plně bezpečné řešení v podobě ESP. Řada odborníků tvrdí, že to tak není. To si ale osobně nemyslím, neboť hlavním problémem ESP je výpočetní náročnost pro směrovače. Výhodné je tedy použít kombinaci obojího – AH zajistí rychlé a pohodlné směrování a ESP se postará o zbylou bezpečnostní politiku.
IPv6 nabízí dva základní způsoby, jak se uzel může připojit k síti. První je způsob známý z IPv4 a je nazýván stavová konfigurace a až na drobná vylepšení nepřináší nic nového. Novinkou je až druhá varianta zvaná bezstavová. Využívá dostatečné délky IPv6 adresy a umožňuje zařízení se připojit do sítě i bez komunikace se směrovačem. Stačí mu k tomu otázky po sousedech, které mu umožní ověřit si unikátnost své adresy (vzniklé z MAC adresy), znalost toho, jak velké pakety je možné posílat a řady dalších věcí. Jedná se tedy o dobrý doplněk klasické stavové konfigurace, který je užitečný jak pro snížení zátěže směrovačů, tak také pro podporu mobility.
Naskýtá se otázka, jak přistoupit k souběhu dvou poněkud jinak koncipovaných protokolů v rámci jednoho internetu. Nejjednodušším řešením by totiž zřejmě bylo začít budovat nový šestkový internet zcela odděleně, bez potřeby brát ohled na to, že stále více než 95% síťového provozu běží pod IPv4. To je ale s praktických důvodů zcela nemyslitelné, a proto je potřeba se podívat po takových konceptech, které umožní práci obou protokolů vedle sebe.
Asi nejjednodušší řešení nese název duální protokol, někdy též dvojitý zásobník. Jedná se o poměrně naivní řešení – máme IPv4 síť a uzlům, které mají tu potřebu, přiřadíme také IPv6 adresu. Směrovače a sítě se pak postarají o to, aby všechny pakety docházeli na obě adresy korektně. To s sebou nese řadu nevýhod – směrovače musí udržovat dvakrát větší tabulky, všechny směrovací algoritmy musí být vytvořené dvakrát a programy mají problémy se vzájemnou komunikací. Navíc se není možné spolehnout na funkce, které IPv6 přináší navíc.
Druhým řešením je tunelování. Tato technika se používá ve chvíli, kdy potřebujeme propojit dvě sítě (nebo uzly), které pracují v jedné verzi protokolu prostřednictvím internetu, jenž pracuje ve verzi druhé. Nadefinujeme dva výstupní body, které slouží jako paty mostu a ty budou každý příchozí paket obalovat příslušnou hlavičkou, respektive přídavné hlavičky odstraňovat na druhé straně. Problémem jsou nároky na tyto vybrané uzly a také bezpečnost.
Teoreticky se nejlépe jeví možnost využít překladačů. Nabízí možnost překládat IPv6 adresu na IPv4 a naopak stejně jako u tunelování. Jednotlivé uzly tak nemusí vůbec vědět, že komunikují s jinou sítí. Oproti tunelování tak odpadají dvě hlavní nevýhody, ale přibývá nová – v takto distribuované podobě překladače příliš nefungují a jsou navíc relativně pomalé ve chvíli, kdy děláte překladů více.
Novinek je v IPv6 mnohem více, ale jedná se spíše o problematiku, jež příliš nezajímá běžné uživatele a přináší změny spíše pro správce sítí.
29. 3. 2011
Autor:
V září se rychlost Wi-Fi internetu opět propadla. Podívejte se, jak si vedl váš poskytovatel a ve kterém regionu...
Rychlosti internetu v říjnu po delší době převážně rostly. Podívejte se, u kterého providera jsme tentokrát...
V září se rychlost Wi-Fi internetu opět propadla. Podívejte se, jak si vedl váš poskytovatel a ve kterém regionu...
Vodafone v rámci Black Friday zlevňuje neomezený tarif. Se slevou až 46 % si ho můžete pořídit pouhých 72 hodin.
T-Mobile si letos pro své zákazníky přichystal celou řadu vánočních dárků. Od tradičních telefonů a sluchátek za 1...
Skupina Nova se rozhodla, že omezí spolupráci s operátory Vodafone a T-Mobile. Platforma Voyo už od února nebude...