Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
IpV4 blev skabt for omkring 30 år siden, bruger en 32bits adresseringsrutine og kan understøtte 4,3 milliarder enheder forbundet direkte til internettet. IETF var udmærket klar over, at ipV4-adresserne på sigt ville løbe tør, så de skabte ipV6 som en opgradering til ipV4. IpV6 bruger en 128bits adresseringsrutine, der understøtter et imponerende antal enheder og kommer samtidig med en meget tiltrængt forbedring i sikkerhed og ydelse.
Mens ipV6-protokollen har været tilgængelig ret længe, er det (ganske korrekt) blevet betragtet som både dyrt og tidskrævende at gennemtvinge en opgradering til ipV6 og samtidig uden de store praktiske fordele. Men med antallet af ipV4-adresser fuldkommen tørlagt er tiden blevet moden for ipV6.
Det er velkendt, at de fleste sikkerhedshændelser skyldes menneskelige fejl, enten som et resultat af en programmeringsfejl eller gennem fejlkonfigurering, så det er ingen stor overrskelse, at nylig research fra Tufin Technologies viser, at fejlkonfigurering er den største kilde til firewall-relaterede risici og mangler.
Manglen af erfaring og uddannelse af de it-profesionelle, der skal håndtere ipV6, vil kun gøre det mere sandsynligt, at fejl sker, og ipV6-adressernes kompleksitet vil kun gøre situationen værre, da de er ekstremt vanskelige at læse og ikke er lette at huske.
Sammenlign for eksempel en typisk 32bits ipV4-adresse – 192.0.2.31 – med en 128bits ipV6-adresse – 001:db8:31:1:20a:95ff:fef5:246e. Kan du nu se problemet?
Vel vidende, at ipV6-migreringen bliver et faktum, er der her nogle forholdsregler, du kan tage, for at sikre, at dine migreringsbesværligheder ikke vil gøre det mere besværligt at håndtere din firewall.
Mens det er ligegyldigt for slutbrugerne, vil ipV6-migrering betyde meget for it i større virksomheder, og specielt for netværks- og netværkssikkerhedschefer. IpV6 er blevet brugt i mange år og kun på ganske få netværk. Fordi folk er mere kendt med det, er de mindre tilbøjelige til at opdage fejl.
Med ipV6 får sikkerhedsfolk en chance for at komme foran og indarbejde best practices i ipV6-processer og -operationer, i stedet for at klistre dem på senere.
De lærte lektioner og best practices vil komme fra trial and error, informationsdeling og ved at understøtte industrielle initiativer som IPv6ActNow.com og World IPv6 Day. Lad os ikke spilde tiden, men gøre tingene korrekt.
1. Forstå, hvad ipV6 betyder for dit netværk, ansatte og samarbejspartnere:Selvom mange potentielle hændelser kan undgås ved at teste ipV6-betingelserne i et sikret miljø eller ved at køre en pilot, er der som med mange it-udrulninger nogle scenarier, som end ikke de mest tekniske it-folk kan forudse, og den eneste måde, I kan lære, hvad de tilfælde er, er ved at prøve det selv.
For eksempel kan netværksenheder eller firewalls blive overvældede og fejle, når de bruges i et ipV6-miljø, og derved tillade datatrafik at komme igennem uden en komplet inspektion eller måske resultere i et nedbrud eller ej.
Tal med dine leverandører af firewall og netværksinfrastruktur for at se, hvilken slags ressourcer de kan komme med for at hjælpe med migrering-en. Hvis du outsourcer håndteringen af din firewall, skal du undersøge, hvad din mssp eller serviceudbyder gør i forhold til ipV6.
2. Undgå manuelt at skrive ipV6-adresser: Fordi det vil introducere alt for mange fejlmuligheder at skulle indtaste ipV6-adresser manuelt, er det en opgave, du bør undgå. Hvis det er nødvendigt for dig at skrive en adresse, så gør det en gang, og når det er muligt, så giv den et navn, det er menneskeligt muligt at læse, og brug det navn alle steder (firewall-regler, politikker, acl’er og så videre).
For at minimere duplikation af adressedefinitioner skal du bruge et konsolideret håndteringssystem, så ipV6-adresser bliver gemt i et centralt register, så de kan bruges, når det er nødvendigt – for eksempel bør host-navne konsolideres på tværs af firewalls og routere, også selvom de kommer fra forskellige leverandører.
Hvis din organisation bruger next generation-firewalls, skal du indarbejde dine firewalls med Active Directory for at undgå, at du manuelt skal indtaste brugeradresser.
3. Ting vil gå galt. Vær beredt: IpV6 øger kompleksiteten, der allerede er langt på den anden side af manuel kontrol på de fleste virksomheders firewall-politikker.
Men hvis du planlægger på forhånd, vil du være i en god position til fejlfinding, når noget sker. Fra et proces- og operationelt synspunkt er simplere bedre.
Vær sikker på, at ændringer bliver ordentligt og klart dokumenteret, så alle kan forstå, hvad de faktiske ændringer var, hvorfor de blev foretaget, hvem der foretog dem og hvornår.
4. Udrul netværkshåndteringsværktøjer, der forstår ipV6: De fleste organisationer vil komme til at køre netværk med både ipV4 og ipV6, bedre kendt som dual stacks, i overgangsperioden. IpV4 og ipV6 kan ikke kommunikere med hinanden, så det er nødvendigt at udrulle dem i tandem, indtil overgangen er gennemført.
Det betyder, at i en given periode skal du tilbyde både ipV4 og ipV6. Du skal gøre alt to gange, hvilket blandt andet vil øge antallet af ændringer i firewall’en, der vil dukke op i alle ændringsvinduer.
Ud over at du skal håndtere flere ændringer, er ipV6-ændringerne langt mere komplekse. Hvis du har et miljø med flere leverandører og flere typer firwall-miljøer, kan en business case for automatisk firewall-håndtering være meget tiltrækkende, når vi snakker om besparelse på tid og omkostninger. Led efter værktøjer, der vil hjælper dig med at analysere ipV6-adresser, objekter, regler og acl’er på tværs af netværk og sikkerhedsenheder. Herudover skal du kigge efter værktøjer til netværkshåndtering, der kan give dig et reverse lookup for alle ipV-adresser, der har fået et letlæseligt navn. Du ønsker ikke at være den person, der hænger fast i manuelt at skulle fejlsøge fejlindtastede ipV6-adresser på tværs af flere firewalls.
5. Når du opgraderer eller automatiserer, gør da brug af interne og eksterne domæneeksperter:Der er en god chance for, at de eksterne folk, du arbejder sammen med på din ipV6-migrering, også arbejder sammen med andre.
Alle tips og best practices, der retter sig mod ipV6-migration eller helt generelt mod systemer eller produkter, de arbejder med, bør være velkomne for at sikre, at dine systemer er optimerede til fremtidige behov.
De processer, du automatiserer, vil højst sandsynligt blive et godt stykke til – så tag den fornødne tid for at få sat dine ting op, sådan at de kombinerer styrkerne fra dine produkter, din udrulning, operationelle metoder og kulturen af din virksomhed og dit team.
[themepacific_accordion_section title="Fakta"]
Reuven Harrison
[/themepacific_accordion_section][/themepacific_accordion]