Tester: IPv6-stöd fungerar väl i brandväggar

2009-11-03

Nyligen har risken med dold IPv6-trafik som oförmärkt tar sig förbi brandväggar utan IPv6-stöd uppmärksammats. Det är därför en god idé för alla företag att titta på brandväggar med IPv6-stöd. Som hjälp på traven publicerar .SE (Stiftelsen för Internetinfrastruktur) en testrapport om brandväggar tillgängliga på marknaden i dag.

Adresserna i det gamla Internetprotokollet IPv4 håller på att ta slut. Lösningen på detta problem stavas IPv6, men de flesta avvaktar än så länge med det arbete som kommer att krävas för att införa det nya protokollet. Många datorer och annan utrustning levereras dock i dag med IPv6-stödet påslaget. Därför uppstår en risk att illasinnade personer utnyttjar den bristande kontrollen av IPv6-trafiken. Till exempel skulle det kunna utnyttjas för att komma innanför ett företags brandväggar och kapa datorkapacitet till så kallade botnets.

– Du kan faktiskt ha IPv6-trafik i ditt nätverk utan att ha planerat för det. Därför borde alla organisationer titta på detta och fastställa en IPv6-policy. En lösning är att stänga av IPv6 helt i nätverket, men om inte alltför länge kommer vi alla att behöva vara nåbara även via IPv6. Därför är mitt råd att redan nu se över sina brandväggar och påbörja arbetet med att implementera IPv6, säger B3IT:s Håkan Lindberg som har skrivit .SE:s rapport tillsammans med IDGs Tomas Gilså.

Lika snabbt och moget som IPv4

I rapporten IPv6 support in firewalls – workshop 2009 presenteras resultat och slutsatser från en test-workshop som .SE höll i september 2009. Syftet för testerna var att se hur redo tillverkarna är för implementeringen av IPv6. Utöver test av IPV6-trafik ingick också en blandad IPv4/IPv6-miljö i testerna. Alla de ingående brandväggarna från sex olika tillverkare – Checkpoint, Cisco, Fortinet, H3C, Halon och Juniper – fungerade väl. IPv6 kunde hanteras via det grafiska gränssnittet för brandväggarna och återfanns i loggarna. Slutsatsen är att IPv6 är lika snabbt som IPv4 och praktiskt taget lika moget på en grundläggande nivå.

Uppställning tillgänglig för tester

Workshopen var inte bara ett sätt att testa brandväggarna, utan också ett utmärkt sätt för deltagarna att få praktisk erfarenhet. IPv6 skiljer sig från IPv4 och man kan inte bara kopiera samma inställningar och policies som används i IPv4. För att även andra ska kunna dra nytta av den, finns testuppställningen från workshopen tillgänglig hos .SE för tester och verifiering också efter denna specifika workshop. Intresserade kan kontakta .SE via ipv6@iis.se.

Hela rapporten IPv6 support in firewalls – workshop 2009 kan laddas ned på http://www.iis.se/docs/IPv6-firewall-test-summary_2009B.pdf

För mer information, kontakta:
Maria Ekelund, PR- och informationschef på .SE
Telefon: 08-452 35 27, 070-777 44 87
E-post: maria.ekelund@iis.se

Jörgen Eriksson, projektledare för IPv6 på .SE
Telefon: 08-452 35 36, 0708-48 96 00
E-post: jorgen.eriksson@iis.se

Om .SE
.SE (Stiftelsen för Internetinfrastruktur) är en oberoende allmännyttig organisation som verkar för en positiv utveckling av Internet i Sverige. .SE ansvarar för Internets svenska toppdomän, .se, med registrering av domännamn samt administration och teknisk drift av det nationella domännamnsregistret. Överskottet från registrering av domännamn finansierar initiativ som främjar Internetutvecklingen i Sverige, både genom egen verksamhet och genom finansiering av fristående projekt. Läs mer på http://www.iis.se.