סייבר v6
על הקשר בין טכנולוגיית IPv6 לאיומי סייבר
הגנה לישראל
| 19/05/2011
תומר נורי, סמנכ"ל טכנולוגיות בחברת נטקום מקבוצת מלם-תים (יח"צ נטקום)
"פסימיסט רואה קושי בכל הזדמנות, האופטימיסט רואה הזדמנות בכל קושי" (ווינסטון צ'רצ'יל), אני לא יכול לחשוב על ציטוט הולם יותר לתאר את המורכבות המאפיינת את הסוגיה הטכנולוגית הזו. שהרי מדובר בפרדיגמה עדינה ומורכבת, מצד אחד במיגרציה לטכנולוגיית IPv6 טמון אתגר רב, בנוסף טכנולוגיה זו מהווה קטליזטור להיווצרות איומי אבטחה חדשים ומכאן נובע הקושי המכביד על ההזדמנות לאבולוציה טכנולוגית משמעותית. מצד שני, הקושי הזה יכול להוות הזדמנות ליישום אינטליגנציה רשתית בעלת יכולות מתקדמות המאפשרות התמודדות טובה יותר עם איומי סייבר מורכבים.
תם ונשלם
בחיים לעיתים יש הרגשה שמשאבים מסוימים זמינים לנו ללא סוף, בקטגוריה זו ניתן לכלול את רעמת השיער על קדמת הראש לפני תקופת המפרצים וההלוואות, שעות פנאי עם הפלייסטיישן לפני תקופת האבהות, הסכמי שלום עם מדיניות ערביות ועוד. בקטגוריה זו נמצאים גם מאגרי כתובות ה- IP החוקיות בעולם ואכן גם הם הסתיימו או לפחות בדמדומים אחרונים.
IANA – הגוף הבינלאומי שאחראי על חלוקת כל האושר הזה הודיע כבר בפברואר אשתקד על סיום מאגר הכתובות להקצאה ובכך תם לו עידן שהחל לפני יותר מ 30 שנה, תם ונגמר.
מאגרי הכתובות החוקיות המעטים שנשארו מתוחזקים ומוקצים מארבעה ארגוני RIR אזוריים, כאשר הארגון החמישי – APNIC שאחראי על אזור אסיה-פסיפיק כבר הקצה את כל מאגרי הכתובות העיקריים שלו.
יש סיבות רבות להידללות מאגרי הכתובות בעולם החל מהרפואה המודרנית (יותר לידות מוצלחות ותוחלת חיים ארוכה יותר גרמו להתפוצצות אוכלוסין בכדור הכחול שלנו). טכנולוגיית IPv4 תוכננה לתמוך בכ-4.3 מיליארד כתובות, כבר היום יש יותר מ 7 מיליארד בני אדם בכדור הארץ וקרוב ל 5 מיליארד "משתמשי אינטרנט" – תכפילו את זה בריבוי מכשירים (מחשב נייד+ מחשב נייח+טאבלט+סמארטפון) והבנתם את הרעיון.
אם לא די בכך, ניתן לתלות את האשמה על הקצאות עצומות שבוצעו בסוף שנות השבעים לגופים פרטיים וממשלתיים, אבל מכיוון שאני לא צופה שמישהו יקים אוהלים בת"א בקיץ הקרוב על "מחאת חלוקה לא הוגנת של כתובות IP", אז אפשר להגיד שהרכבת הזו כבר עזבה את הרציף. אפשר לראות בחברות הענן הציבוריות האשמות וכמובן שתמיד כיף להאשים את הסמארטפון הבזבזני שמחסל סדרתית כתובות IP.
זה כבר ממש לא משנה איך הגענו למצב הזה, זה לא היה תהליך של יום אחד – כמו במקרה הקלאסי והכואב של העלאת משקל – המשקל עולה בכל יום אבל יום אחד הכפתור במכנסיים פשוט לא נסגר. גם במקרה הזה הדרך פחות חשובה כמו העובדה שכל כפתור פניקה אפשרי כבר נלחץ בשנים האחרונות ע"י ארגוני הכתובות, מה שהוביל לתגובה בעיקר בגופים מוסדיים ובחברות תקשורת גדולות במדינות מפותחות (ולא, ישראל עדיין לא שייכת לקבוצה הזו). השורה התחתונה היא שכל ארגון צריך לתת את הדעת לנושא שכן בתוך כשנתיים כולנו ניחשף לבעיה, בין אם כמשתמשים פרטיים או כארגונים עסקיים.
על המיגרציה
המיגרציה לעולם ה IPv6 יכולה להתבצע בדרכים רבות, לא כולן ישרות או קצרות והאמת היא שאין מפת דרכים אחת מוחלטת, המורכבות במיגרציה של חברת סלולאר אינה דומה לארגון עסקי גלובלי או לחברה פיננסית שמרנית. יש ארגונים שיבחרו בטכנולוגיות שימקסמו את ניצולת הכתובות הקיימות, אחרים שיבחרו בשיטות מיגרציה קצרות או ארוכות טווח ויש כאלה שיבחרו לצלול עם הראש קדימה למיגרציה מערכתית מלאה.
כל ארגון ימצא את הדרך שלו בהתאם לסביבת ה-IT שלו ולאתגרים הייחודיים שלו. החשיפה, הזמן, הדרך ועלויות המיגרציה ישתנו מארגון לארגון בעוד שהעובדה המוחלטת היא שהנושא ייגע בכולם בשלב זה או אחר. לפי הערכות של RIPE (אותו ארגון RIR אזורי שאחראי על הקצאת כתובות לאירופה, למזרח התיכון ומרכז אסיה) הוא שמאגר הכתובות שברשותו יסתיים כנראה בעוד כשנה.
סייבר v6
אז מה לאיומי סייבר ולטכנולוגיית IPv6? ובכן המיגרציה לטכנולוגיית IPv6 הופכת את כל הרשת הגלובלית לרשת "שטוחה", אם תרצו הכפר הגלובלי נהיה נגיש וקרוב מתמיד. באנלוגיה לעולם התקשורת הנוכחי (IPv4) כל כתובת גלובלית היא למעשה כתובת חוקית שנגישה כברירת מחדל מכל מקום.
טכנולוגיית IPv6 מבוססת על מרחב כתובות בגודל של 128 בתים, מה שמוביל לכמות עצומה של כתובות גלובליות (לקפדנים – 3.4 x 1038 =כפי שאמרתי - הרבה כתובות), רק בנתון הזה לכשעצמו קיים מספיק חשש שמדיר שינה מאנשי אבטחת מידע בכל העולם. החשש הוא שהרשת החדשה והנגישות המובנית עלולות להפוך לשטח ציד גדול, חדש ופראי עבור האקרים, אנרכיסטים, ארגוני פשיעה, ונדאליסטים ושאר ירקות.
מדובר בכר פורה להתקפות מורכבות כגון DDOS, BOTNETS ,התקפות ממוקדות- APT וכו'. נוסיף על כך שמיגרציה לרשת IPv6 מכתיבה לרוב שימוש במספר טכנולוגיות Tunnel חדשות שמתעלות את התעבורה ברשת באופן שמצמצם משמעותית את יעילותם של מערכות אבטחה מסורתיות, שלא לדבר על העובדה שרוב יצרניות האבטחה בעולם רק החלו לגרד את פני השטח בכל הקשור לאבטחה אפקטיבית של תעבורה ויישומי IPv6 (יישומים המכילים לא מעט נקודות תורפה ופגיעות מובנת ברמת הפרוטוקול והמנגנונים השונים) והנה קיבלנו פלונטר, מהביל ומורכב שהופך משימה מורכבת של מיגרציית רשתות והופך אותה למאתגרת במיוחד.
ההזדמנות שבקושי
מלבד העובדה הבסיסית שמיגרציה ל IPv6 תחול עלינו בין אם נבחר בכך או לא וקיימת חשיבות להיערכות לנושא בכלל ולהתייחסות לנושא אבטחת המידע בפרט, הרי שבטכנולוגיה החדשה יש נקודות אור בכל הקשור להתמודדות עם איומים מורכבים.
ראשית, חשוב להבין שאנחנו בעיצומו של "מרוץ חימוש". מצד אחד יצרניות משקיעות בפיתוח מערכות אבטחה חדשות ומצד שני כלי התקפה עוברים המרה והתאמה לסביבת IPv6. המורכבות ברשת החדשה מחזירה אותנו במידה מסוימת לאיומי האבטחה שחשנו לפני מספר שנים בו אחד החסמים הטבעיים היה הידע הנדרש למימוש איומים. לא ברור כמה זמן יישאר מאזן האימה הזה אבל כל מי שהרגיש בשנים האחרונות איך זה "לרוץ אחרי הזנב" בהתמודדות עם איומים מורכבים בעולם ה IPv4 מבין שיש פה הזדמנות לתקוף את הנושא (מתנצל על הכפל לשון) בצורה מערכתית ושונה.
יתרונות נוספים בטכנולוגיית IPv6 הוא השילוב הסימביוטי של מנגנוני אבטחה והצפנה בליבת הפרוטוקול כברירת מחדל, התמודדות טובה יותר עם כמויות תעבורה גדולות (לגיטימיות או חלק מהתקפה) וקושי לייצר את האנונימיות החביבה על האקרים ברשתות IPv4.
טכנולוגיית IPv6 תוכננה עם מנגנוני אבטחה והצפנה רבים יותר מהטכנולוגיה הקיימת ולא במקרה שארגונים מוסדיים וביטחוניים בעולם בוחרים בטכנולוגיה זו כבסיס אסטרטגי להקמת רשת בעלת יכולת "מיגון" טובה יותר נגד איומי סייבר, אבל כל מי שמכיר את הנושא יכול להעיד שמדובר בפוטנציאל לחרב פיפיות שהרי בידיים לא מיומנות אנו למעשה מקימים רשת שמזמינה איומים מורכבים ומצד שני ידע בידיים הלא נכונות יכול להוביל לדור חדש של איומים שעוד לא נחשפנו אליהם עדיין.
מאסטרטגיה לטקטיקה
הבסיס למיגרציה מתודית ומאובטחת לטכנולוגיית IPv6 וכן למקסום הפוטנציאל הגלום בטכנולוגיה זו ברמה הרשתית ובנושא אבטחת המידע הוא לפני הכול הרחבת הידע. ידע כאמור זה כוח ובמקרה הזה מהווה לא פחות מצורך חיוני להטיית הכף. רוב הארגונים הפרטיים נמצאים בגירעון משמעותי בנושא ולכן הרחבת הידע (בין אם באופן המסורתי או "בהישענות" על מומחים חיצוניים) הינו השלב הראשוני והמנדטורי בכל אסטרטגיית מיגרציה שנבנית בארגון.
השלבים הבאים בכל תכנית מיגרציה צריכים לכלול ניתוח מוכנות ל IPv6 כאשר בהקשר האבטחתי נדרש לבדוק מוכנות של מערכות אבטחה קיימות ומערכות תומכות (בסיסי נתונים, מערכות זיהוי, מערכות ניהול וכו'). סביר להניח שיימצאו פערים שיחייבו התייחסות ע"י הוספת מערכות אבטחה חדשות או מקסום יכולות האבטחה ממערכות וטכנולוגיות שתומכות במיגרציה. ולבסוף יש לשאוף להקמת סביבת ניסוי המאפשרת הדמיה של תשתית ה-IT של הארגון במיקרוקוסמוס.
בניית תכנית אסטרטגית למיגרציה היא חיונית (גם אם היא מתפרסת על מספר שנים) והיא חייבת לכלול התייחסות מפורטת לנושא אבטחת המידע בעידן החדש, תכנית זו תאפשר לכל ארגון לבחור את הטקטיקה ליישום המיגרציה ותאפשר לארגון להתמודד טוב יותר עם הפתעות בדרך וגם עם איומים חדשים.
הכותב הוא סמנכ"ל טכנולוגיות בחברת נטקום, מקבוצת מלם-תים.
"פסימיסט רואה קושי בכל הזדמנות, האופטימיסט רואה הזדמנות בכל קושי" (ווינסטון צ'רצ'יל), אני לא יכול לחשוב על ציטוט הולם יותר לתאר את המורכבות המאפיינת את הסוגיה הטכנולוגית הזו. שהרי מדובר בפרדיגמה עדינה ומורכבת, מצד אחד במיגרציה לטכנולוגיית IPv6 טמון אתגר רב, בנוסף טכנולוגיה זו מהווה קטליזטור להיווצרות איומי אבטחה חדשים ומכאן נובע הקושי המכביד על ההזדמנות לאבולוציה טכנולוגית משמעותית. מצד שני, הקושי הזה יכול להוות הזדמנות ליישום אינטליגנציה רשתית בעלת יכולות מתקדמות המאפשרות התמודדות טובה יותר עם איומי סייבר מורכבים.
תם ונשלם
בחיים לעיתים יש הרגשה שמשאבים מסוימים זמינים לנו ללא סוף, בקטגוריה זו ניתן לכלול את רעמת השיער על קדמת הראש לפני תקופת המפרצים וההלוואות, שעות פנאי עם הפלייסטיישן לפני תקופת האבהות, הסכמי שלום עם מדיניות ערביות ועוד. בקטגוריה זו נמצאים גם מאגרי כתובות ה- IP החוקיות בעולם ואכן גם הם הסתיימו או לפחות בדמדומים אחרונים.
IANA – הגוף הבינלאומי שאחראי על חלוקת כל האושר הזה הודיע כבר בפברואר אשתקד על סיום מאגר הכתובות להקצאה ובכך תם לו עידן שהחל לפני יותר מ 30 שנה, תם ונגמר.
מאגרי הכתובות החוקיות המעטים שנשארו מתוחזקים ומוקצים מארבעה ארגוני RIR אזוריים, כאשר הארגון החמישי – APNIC שאחראי על אזור אסיה-פסיפיק כבר הקצה את כל מאגרי הכתובות העיקריים שלו.
יש סיבות רבות להידללות מאגרי הכתובות בעולם החל מהרפואה המודרנית (יותר לידות מוצלחות ותוחלת חיים ארוכה יותר גרמו להתפוצצות אוכלוסין בכדור הכחול שלנו). טכנולוגיית IPv4 תוכננה לתמוך בכ-4.3 מיליארד כתובות, כבר היום יש יותר מ 7 מיליארד בני אדם בכדור הארץ וקרוב ל 5 מיליארד "משתמשי אינטרנט" – תכפילו את זה בריבוי מכשירים (מחשב נייד+ מחשב נייח+טאבלט+סמארטפון) והבנתם את הרעיון.
אם לא די בכך, ניתן לתלות את האשמה על הקצאות עצומות שבוצעו בסוף שנות השבעים לגופים פרטיים וממשלתיים, אבל מכיוון שאני לא צופה שמישהו יקים אוהלים בת"א בקיץ הקרוב על "מחאת חלוקה לא הוגנת של כתובות IP", אז אפשר להגיד שהרכבת הזו כבר עזבה את הרציף. אפשר לראות בחברות הענן הציבוריות האשמות וכמובן שתמיד כיף להאשים את הסמארטפון הבזבזני שמחסל סדרתית כתובות IP.
זה כבר ממש לא משנה איך הגענו למצב הזה, זה לא היה תהליך של יום אחד – כמו במקרה הקלאסי והכואב של העלאת משקל – המשקל עולה בכל יום אבל יום אחד הכפתור במכנסיים פשוט לא נסגר. גם במקרה הזה הדרך פחות חשובה כמו העובדה שכל כפתור פניקה אפשרי כבר נלחץ בשנים האחרונות ע"י ארגוני הכתובות, מה שהוביל לתגובה בעיקר בגופים מוסדיים ובחברות תקשורת גדולות במדינות מפותחות (ולא, ישראל עדיין לא שייכת לקבוצה הזו). השורה התחתונה היא שכל ארגון צריך לתת את הדעת לנושא שכן בתוך כשנתיים כולנו ניחשף לבעיה, בין אם כמשתמשים פרטיים או כארגונים עסקיים.
על המיגרציה
המיגרציה לעולם ה IPv6 יכולה להתבצע בדרכים רבות, לא כולן ישרות או קצרות והאמת היא שאין מפת דרכים אחת מוחלטת, המורכבות במיגרציה של חברת סלולאר אינה דומה לארגון עסקי גלובלי או לחברה פיננסית שמרנית. יש ארגונים שיבחרו בטכנולוגיות שימקסמו את ניצולת הכתובות הקיימות, אחרים שיבחרו בשיטות מיגרציה קצרות או ארוכות טווח ויש כאלה שיבחרו לצלול עם הראש קדימה למיגרציה מערכתית מלאה.
כל ארגון ימצא את הדרך שלו בהתאם לסביבת ה-IT שלו ולאתגרים הייחודיים שלו. החשיפה, הזמן, הדרך ועלויות המיגרציה ישתנו מארגון לארגון בעוד שהעובדה המוחלטת היא שהנושא ייגע בכולם בשלב זה או אחר. לפי הערכות של RIPE (אותו ארגון RIR אזורי שאחראי על הקצאת כתובות לאירופה, למזרח התיכון ומרכז אסיה) הוא שמאגר הכתובות שברשותו יסתיים כנראה בעוד כשנה.
סייבר v6
אז מה לאיומי סייבר ולטכנולוגיית IPv6? ובכן המיגרציה לטכנולוגיית IPv6 הופכת את כל הרשת הגלובלית לרשת "שטוחה", אם תרצו הכפר הגלובלי נהיה נגיש וקרוב מתמיד. באנלוגיה לעולם התקשורת הנוכחי (IPv4) כל כתובת גלובלית היא למעשה כתובת חוקית שנגישה כברירת מחדל מכל מקום.
טכנולוגיית IPv6 מבוססת על מרחב כתובות בגודל של 128 בתים, מה שמוביל לכמות עצומה של כתובות גלובליות (לקפדנים – 3.4 x 1038 =כפי שאמרתי - הרבה כתובות), רק בנתון הזה לכשעצמו קיים מספיק חשש שמדיר שינה מאנשי אבטחת מידע בכל העולם. החשש הוא שהרשת החדשה והנגישות המובנית עלולות להפוך לשטח ציד גדול, חדש ופראי עבור האקרים, אנרכיסטים, ארגוני פשיעה, ונדאליסטים ושאר ירקות.
מדובר בכר פורה להתקפות מורכבות כגון DDOS, BOTNETS ,התקפות ממוקדות- APT וכו'. נוסיף על כך שמיגרציה לרשת IPv6 מכתיבה לרוב שימוש במספר טכנולוגיות Tunnel חדשות שמתעלות את התעבורה ברשת באופן שמצמצם משמעותית את יעילותם של מערכות אבטחה מסורתיות, שלא לדבר על העובדה שרוב יצרניות האבטחה בעולם רק החלו לגרד את פני השטח בכל הקשור לאבטחה אפקטיבית של תעבורה ויישומי IPv6 (יישומים המכילים לא מעט נקודות תורפה ופגיעות מובנת ברמת הפרוטוקול והמנגנונים השונים) והנה קיבלנו פלונטר, מהביל ומורכב שהופך משימה מורכבת של מיגרציית רשתות והופך אותה למאתגרת במיוחד.
ההזדמנות שבקושי
מלבד העובדה הבסיסית שמיגרציה ל IPv6 תחול עלינו בין אם נבחר בכך או לא וקיימת חשיבות להיערכות לנושא בכלל ולהתייחסות לנושא אבטחת המידע בפרט, הרי שבטכנולוגיה החדשה יש נקודות אור בכל הקשור להתמודדות עם איומים מורכבים.
ראשית, חשוב להבין שאנחנו בעיצומו של "מרוץ חימוש". מצד אחד יצרניות משקיעות בפיתוח מערכות אבטחה חדשות ומצד שני כלי התקפה עוברים המרה והתאמה לסביבת IPv6. המורכבות ברשת החדשה מחזירה אותנו במידה מסוימת לאיומי האבטחה שחשנו לפני מספר שנים בו אחד החסמים הטבעיים היה הידע הנדרש למימוש איומים. לא ברור כמה זמן יישאר מאזן האימה הזה אבל כל מי שהרגיש בשנים האחרונות איך זה "לרוץ אחרי הזנב" בהתמודדות עם איומים מורכבים בעולם ה IPv4 מבין שיש פה הזדמנות לתקוף את הנושא (מתנצל על הכפל לשון) בצורה מערכתית ושונה.
יתרונות נוספים בטכנולוגיית IPv6 הוא השילוב הסימביוטי של מנגנוני אבטחה והצפנה בליבת הפרוטוקול כברירת מחדל, התמודדות טובה יותר עם כמויות תעבורה גדולות (לגיטימיות או חלק מהתקפה) וקושי לייצר את האנונימיות החביבה על האקרים ברשתות IPv4.
טכנולוגיית IPv6 תוכננה עם מנגנוני אבטחה והצפנה רבים יותר מהטכנולוגיה הקיימת ולא במקרה שארגונים מוסדיים וביטחוניים בעולם בוחרים בטכנולוגיה זו כבסיס אסטרטגי להקמת רשת בעלת יכולת "מיגון" טובה יותר נגד איומי סייבר, אבל כל מי שמכיר את הנושא יכול להעיד שמדובר בפוטנציאל לחרב פיפיות שהרי בידיים לא מיומנות אנו למעשה מקימים רשת שמזמינה איומים מורכבים ומצד שני ידע בידיים הלא נכונות יכול להוביל לדור חדש של איומים שעוד לא נחשפנו אליהם עדיין.
מאסטרטגיה לטקטיקה
הבסיס למיגרציה מתודית ומאובטחת לטכנולוגיית IPv6 וכן למקסום הפוטנציאל הגלום בטכנולוגיה זו ברמה הרשתית ובנושא אבטחת המידע הוא לפני הכול הרחבת הידע. ידע כאמור זה כוח ובמקרה הזה מהווה לא פחות מצורך חיוני להטיית הכף. רוב הארגונים הפרטיים נמצאים בגירעון משמעותי בנושא ולכן הרחבת הידע (בין אם באופן המסורתי או "בהישענות" על מומחים חיצוניים) הינו השלב הראשוני והמנדטורי בכל אסטרטגיית מיגרציה שנבנית בארגון.
השלבים הבאים בכל תכנית מיגרציה צריכים לכלול ניתוח מוכנות ל IPv6 כאשר בהקשר האבטחתי נדרש לבדוק מוכנות של מערכות אבטחה קיימות ומערכות תומכות (בסיסי נתונים, מערכות זיהוי, מערכות ניהול וכו'). סביר להניח שיימצאו פערים שיחייבו התייחסות ע"י הוספת מערכות אבטחה חדשות או מקסום יכולות האבטחה ממערכות וטכנולוגיות שתומכות במיגרציה. ולבסוף יש לשאוף להקמת סביבת ניסוי המאפשרת הדמיה של תשתית ה-IT של הארגון במיקרוקוסמוס.
בניית תכנית אסטרטגית למיגרציה היא חיונית (גם אם היא מתפרסת על מספר שנים) והיא חייבת לכלול התייחסות מפורטת לנושא אבטחת המידע בעידן החדש, תכנית זו תאפשר לכל ארגון לבחור את הטקטיקה ליישום המיגרציה ותאפשר לארגון להתמודד טוב יותר עם הפתעות בדרך וגם עם איומים חדשים.
הכותב הוא סמנכ"ל טכנולוגיות בחברת נטקום, מקבוצת מלם-תים.
