隨著IPv4地址告罄,IPv6幾乎無(wú)限的IP地址資源滿(mǎn)足了全球互聯(lián)網(wǎng)的需求��。但是任何事物都是具有兩面性的�,有利也有弊。在滿(mǎn)足互聯(lián)網(wǎng)IP地址需求的同時(shí)���,一系列安全問(wèn)題也隨之而至�。
IPv6并非比IPv4更安全
IPv6與IPv4相比�����,在設(shè)計(jì)之初���,就對(duì)安全問(wèn)題做出了更多的考慮��。借助 IPSec(Internet 協(xié)議安全性)���,IPv6的安全性能確實(shí)得以改善���。但是,近來(lái)發(fā)生的網(wǎng)絡(luò)攻擊事件顯示���,IPSec并不能處理IPv6網(wǎng)絡(luò)中的所有漏洞問(wèn)題����。而對(duì)比 IPv4���,新的網(wǎng)絡(luò)環(huán)境要更為復(fù)雜,所產(chǎn)生的網(wǎng)絡(luò)漏洞也更難預(yù)料����。
而且,盡管IPv6的內(nèi)部加密機(jī)制是為用戶(hù)與服務(wù)器之間的交流提供身份認(rèn)證與保密功能的����,但是它令攻擊者得以利用加密機(jī)制繞過(guò)防火墻和IPS檢查,直接向服務(wù)器發(fā)起攻擊�����,原因正在于這些安全設(shè)備無(wú)法檢測(cè)加密內(nèi)容�。除此之外�,IPv6重定向協(xié)議中存在的安全隱患也非常值得人們關(guān)注�����。
企業(yè)從IPv4到IPv6安全問(wèn)題須知
隨著支持IPv6終端的數(shù)量增長(zhǎng)�����,IPv6流量在許多企業(yè)計(jì)劃過(guò)渡之前就已經(jīng)出現(xiàn)在企業(yè)IPv4網(wǎng)絡(luò)上了�。員工可以隨意的在這些新的未監(jiān)控的網(wǎng)絡(luò)里共享文件,下載視頻�,而這些漏洞會(huì)被黑客入侵。
在已有的IPv4網(wǎng)絡(luò)���,IPv6的潛在威脅會(huì)給企業(yè)帶來(lái)一連串危險(xiǎn)和帶寬問(wèn)題����。像BYOD自帶設(shè)備辦公的趨勢(shì)加重了這些問(wèn)題��,許多終端和設(shè)備現(xiàn)在都支持IPv6��,由于用于工作的外來(lái)設(shè)備愈來(lái)愈多���,企業(yè)IPv4網(wǎng)絡(luò)的風(fēng)險(xiǎn)也越來(lái)越大�����。
在IPv4企業(yè)網(wǎng)絡(luò)中出現(xiàn)的IPv6流量即"陰影網(wǎng)絡(luò)"是個(gè)開(kāi)放的地方���,當(dāng)使用IPv4網(wǎng)絡(luò)的用戶(hù)發(fā)現(xiàn)應(yīng)用程序運(yùn)行在IPv6陰影網(wǎng)絡(luò)���,這時(shí)就繞過(guò)了網(wǎng)絡(luò)安全措施,將造成大量帶寬被消耗����。
在過(guò)渡的過(guò)程中,企業(yè)將面臨更多的對(duì)信息安全問(wèn)題以及對(duì)信息安全體系的重新理解和調(diào)整�����。
首先�,為了實(shí)現(xiàn)IPv4與IPv6的無(wú)縫兼容���,很多IPv6設(shè)備都內(nèi)置了各種無(wú)狀態(tài)的自動(dòng)配置功能��,而這樣的網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)管理員而言卻成了不可控的設(shè)備����。管理員將難以察覺(jué)哪些網(wǎng)絡(luò)設(shè)備是失控的,而攻擊者卻可以利用這種情況下手��。其次��,在企業(yè)迎接IPv6的同時(shí)�,IT管理的難度也會(huì)隨之增加。同時(shí)��,目前業(yè)內(nèi)對(duì)于IPv6協(xié)議的內(nèi)置功能如何幫助用戶(hù)提高隱私保護(hù)方面的問(wèn)題的探討寥寥無(wú)幾���,而是更多的把目光聚焦于如何更快捷地部署IPv6�����,這讓很多不安全的協(xié)議��、標(biāo)準(zhǔn)�����、技術(shù)被不計(jì)后果的廣泛采用���,企業(yè)在這樣的過(guò)渡環(huán)境中很容易受到攻擊。
相對(duì)于人們?cè)贗Pv4上積累的安全經(jīng)驗(yàn)來(lái)說(shuō),業(yè)界在IPv6安全方面的經(jīng)驗(yàn)還有所不足��。在逐漸引入IPv6的日子里����,所有的網(wǎng)絡(luò)設(shè)備都不得不支持兩個(gè)版本的網(wǎng)絡(luò)協(xié)議,因此增加的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)很可能導(dǎo)致巨大的損失���。在看清IPv6之前�,人們的警惕與熱情顯然需要并存��。不需要使用IPV6或者沒(méi)有完成過(guò)渡的企業(yè)應(yīng)該關(guān)閉所有系統(tǒng)上的IPV6��,或者���,企業(yè)應(yīng)該"像IPV4一樣對(duì)攻擊進(jìn)行監(jiān)控和抵御"���。
細(xì)說(shuō)IPv6安全八大問(wèn)題
IPv6對(duì)于大多數(shù)互聯(lián)網(wǎng)利益相關(guān)者來(lái)說(shuō)是一個(gè)新的領(lǐng)域�����,IPv6的推出會(huì)帶來(lái)一些獨(dú)特的安全難題����,下面將討論行業(yè)在繼續(xù)應(yīng)用IPv6的時(shí)候需要考慮的8個(gè)安全問(wèn)題�。
1.從IPv4翻譯至IPv6處理過(guò)程的安全漏洞
IPv4和IPv6不是完全兼容�,這是眾所周知的問(wèn)題。此時(shí)就需要從IPv4翻譯至IPv6�,于是協(xié)議翻譯被看作是擴(kuò)大部署和應(yīng)用的一個(gè)途徑。在把IPv4通訊翻譯為IPv6通訊時(shí)����,將不可避免地導(dǎo)致這些通訊,在網(wǎng)絡(luò)上通過(guò)的時(shí)候調(diào)解處理過(guò)程�����。此時(shí)將會(huì)出現(xiàn)利用潛在的安全漏洞的機(jī)會(huì)��。
此外�,這種做法引進(jìn)必須包含處理狀態(tài)的中間設(shè)備將破壞端對(duì)端的原則,使網(wǎng)絡(luò)更加復(fù)雜������?偟膩(lái)說(shuō),安全人員應(yīng)該關(guān)注所有的翻譯和轉(zhuǎn)變機(jī)制(包括建立隧道)的安全方面�����,只在進(jìn)行全面評(píng)估之后才明確使用這種機(jī)制。
2.大型網(wǎng)段有利有弊
當(dāng)前建議的IPv6子網(wǎng)的前綴是/64(264)�����,能夠在一個(gè)網(wǎng)段容納大約18 quintillion(百萬(wàn)的三次方)個(gè)主機(jī)地址����。雖然這能夠?qū)崿F(xiàn)局域網(wǎng)的無(wú)限增長(zhǎng),但是它的規(guī)模也帶來(lái)了難題�。
例如,掃描一個(gè)IPv6/64網(wǎng)段的安全漏洞會(huì)需要幾年的時(shí)間�,而掃描一個(gè)/24 IPv4子網(wǎng)28這需要幾秒鐘。由于全面掃描是不可能的�����,一個(gè)較好的方法是僅利用第一個(gè)/118的地址(與IPV4的一個(gè)/22網(wǎng)段的主機(jī)數(shù)量相同)以便縮小需要掃描的IP地址范圍�����,或者明確地分配所有的地址�����,完全拒絕其它的地址����。這將使認(rèn)真的IP地址管理和監(jiān)視比現(xiàn)在更加重要。人們預(yù)計(jì)還將看到攻擊者使用被動(dòng)域名系統(tǒng)分析和其它偵查技術(shù)取代傳統(tǒng)的掃描����。
3.鄰居發(fā)現(xiàn)協(xié)議和鄰居請(qǐng)求能夠暴露網(wǎng)絡(luò)問(wèn)題
IPv6的鄰居發(fā)現(xiàn)協(xié)議使用五個(gè)不同類(lèi)型ICMPv6(互聯(lián)網(wǎng)控制消息協(xié)議第6版)信息用于若干目的。雖然鄰居發(fā)現(xiàn)協(xié)議提供了許多有用的功能(�,但是它還給攻擊者帶來(lái)了機(jī)會(huì)。IPv6中的攻擊很可能取代ARP(地址解析協(xié)議)欺騙攻擊等IPv4中的攻擊���。
4.阻塞大型擴(kuò)展標(biāo)頭(header) �����、防火墻和安全網(wǎng)關(guān)可能成為分布式拒絕服務(wù)攻擊的目標(biāo)
IPv6采用名為擴(kuò)展標(biāo)頭的一套額外的標(biāo)頭�,這些擴(kuò)展標(biāo)頭將指定目的地選擇���、逐個(gè)跳點(diǎn)的選擇���、身份識(shí)別和其它許多選擇。這些擴(kuò)展標(biāo)頭在IPv6主標(biāo)頭后面并且連接在一起創(chuàng)建一個(gè)IPv6數(shù)據(jù)包(固定標(biāo)頭+擴(kuò)展標(biāo)頭+負(fù)載)�,IPv6主標(biāo)頭固定為40字節(jié)����。
有大量擴(kuò)展標(biāo)頭的IPv6通訊可能淹沒(méi)防火墻和安全網(wǎng)關(guān)或者甚至降低路由器轉(zhuǎn)發(fā)性能�����,從而成為分布式拒絕服務(wù)攻擊和其它攻擊潛在的目標(biāo)���。關(guān)閉路由器上的IPv6源路由對(duì)于防御分布式拒絕服務(wù)攻擊的威脅也許是必要的���。明確規(guī)定支持哪些擴(kuò)展標(biāo)頭并且檢查網(wǎng)絡(luò)設(shè)備是否正確安裝是非常重要的�?偟膩(lái)說(shuō),IPv6增加了更多的需要過(guò)濾的組件或者需要廣泛傳播的組件���。
5. 6to4和6RD代理服務(wù)器也許會(huì)鼓勵(lì)攻擊和濫用
6to4以及互聯(lián)網(wǎng)服務(wù)提供商迅速部署6RD會(huì)允許IPv6數(shù)據(jù)包跳出IPv4的壕溝����,不用配置專(zhuān)用的隧道��。但是���,使用IPv6代理服務(wù)器也許會(huì)給代理服務(wù)器運(yùn)營(yíng)商帶來(lái)許多麻煩���,如發(fā)現(xiàn)攻擊、欺騙和反射攻擊����。代理服務(wù)器運(yùn)營(yíng)商本身可能被利用為攻擊和濫用的"源"。
6.支持IPv6服務(wù)可能會(huì)暴露現(xiàn)有的IPv4應(yīng)用或者系統(tǒng)
一個(gè)限制是現(xiàn)有的安全補(bǔ)丁也許僅適用于IPv4技術(shù)支持���。因此��,在iPv4之前����,在進(jìn)行DNS查詢(xún)已經(jīng)更快部署IPv6的時(shí)候���,大多數(shù)內(nèi)核將喜歡IPv6接口����。確實(shí)��,IPv6與IPv4之間的相互作用方式可能導(dǎo)致每一個(gè)DNS查詢(xún)的通訊量增加一倍���。這將導(dǎo)致大量的不必要的DNS通訊量以便優(yōu)化用戶(hù)的體驗(yàn)���。
操作系統(tǒng)和內(nèi)容廠(chǎng)商頻繁地組織非法訪(fǎng)問(wèn)以緩解和優(yōu)化這種行為�����,這種行為將增加系統(tǒng)負(fù)荷和狀態(tài)���。此外,隨著可以訪(fǎng)問(wèn)新的IPv6棧����,新的安全漏洞肯定會(huì)出現(xiàn)。在長(zhǎng)期過(guò)渡的共存期間的雙堆棧以及路由器�����、最終系統(tǒng)和DNS等網(wǎng)絡(luò)服務(wù)之間的相互依賴(lài)肯定會(huì)成為攻擊者的肥沃的土地�。
7.許多用戶(hù)被隱蔽在固定的一套地址后面
把用戶(hù)隱蔽在大型網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換((NAT-PT)設(shè)備后面會(huì)破壞一些有用的功能,如地理位置或者查找惡意網(wǎng)絡(luò)行為根源的工具��,使基于號(hào)碼和名稱(chēng)空間聲譽(yù)的安全控制出現(xiàn)更多的問(wèn)題�。
8.當(dāng)建立通向其它網(wǎng)絡(luò)的隧道時(shí)的IP安全問(wèn)題
IP安全可能對(duì)發(fā)送者進(jìn)行身份識(shí)別,提供完整性保護(hù)����,加密數(shù)據(jù)包以提供傳輸數(shù)據(jù)的保密性����。IP安全對(duì)于IPv4來(lái)說(shuō)是一個(gè)可選擇的功能�,但是,它是IPv6強(qiáng)制規(guī)定的功能��。
在隧道模式中(它實(shí)際上可以創(chuàng)建一個(gè)網(wǎng)絡(luò)至網(wǎng)絡(luò)�����、主機(jī)至網(wǎng)絡(luò)和主機(jī)至主機(jī)之間通訊的虛擬專(zhuān)用網(wǎng))�,整個(gè)數(shù)據(jù)包封裝在一個(gè)新的IP數(shù)據(jù)包中并且給予一個(gè)新的IT標(biāo)頭��。
但是����,虛擬專(zhuān)用網(wǎng)與一個(gè)超出原來(lái)創(chuàng)作者的控制的網(wǎng)絡(luò)的連接可能導(dǎo)致安全問(wèn)題或者被用來(lái)竊取數(shù)據(jù)。由于IP安全的安全保護(hù)和管理以及相關(guān)的密鑰是由其它協(xié)議管理的并且增加了復(fù)雜性�,IP安全不能像最初用于IPv4那樣更廣泛地支持IPv6。
