Aman untuk mengatakan bahwa peralihan ke IPv6 telah menjadi fokus utama komunitas Internet untuk beberapa waktu sekarang. Pasokan alamat IPv4 (terbuka di tab baru) habis pada tahun 2019, sehingga tonggak sejarah itu sekarang menjadi bahan buku sejarah. Dengan tingkat penyebaran IPv6 yang meningkat di seluruh dunia, tampaknya kemajuan nyata akhirnya tercapai – faktanya, IPv6 bahkan dikatakan tumbuh lebih cepat daripada IPv4, sebagian besar didorong oleh pertumbuhan IoT (terbuka di tab baru) perangkat yang diaktifkan dan rumah pintar (terbuka di tab baru).
Tentang Penulis
Alvaro Vives adalah Asisten Manajer RIPE NCC (terbuka di tab baru).
Ada tantangan yang menyertai transisi ini yang harus diakui – termasuk peran penting keamanan IPv6 (terbuka di tab baru). Kesenjangan saat ini bukan pada protokol, tetapi pada keterampilan – dan kesenjangan keterampilan ini dapat diisi. Teknologi bergerak lebih cepat daripada keamanan dan pengetahuan, jadi mempelajari di mana dan bagaimana menemukan informasi teknis yang tepat yang diperlukan untuk melindungi jaringan adalah kuncinya.
Protokol baru, tantangan baru
Sejak peluncurannya, telah ada perbincangan dalam komunitas Internet bahwa IPv6 akan memberikan solusi untuk beberapa keamanan siber jaringan (terbuka di tab baru) tantangan – klaim sekarang terbukti salah. Kebenaran dari masalah ini adalah bahwa IPv6 tidak lebih atau kurang aman dari pendahulunya, tetapi merupakan protokol yang sepenuhnya berbeda dengan peluang dan tantangannya sendiri – dan harus dianggap demikian.
Bahkan jika Anda belum menerapkan IPv6 secara aktif, jaringan Anda masih memiliki permukaan kerentanan gabungan dari IPv4 dan IPv6. Hal ini memberikan urgensi yang jelas bagi tim TI untuk mengambil tindakan guna melindungi jaringan mereka dari kedua sudut. Tim yang tidak memahami dasar-dasar protokol IPv6 mungkin diperlengkapi untuk menghadapi serangan IPv4 yang diketahui – tetapi belum tentu siap untuk pengembangan IPv6 di masa mendatang. Tanpa pemahaman yang jelas tentang cara kerja protokol IPv4 dan IPv6, tim tidak dapat mengantisipasi potensi serangan dan kerentanan – dan kami hanya perlu melihat pemadaman baru-baru ini untuk mengonfirmasi pengetahuan bahwa penurunan jaringan Anda dapat menimbulkan konsekuensi serius.
Bagi mereka yang saat ini menjalankan jaringan IPv6 dan bagi mereka yang mengimplementasikan IPv6, memastikan langkah-langkah keamanan yang tepat untuk implementasi sangat penting untuk menjamin proses berjalan semulus mungkin. Perkembangan terkini, seperti pejabat AS yang mendesak lembaga untuk mengembangkan IPv6 dan rencana implementasi arsitektur zero-trust mereka secara bersamaan untuk meningkatkan keamanan siber jaringan, menunjukkan bahwa keamanan IPv6 akan semakin penting karena protokol semakin diadopsi.
Statistik terbaru juga menunjukkan bahwa komunitas meminta informasi yang lebih praktis tentang penyebaran IPv6, sembari menyebut keamanan jaringan sebagai tantangan terbesar yang dihadapi oleh organisasi mereka. Oleh karena itu, sangat penting bagi para insinyur jaringan untuk dibekali dengan keterampilan dan pengetahuan yang diperlukan untuk menyebarkan IPv6 dengan aman baik untuk bisnis mereka maupun internet itu sendiri. Banyak insinyur jaringan masih menggunakan IPv6, apalagi keamanan IPv6, jadi bagi mereka, pertanyaan yang paling penting adalah: dari mana saya harus memulai?
Memulai dengan keamanan IPv6
Pertama, tim perlu mengetahui dasar-dasar protokol IPv6. Misalnya, pemahaman tentang apa yang dilakukan header ekstensi (yang baru untuk IPv6), dan jenis serangan apa yang rentan terhadapnya, adalah penting. Mengetahui dan memahami bagaimana ini dapat digunakan untuk mem-bypass filter keamanan berarti insinyur dapat memilih alat yang dapat menangani semua kombinasi header ekstensi dengan benar.
Begitu mereka memiliki dasar-dasarnya, mereka dapat belajar tentang tantangan lain. Misalnya, IPv6 memiliki arsitektur pengalamatan baru. Setiap alamat IPv6 adalah 128 bit (dibandingkan dengan 32 bit untuk alamat IPv4), yang berarti ada 36 undecillion alamat IPv6 – angka yang sangat tinggi sehingga sulit dibayangkan. Di sisi positifnya, ini berarti enkripsi dapat ditambahkan ke alamat IPv6; pada sisi negatifnya, banyaknya alamat yang tersedia berarti melacak alamat mana yang digunakan dan di mana penting.
Arsitektur pengalamatan IPv6 juga mengembalikan penggunaan Global Unicast Addresses (GUAs), setara dengan alamat publik IPv4. Hal ini cenderung menimbulkan kekhawatiran bagi para insinyur yang berpikiran IPv4 yang menggunakan semakin banyak alamat IPv4 pribadi dan NAT. Ini berarti IPv6 mengembalikan paradigma end-to-end, yang berimplikasi pada desain keamanan. Anda dapat memutuskan alamat mana yang dapat dijangkau, dan Anda perlu memfilter lalu lintas yang sesuai.
Selain itu, setiap antarmuka berkemampuan IPv6 akan memiliki – selain alamat tautan-lokal, yang memungkinkan komunikasi dalam LAN/VLAN – sebuah GUA. Dan memang, memiliki beberapa GUA tidak menjadi masalah dengan IPv6, dan dianggap sebagai fitur protokol (misalnya untuk memudahkan penomoran ulang jaringan). Namun, ini menimbulkan implikasi keamanan karena tidak mudah untuk mengontrol atau memantau aktivitas jaringan dari host IPv6.
Ada juga pertimbangan dan tindakan keamanan khusus untuk protokol yang digunakan dalam jaringan IPv6, yang baru seperti Neighbor Discovery Protocol (NDP) atau Multicast Listener Discovery (MLD), dan yang diperbarui seperti ICMPv6. Misalnya, NDP dan MLD bekerja pada tautan dan dapat digunakan untuk berbagai serangan, mulai dari pemindaian host hingga serangan Man-in-the-Middle (MITM). Seperti yang Anda harapkan, ada solusi dan tindakan terhadap ancaman ini yang khusus untuk IPv6, seperti seperangkat teknik yang disebut First Hop Security (FHS) yang diterapkan di sakelar.
Bekali diri Anda dengan pengetahuan nyata
Ada banyak informasi yang harus diambil, oleh karena itu penting bagi tim TI untuk memulai sesegera mungkin. Tidaklah sulit untuk menutup kesenjangan keterampilan IPv6, tetapi memang mengharuskan manajer untuk berinvestasi dalam melatih tim mereka. Lagi pula, pengetahuan adalah alat keamanan terbaik!
Ini juga tidak perlu menjadi bukit yang luar biasa untuk didaki – insinyur jaringan dapat mengakses kursus pelatihan keamanan IPv6 untuk membantu mereka dalam misi ini, memungkinkan mereka untuk menempatkan ide yang relevan ke dalam konteks praktis dan bereksperimen dengan alat yang nantinya akan mereka gunakan. untuk mengamankan jaringan mereka sendiri. Mereka bahkan dapat berupaya mencapai sertifikasi keamanan IPv6 untuk mendukung pembelajaran mereka.
Langkah-langkah ini semakin penting karena bisnis semakin mencari penyebaran IPv6 untuk pertumbuhan yang berkelanjutan. Bisnis yang membekali diri mereka dengan pengetahuan yang benar dan belajar bagaimana memperbarui pengetahuan itu akan melihat jaringan IPv6 mereka berjalan seaman mungkin.
