В эпоху IPv6 все чаще звучит термин SLAAC — Stateless Address Autoconfiguration. Это удобный способ автоматической настройки IP-адресов, при котором устройства получают их без участия DHCP-сервера. Но стоит ли полагаться на автоматизацию без ограничений, особенно в корпоративной сети? Давайте разберёмся.

SLAAC: Автонастройка по-новому

Когда устройство подключается к IPv6-сети, оно выполняет несколько шагов:

• Получает префикс сети из Router Advertisement (RA) — специальных объявлений от ближайшего маршрутизатора.
• Формирует собственный глобальный IPv6-адрес, комбинируя этот префикс с уникальным идентификатором (например, MAC-адресом).
• Проверяет уникальность полученного адреса с помощью DAD (Duplicate Address Detection).

После этого устройство готово к работе в сети — без DHCP, без ручной настройки.

Чем SLAAC может быть опасен?

Хотя SLAAC и кажется идеальным решением, в некоторых сценариях он может принести больше проблем, чем пользы:

Потенциальный обход политики доступа

Устройства смогут выходить в интернет даже при отключенном DHCP — достаточно получить RA от маршрутизатора. Это усложняет контроль.

Ограниченные возможности управления

В отличие от DHCPv6, SLAAC не предоставляет расширенных настроек: нельзя централизованно задать DNS, lease time и другие параметры.

Уязвимость для атак

SLAAC подвержен угрозам, таким как RA spoofing — злоумышленник может раздавать поддельные RA-пакеты и перенаправлять трафик на себя.

Как контролировать SLAAC: Практические советы

Если вы администрируете корпоративную или чувствительную к безопасности сеть, стоит рассмотреть следующие меры:

1. Ограничьте работу SLAAC на маршрутизаторе

Вы можете:

• Полностью отключить RA-сообщения.
• Установить флаг Managed в RA, чтобы устройства использовали только DHCPv6 для получения адреса.

Применимо на устройствах Cisco, Mikrotik, Linux и др.

2. Используйте RA Guard на коммутаторах

RA Guard позволяет блокировать нежелательные RA-пакеты от клиентов. Это защищает сеть от подмены маршрутизаторов и атаки типа «человек посередине».

3. Перейдите на DHCPv6 для полной управляемости

С DHCPv6 вы получаете:

• Централизованную выдачу IP-адресов
• Гибкое управление настройками
• Журналы событий и аудит

4. Мониторьте активность NDP

Используйте инструменты, такие как:

• ndpmon
• scapy
• Wireshark

Они помогут выявить устройства, работающие по SLAAC, и анализировать поведение в сети.

Вывод

SLAAC — удобный, но «свободолюбивый» механизм, который не всегда подходит для сетей с жесткими требованиями к безопасности и управляемости. Чтобы сохранить контроль, стоит ограничивать его использование и внедрять защитные меры — особенно в корпоративной среде.

Вы знали, что в мире закончились IP-адреса? Последний свободный пул продали — что же теперь Интернет не будет работать?! Нет конечно! Просто пришло время менять протокол на новую версию — IPv6, которая постепенно завоевывает признание по всему миру и скоро всё же получит широкое распространение в IT-сфере. Несмотря на это, до сих пор даже многие системные администраторы не могут внятно сказать чем отличается IPv4 от IPv6 и какие преимущества даст новые протокол! В этом материале я хочу немного прояснить ситуацию и показать основные отличия!

1. Адреса IPv6 — шестнадцатеричные 128-битные номера

Привычные адреса IPv4 состоят из четырех групп по восемь цифр, которые в совокупности образуют 32-битный номер. Адреса IPv6 строятся по совсем другому принципу и представляют собой шестнадцатеричные 128-битные номера.

В адресах IPv4 группы цифр состоят из десятеричных чисел от 0 до 255 и отделяются друг от друга точками. Адреса IPv6 складываются из восьми групп по четыре шестнадцатеричных цифры в каждой. Длина одной группы составляет 16 бит, а вместе они образуют 128-битный адрес. В определенных случаях адреса IPv6 можно сокращать для удобства записи.

2. Однонаправленные адреса локальной связи легко опознать

Протокол IPv6 предусматривает использование определенных открывающих символов для разных типов адресов. Самый характерный пример — однонаправленные адреса локальной связи (link local unicast), которые всегда начинаются с «FE80». Широковещательные адреса (multicast) открываются комбинацией «FF0x», где «x» — число от 1 до 8.

3. Вводные нули подавляются

Поскольку адреса IPv6 очень длинные, в них обычно много нулей. Когда сегмент адреса начинается с одного или нескольких нулей, они служат всего лишь заполнителями и поэтому могут быть устранены.

Возьмем, например, адрес FE80:CD00:0000:0CDE:1257:0000:211E:729C. Вводные нули во всех сегментах этого адреса можно подавить. Тогда он станет ощутимо короче и будет выглядеть уже так: FE80:CD00:0:CDE:1257:0:211E:729C.

4. Внутренние нули тоже иногда можно устранить

В адресах IPv6, как правило, несколько сегментов состоят из одних нулей, которые тоже можно подавлять. Например, в адресе FE80:CD00:0000:0000:0000:0000:211E:729C четыре последовательных сегмента заполнены одними нулями. Вместо того, чтобы подавлять вводные нули в каждом сегменте, можно исключить все последовательные нули и заменить их двумя двоеточиями.

Два двоеточия указывают на то, что все сегменты в промежутке между ними состоят из одних нулей. Представленный выше адрес при этом будет выглядеть так: FE80:CD00::211E:729C.

Стоит учитывать два момента. Во-первых, устранять можно только сегменты, состоящие из одних нулей. Например, во втором сегменте упомянутого адреса нули сохраняются, потому что помимо них в этой группе есть и другие цифры. Во-вторых, двойное двоеточие можно использовать в адресе только один раз.

5. Адрес замыкания на себя даже не похож на адрес

Протокол IPv4 присваивает локальному компьютеру определенный адрес для замыкания на себя (loopback) — 127.0.0.1. В протоколе IPv6 такой адрес тоже имеется — 0000:0000:0000:0000:0000:0000:0000:0001. Однако после устранения всех ненужных нулей он даже перестает быть похожим на адрес и записывается всегда как ::1.

6. Традиционные маски подсети для IPv6 не нужны

Каждому адресу IPv4 соответствует определенная маска подсети. В случае с IPv6 идентификатор подсети включается непосредственно в адрес. Первые 48 битов — это префикс сети, а следующие 16 битов — идентификатор подсети. Последние 64 бита — идентификатор интерфейса (или устройства).

При необходимости биты, зарезервированные под идентификатор устройства, могут использоваться для дополнительного обозначения маски подсети, но обычно это не требуется: с помощью 16 битов можно успешно обозначить 65 535 подсетей, а 64 битов дают квинтиллионы возможных комбинаций для идентификации устройств в одной подсети. Тем не менее, некоторые организации уже используют расширенные обозначения для маски подсети.

7. DNS по-прежнему используется

Протокол IPv4 использует для привязки имени хоста к IP-адресу запись A. Протокол IPv6 тоже предусматривает использование DNS, но для привязки применяются ресурсные записи AAAA. Домен domain ip6.arpa используется для обратного разрешении имени хоста.

8. IPv6 можно туннелировать по сетям IPv4

Протокол IPv6 до сих пор не получил широкого распространения во многом потому, что не совместим с сетями IPv4. Для решения этой проблемы используются различные технологии туннелирования — в частности, Teredo и 6to4. Действуют эти технологии по-разному, но обе предусматривают инкапсулирование пакетов IPv6 в пакеты IPv4 для прохождения трафикаIPv6 по сетям IPv4. Однако для успешного использования этой методики на обоих концах должны присутствовать конечные точки туннеля для извлечения инкапсулированных пакетов IPv6.

9. Вы, вполне возможно, уже используете IPv6

Начиная с Windows Vista, Microsoft по умолчанию реализует и активирует в своих операционных системах поддержку IPv6. Вполне вероятно, что ваш компьютер уже передает трафик по протоколу IPv6, а вы об этом даже не подозреваете. Разумеется, это не значит, что уже можно отказаться от IPv4: не все коммутаторы и маршрутизаторы поддерживают IPv6, да и во многие приложения встроены ссылки на адреса IPv4.

10. Windows 10 обеспечивает поддержку IPv6

Смешно, но несмотря на то, что Microsoft активно продвигает IPv6 в массы, только Windows 10 в полной мере поддерживает новый протокол. И то встречаются проблемки. Например, обычный айпишник IPv4 можно включить в имя, соответствующее соглашению об универсальном назначении имен, — к примеру \\127.0.0.1\C$. А вот с адресом IPv6 так поступить нельзя, потому что двоеточие распознается системой как указание на метку диска.

Чтобы решить эту проблему, Microsoft создала специальный домен для трансляции адресов IPv6. Чтобы включить такой адрес в имя, соответствующее соглашению об универсальном назначении имен, нужно заменить двоеточия дефисами и добавить в конце адреса «.ipv6.literal.net» — например, FE80-AB00–200D-617B.ipv6.literal.net.

IPv6 постепенно наступает. И чем дальше, тем больше и больше появляется сайтов на IPv6. Но провайдеры пока массово не проводят переход на IPv6 и эти сайты просто-напросто открыть не получается.  Как же открыть сайт на IPv6 со стандартного IPv4 подключения, не внося изменения в настройки своей операционной системы Windows 7 или Windows 8? В этом случае Вам на помощь придет IPv6 Proxy. 

Есть специальные сайты-прокси IPv6, которые позволяют открыть сайт IPv6 со стандартного IPv4-подключения.
Один из самых популярных на текущий момент — ipv6proxy.net
Пользоваться им очень легко — внизу страницы есть строка ввода IPv6-адреса. Вводим в неё любой адрес IPv6-сайта (например, ipv6.google.com или
ipv6.comcast.com) и нажимаем кнопку GO.
IPv6-сайт откроется на новой вкладке Вашего браузера.