اگرچه بستههایی(Packet) از جنس IPv6 در برخی از روترها در حال جابهجا شدن هستند و بعضی از سازمانها مقدمات مهاجرت خود را به این نسخه فراهم کردهاند، اما هنوز متخصصان شبکه و مدیران مربوطه نسبت به خطرات موجود در این نسخه آگاه نیستند و همین مورد باعث میشود که شبکه آنها به راحتی مورد نفوذ قرار گیرد. در روزهای گذشته برای آگاه سازی این ریسکها در IPv6، یک نظرسنجی از اعضای انجمن شناختهشده gogoNET صورت گرفت و بزرگترین ریسکهای امنیتی از آنها سوال شد که در ادامه نتیجه آنها را با هم بررسی میکنیم.
- کمبود آموزش در رابطه با IPv6
عدم آگاهی در هر بخشی منجر به بروز مشکلاتی میشود و این معقوله هم خارج از استثنا نیست. مشکلی که هماکنون گریبانگیر بسیاری از مدیران شبکه شده است، عدمآگاهی در رابطه با IPv6 است. وقتی مدیران و متخصصان بخشی از فناوری که در سازمان آنها مورد استفاده قرار میگیرد خبر نداشته باشند، مشکلات عدیدهای ایجاد میشود که یکی از آنها رخنههای امنیتی و امکان نفوذ بر اثر کانفیگ نامناسب روترها و نرمافزارهای مربوطه است. با این حساب، حیاتیترین مورد برای سازمانهایی که تمایل به استفاده از IPv6 دارند و یا در حال حاضر از آن استفاده میکنند، آموزش کامل پرسنل مربوطه است.
- عبور ترافیک فیلترنشده از دستگاهها
نبود دانش در رابطه با یک فناوری به خودی خود منجر به بروز مشکلات بزرگتری میشود و به گونهای پیش میرود که به سایر بخشها هم دامن میزند. در رابطه با امنیت IPv6 نیز ماجرا به همین شکل است و با نبود دانش کافی این مشکلات رخ میدهد. دستگاههای امنیتی و کنترل کننده (فایروال) دو کار مهم را انجام میدهند: ۱- شناسایی بستههای مشکوک ۲- انجام اقدامات لازم پس از شناسایی، از همین رو در v6 همانند v4 باید ترافیک وارد شده به شبکه کنترل شود و در صورتی که این موارد اعمال نشود، آسیبپذیری شبکه ما بر بستر IPv6 را بیشتر میکند.
- پشتیبانی نکردن ISPها و Vendorها از IPv6
آزمایش و تست نفوذ یکی از اصلیترین اقداماتی است که برای مشخص کردن میزان امنیت صورت میگیرد، از این رو آزمایش تمامی ویژگیهای موجود در IPv6 بر روی دستگاههای مختلف و ISPها از اقدامات ضروری مدیران شبکه است. اتصال برقرار شده میان شبکه شما و ISP ممکن است Native نباشد. تونلهایی که برای ارتباط بین دو نقطه در شبکه شما در نظر گرفته شده است، امنیت شبکه شما را تا حد زیادی بالا میبرد اما باز هم نیاز به این دارید که تمامی مراتب را رعایت کنید و تستهای لازم را انجام دهید.
- برابری پالیسیهای امنیتی در v4 و v6
ضعیف بودن پالیسیها در پیادهسازی شبکههایی مبتنی بر v6 مستقیما به مدیران مربوطه بر میگردد. اگرچه پالیسیهای v6 باید در حد نسخههای v4 پیادهسازی شود اما در برخی موارد باید موارد جدیدی نیز اعمال شود، موردهایی که در v4 دیده نمیشد و صرفا مختص v6 است.
- باگ در کدهای جدید
جدا از اینکه برنامههای جدید ممکن است دارای باگهای فراوانی باشند، در NICS، پروتکل TCP/UDP و کتابخانه برنامههای شبکه که متعلق به IPv4 بودند و هنوز سازگاری کاملی با v6 ندارند، شاهد باگهایی هستیم. تکنولوژیهای همچون VOIP, SIP و مجازیسازی نیز ممکن است آسیبپذیر باشند. تست آسیبپذیری به مدیران شبکه این امکان را میدهد که این باگها را پیدا کنند و از مشکلات بعدی جلوگیری کنند.
- فقدان NAT
تصور غلط در رابطه با NAT (به خصوص بعد از آمدن IPv6) این ایدهلوژی را ایجاد کرده که با نبود NAT در این نسخه، یک ریسک امنیتی بالا دامنگیر شبکه میشود و مشکلاتی را به وجود میآورد؛ این در حالی است که چنین تصوری اشتباه است. وجود NAT در IPv6 تاثیری بر امنیت شبکه ما ندارد و چیزی -امنیتی- را بهبود نمیبخشد؛ در حقیقت فایروالها هستند که این امنیت را تامین میکنند و NAT نقشی ندارد.
توجه داشته باشید که IPv6 نمیتواند یک کپی ساده از v4 باشد و این طرز تفکر بسیار خطرناک است. آموزشهای لازم باید داده شود، پالیسیها صحیح باید اجرا شود و تمامی دستگاهها و تجهیزات با پشتیبانی کامل از IPv6 باید یک ارتباط ایمن و پایدار را برای شما به ارمغان بیاورند. امیدواریم که با رعایت این نکات، از بروز مشکلات امنیتی در شبکه تجاری خود جلوگیری کنید.
نظرات شما عزیزان:
ادامه مطلب