Фото Patrick T. Fallon / Bloomberg via Getty Images
Интернет превратился в огромную коммуналку, где с одного адреса может писать и человек, и бот, мечтающий заразить сервис. Решение проблемы — сервис IPv6, но он имеет свои недостатки
«Докажите, что вы не робот». Уверен, многим из вас порядком надоело назойливое предложение Google, «Яндекса» или другого интернет-ресурса подтвердить, что вы человек. Многие пользователи, жалующиеся на появление так называемой «капчи» (CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart), считают, что виноваты в появлении этих сообщений сами интернет-сервисы, которые только усложняют жизнь простых посетителей. На самом деле это не так: Google, «Яндекс» и другие ресурсы, использующие CAPTCHA, не виновники, а пострадавшие, и ответственность за происходящее здесь полностью лежит на операторе связи, который предоставляет пользователям услугу доступа в интернет. Казалось бы, какая связь между интернет-провайдером и веб-страницей?
Коллективная ответственность
Использование теста CAPTCHA необходимо, чтобы защитить ресурсы поисковиков и других интернет-компаний от недружественных ботов, которые процветают в сетях операторов связи. Помимо сервисных программ, посещающих сайт, например, с исследовательскими целями, многих ботов создают злоумышленники, чтобы похищать контент интернет-компаний или организовать DDoS-атаку, при которой сервер перестает работать. Веб-ресурсы умеют обнаруживать такую атаку и, чтобы защититься, заблокировать передачу данных с определенных IP-адресов. Но когда их не хватает, операторы за одним IP скрывают несколько пользователей одновременно, среди которых могут находиться и вредоносные боты, и добропорядочные пользователи. Чтобы не отрубать всех, приходится раз за разом просить разгадать непонятно написанную комбинацию букв и цифр.
Читайте такжеВеликий российский файрвол: зачем Россия подготовилась к отключению от интернета
IP-адрес — это максимально точный адрес в сети, а значит, все сущности, «живущие» за этим адресом, для веб-ресурсов не различимы. Отсюда оборонительные действия со стороны поставщиков контента.
Почему же не выдать каждому пользователю по своему IP-адресу, чтобы ресурсы могли оценивать деятельность каждого пользователя, не заставляя его отвечать за «соседа»? Когда интернет только задумывался, в текущем его виде под адресацию было выделено 32 бита, ограничивающих адресное пространство 4 294 967 296 возможными уникальными IP-адресами. Казалось бы, очень много, но это даже меньше, чем живет на Земле людей. А учитывая, что на одного человека сегодня приходится как минимум три-четыре подключенных к сети устройства, то становится очевидно, что в интернете уже давно кончились адреса. Поэтому все операторы связи вынуждены использовать механизм NAT (Network Address Translation), который позволяет одним IP-адресом или пулом адресов пользоваться нескольким десяткам тысяч конечных пользователей одновременно.
IPv6 для улучшения жилищных условий
О том, что адреса в Глобальной сети закончатся, было понятно еще в момент зарождения коммерческого интернета в девыностые годы прошлого столетия. В тот момент стало ясно, что интернет — это коммерчески успешный проект и пользоваться им будут не только университеты, военные и исследовательские учреждения, как это изначально задумывалось, но и бизнес и обычные пользователи. А значит, адресного пространства на всех явно не хватит. Чтобы решить эту проблему, было принято решение заменить основной и обслуживавший большую часть сети интернет-протокол IPv4 (Internet Protocol version 4) на новую версию. Изначально она называлась IPng (Internet Protocol next generation) и была утверждена в 1995 году, впоследствии став современным IPv6 — интернет-протоколом версии 6 (так случилось, что цифра 5 была уже занята).
Новая версия протокола IP была призвана решить проблемы, с которыми столкнулась предыдущая — IPv4, то есть расширить адресное пространство, чтобы IP-адресов хватило на всех. Эта задача была решена триумфальным образом. Вместо длины адреса в 32 бита IPv6 предлагает 128 бит, а значит, новый протокол может обеспечить до 340 282 366 920 938 463 463 374 607 431 768 211 456 адресов. На самом деле не все из них могут использоваться («всего» 4,2×1037 ), но можно с уверенностью утверждать, что адресов теперь хватит на всех.
Помимо расширения адресного пространства, IPv6 обладает еще несколькими улучшениями по сравнению с IPv4, которые сделают логику маршрутизации проще. К тому же он улучшает совместимость с мобильными сетями, например, избавит от использования технологии NAT.
Трудности переходного этапа
Невооруженным глазом видны значительные преимущества нового протокола, однако статистика говорит нам следующее: по состоянию на конец 2017 года, согласно данным APNIC, доля IPv6 в общем сетевом трафике составляет лишь 14%. Что же препятствует массовому использованию новой версии протокола, если она столь хороша?
Замена базового протокола сети IPv4 в тот момент, когда он находится в фазе активной эксплуатации, без остановки сервисов — совсем не тривиальная задача. Много времени и сил инженерного сообщества тратится на разработку стандартов и обдумывание процесса перехода с IPv4 на IPv6, что может занять годы.
С точки зрения бизнеса, переход на IPv6 — весьма дорогостоящий процесс, он требует значительных инвестиций, отдача от которых неочевидна. Потому не все компании поддерживают идею миграции на новый протокол, ведь зачем тратить силы и средства на модернизацию, если IPv4 пока еще работает?
Но долго откладывать переход не удастся: адресное пространство IPv4 закончилось еще в 2012 году, и сейчас оно продается на биржах. Если еще в начале 2017 года стоимость одного IP-адреса составляла порядка $10, то сейчас возросла в 2,4 раза — цена за IP-адрес превышает $24. Напомню, что всего адресов IPv4 4,3 млрд, а значит, это потенциально рынок в миллиарды долларов, фактически основывающийся на продаже «воздуха». Например, Microsoft приобрела в компании Nortel 666 000 IPv4-адресов за $7,5 млн. По сравнению с торговлей адресным пространством биткоин становится куда менее абстрактным предметом.
В результате закончившееся адресное пространство и растущая стоимость IP-адресов все-таки вынуждают операторов связи, в особенности мобильных, чья аудитория растет рекордными темпами, постепенно мигрировать на IPv6. В Северной Америке, например, этот процесс не просто запущен, а уже находится в стадии активного развертывания: уже 12 крупнейших операторов полностью перешли на IPv6. От Америки не сильно отстает Китай, где адресное пространство IPv4 закончилось раньше всего. Согласно плану Коммунистической партии, к 2025 году должна произойти полная миграция на новый протокол: все сети, приложения и терминальные устройства Китая должны будут полностью поддерживать IPv6. В России компании пока не слишком активно переходят на новую версию — всего 1,06% российских сетей работают на IPv6, по данным APNIC. Серьезные усилия в этом направлении прикладывают «Яндекс», «Ростелеком», который уже начал выдавать IPv6-адреса, но в отличие от того же Китая государственная политика по регулированию данной сферы у нас пока не выработана.
IPv6 — не панацея
Казалось бы, вот оно счастье, скоро IPv6 придет в каждый дом, решив кризис адресного пространства и принеся благо даже конечным пользователям. Но не тут-то было. Как любая новая технология, решая одни проблемы, она неизбежно создает другие. Достаточное количество IP-адресов будет означать, что все устройства, подключенные к домашнему роутеру или к сети мобильного оператора, будут иметь выход в интернет и смогут инициировать «общение» с сетью по своему усмотрению. Следовательно, пакет, посланный холодильнику, чайнику, телевизору, будет обработан сетью и передан на это устройство, и при наличии уязвимостей в прошивке (а их в «умных» гаджетах масса) хакеры смогут использовать их для вредоносной активности.
Если в 2016 году первый ботнет интернета вещей работал преимущественно на камерах видеонаблюдения, число которых достигало 25 000, то теперь к ним добавятся и другие устройства, подключенные к интернету. По факту они лишаются уровня защиты, который давал им механизм Network Address Translation: NAT работал как диод, то есть выпускал исходящий трафик, но не впускал входящий. Теперь такая «подушка безопасности» отсутствует, и операторам связи, как и простым пользователям, придется осваивать новые правила цифровой «гигиены» при работе с новым протоколом IPv6.
Пользователям необходимо всерьез задуматься о безопасности своих «умных» вещей: обязательно изменять установленные по умолчанию пароли (по данным компании Trustlook, более трети (35%) владельцев устройств не меняют пароли по умолчанию, а 54% пользователей не устанавливают никакое программное обеспечение для защиты устройств от кибератак), регулярно устанавливать обновления прошивок и приобретать устройства только у проверенных производителей. В свою очередь, операторы, если они хотят позаботиться о своих пользователях, должны производить фильтрацию всех входящих соединений, чтобы отсеивать нелегитимный трафик.
Наблюдая за развитием современных технологий и техник кибератак, можно сказать, что цифровой апокалипсис надвигается неумолимо и неизбежно. Сети, в которые входят миллионы зараженных устройств, становятся поистине разрушительной силой. Небезопасные устройства интернета вещей, подключенные к IPv6, и соединенные по высокоскоростным мобильным сетям передачи данных, выглядят как идеальный шторм для нового интернета версии 6.