10 советов по безопасному внедрению IPv6 от Stonesoft

Опираясь на свой обширный опыт крупномасштабных внедрений протокола IPv6, финская корпорация Stonesoft, активно помогает предприятиям и государственным учреждениям безопасным и экономически-эффективным путем перейти на протокол IPv6. Stonesoft делиться 10 идеями как помочь CISO и системным администраторам развеять мифы вокруг внедрения протокола IPv6 и расположить по приоритетам их инициативы в области безопасности.

«Многие думают, что большой разницы между обеспечением безопасности трафика по протоколу IPv6 и протоколу IPv4, нет. Это не так! Это заблуждение вызвано тем фактом, что организации не знают, что должно быть сделано и в каком порядке, а вендоры делают ложные заявления о том, что производимые ими продукты полностью соответствуют концепции IPv6-ready», - отмечает Juha Luoma, менеджер по продукту FW/VPN корпорации Stonesoft.

Опираясь на свой опыт крупномасштабных внедрений протокола IPv6, Stonesoft предлагает свои советы по безопасному внедрению IPv6:

  1. Максимально модернизируйте свою существующую сеть: модернизация сети IPv4 представляет собой замену всех устаревших узлов и неактуальных функций новыми. Начните с обновления всех узлов сети до следующего уровня и Вам будет легче и безопаснее внедрить IPv6, избежав множества трудностей и возможных проблем.
  2. Спланируйте последовательное внедрение: Возьмем к примеру, администрацию социального обеспечения (США), которая внедряла IPv6 в течение уже почти 5 лет. Окончательный переход планируется осуществить в три стадии в течение еще 6 лет. Вам не обязательно придерживаться такого же медленного темпа, как это происходит в правительственных учреждениях, но постепенное внедрение IPv6 даст вам достаточно времени, чтобы убедиться, что внедренный IPv6 слаженно функционирует вместе с Вашей существующей модернизированной на предыдущем этапе IPv4 инфраструктурой. К тому же, вы сможете контролировать бюджет.
  3. Параллельно используйте оба стека протоколов: При переходе на IPv6 выбирайте режим работы двойного стека протоклов - IPv4 и IPv6. Использование двойного стека протоколов выгодно, хотя при параллельной работе протоколов может потребоваться обновление маршрутизаторов для соответствия параметрам памяти и потребляемой мощности сети. К тому же, для большего упрощения перехода двойной стек позволяет Вашей системе поддерживать и те приложения, которые еще не работают с протоколом IPv6. Использование двойного стека также поможет исключить необходимость в сетевых туннелях, которые очень часто являются проблемой для специалистов по безопасности. 
  4. Позаботьтесь о сетевых туннелях: Национальный институт стандартов и технологий (NIST, США) в «Руководстве по безопасному внедрению IPv6» предлагает рассматривать туннели как внешние ссылки: с особой осторожностью. Прежде, чем позволить «войти» или «выйти» из системы, рекомендуется тщательно проинспектировать весь туннелированный IPv6 трафик, в том числе и IPv4 пакеты, с той же тщательностью и систематически, как Вы инспектируете весь свой трафик. Предлагается использовать обычные в таких случаях средства защиты от вирусов, системы обнаружения и предотвращения вторжений, фильтры входящего сетевого трафика, пакетные фильтры и прокси уровня приложений. Кроме того, для защиты конечных точек имеет смысл использовать такие дополнительные надежные меры безопасности, как аутентификация.
  5. Не упускайте из виду злоумышленников: Злоумышленникам уже удалось проникнуть в протокол IPv6, причем даже быстрее, чем в другие технологии. Не забывайте о предупреждениях безопасности маршрутизатора и атаках типа «man in the middle». Некоторые сетевые атаки позволяют глубоко проникнуть в систему быстрее, чем вы осознаете происходящее, что еще больше усугубит ущерб. Такие атаки могут происходить от скриптов, кажущаяся простота которых может ввести в заблуждение. Запоминание всех видов атак и соответствующее им противодействие не всегда представляется возможным. Важно быть готовым и помнить о том, что уже существует великое множество видов атак, и ожидается, что их станет еще больше!
  6. Используйте сертифицированные IPv6-ready межсетевые экраны: Относитесь с осторожностью к заявлениям вендоров о соответствии протоколу IPv6. Если продукт не прошел сертификацию третьими сторонами, то, вероятно, вендор может просто встроить «генератор трафика» в свой продукт и при этом утверждать, что это работает. Следует выбирать продукты, прошедшие сертификацию третьими сторонами. Только в этом случае используются общественно признанные методы оценки, которые помогут вам удостовериться в том, каковы реальные возможности вашего межсетевого экрана.
  7. Внедрите аутентификацию: аутентификация становится все важнее, и, к счастью, все доступнее, чем раньше. Компания Stonesoft рекомендует использование HTTP/HTTPS прокси для выхода пользователей в Интернет. Как только Вы установите необходимые параметры аутентификации, вы уменьшите количество угроз из нежелательных источников, пытающихся проникнуть в Вашу сеть без Вашего ведома и желания.
  8. Изучите синтаксис протокола IPv6. Синтаксис IPv6, с одной стороны, очень схож с синтаксисом протокола IPv4, но с существенными различиями в базе. Знание синтаксиса поможет Вам быстрее устранить слабые места в защите или внедрить необходимые меры безопасности. Ввиду того, что протокол IPv6 существует уже более десяти лет, нет недостатка в информации по этому вопросу, в том числе от нескольких известных технологических талмудов, например, как 188-страничное руководство от правительства США.
  9. Пользуйтесь кнопкой отключения. Это может звучать странно, но все не так однозначно – отключайте протокол IPv6, когда Вы его не используйте. Это обусловлено тем, что целый ряд программ был сконфигурирован для работы с IPv6, и еще большее число приложений может иметь встроенный протокол IPv6 по умолчанию. Проверьте дважды или трижды вашу сетевую среду, чтобы удостовериться, что функции протокола IPv6 активированы только тогда, когда они на самом деле используются. Своевременное использование кнопки отключения в общем случае может быть очень полезным.
  10. Своевременно нейтрализуйте: даже если в большей части сегментов Вашей сети отключена функция протокола IPv6, вы все еще можете подвергаться угрозе со стороны нежелательных пользователей IPv6. Если эта угроза станет реальностью, Вам нужно знать, как нейтрализовать ее прежде, чем будут поражены другие пользователи Вашей сети. Именно здесь жизненно важно применить знания синтаксиса IPv6, в особенности для конфигурации эффективных межсетевых экранов и сетевых фильтров. Вы можете создавать фильтры, разрешающие нужный вам трафик и блокирующие нежелательный, а также убедиться в том, что IPv6 функционирует должным образом именно тогда, когда это Вам необходимо.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru