企業(yè)升級(jí)IP 必須知道的四個(gè)IPv6謬論
ISP和Web公司成立World IPv6 Launch Day已經(jīng)有一年的時(shí)間了��,Akamai報(bào)告稱(chēng)在IPv6內(nèi)容傳輸平臺(tái)上的IPv6流量已經(jīng)增長(zhǎng)了250%�,每天發(fā)送的請(qǐng)求達(dá)到了100億。盡管這種流量仍然遠(yuǎn)在IPv4之后��,但是仍在持續(xù)增長(zhǎng)中��,與此同時(shí)�,對(duì)于IPv6的的誤解一直影響著此協(xié)議的部署以及企業(yè)網(wǎng)絡(luò)的安全。
在與多位安全和網(wǎng)絡(luò)專(zhuān)家交談過(guò)后�,Network Computing列出了四個(gè)常見(jiàn)的IPv6安全誤區(qū)���。
1. 在僅支持IPv4的網(wǎng)絡(luò)不需要提供IPv6防御
第一個(gè)與IPv6相關(guān)的誤解其實(shí)與IPv4的關(guān)系更勝一籌,與IPv4網(wǎng)絡(luò)有關(guān)的組織或許認(rèn)為他們不會(huì)受到基于IPv6的攻擊�����,但是專(zhuān)家稱(chēng)情況并非如此��,“IPv6已經(jīng)有幾年歷史�,最新的操作系統(tǒng)和移動(dòng)設(shè)備都已經(jīng)準(zhǔn)備好接受IPv6網(wǎng)絡(luò)了,”Tenable Network Security CEO Ron Gula說(shuō)���。“這意味著���,如果你要運(yùn)行或者審核一個(gè)IPv4網(wǎng)絡(luò),就會(huì)有很多系統(tǒng)希望通過(guò)IPv6跟你對(duì)話(huà)���。這為黑客和惡意軟件提供了很多機(jī)會(huì)��。”
Rapid 7 首席研究師HD Moore稱(chēng)��,每一個(gè)現(xiàn)代操作系統(tǒng)——包括Windows���,Mac OS X��,Ubuntu Linux���,iOS和安卓——都是默認(rèn)啟用IPv6�,“Windows Homegroup的特性專(zhuān)門(mén)用TCP做本地網(wǎng)絡(luò)管理。每個(gè)啟用了IPv6的系統(tǒng)都有一個(gè)本地網(wǎng)絡(luò)的其他機(jī)器都可連接的‘link-local’地址”��。這樣�����,入侵者就可以接入本地網(wǎng)絡(luò)——直接訪(fǎng)問(wèn)或是通過(guò)被破壞的IPv4系統(tǒng)連接——這樣就可以接入或攻擊IPv6界面��。
Johannes Ullrich說(shuō)���,啟用了IPv6卻沒(méi)對(duì)其進(jìn)行控制�,企業(yè)等于是把自己暴露在威脅之下����,他是SANS學(xué)會(huì)的研究主任,最近����,我一直都在嘗試一種特殊的攻擊�,這種攻擊對(duì)于使用VPN從受信任網(wǎng)絡(luò)連接企業(yè)資源的的公司系統(tǒng)而言是個(gè)頭疼的問(wèn)題��,”Ullrich說(shuō)���。“例如����,一名出差的員工從酒店無(wú)線(xiàn)網(wǎng)絡(luò)連接互聯(lián)網(wǎng)�,并創(chuàng)建一個(gè)VPN隧道連接到公司網(wǎng)絡(luò)。這種VPN只會(huì)轉(zhuǎn)發(fā)IPv4數(shù)據(jù)流�。攻擊者可以在酒店網(wǎng)絡(luò)中創(chuàng)建一個(gè)IPv6路由器,為主機(jī)指定一個(gè)IPv6地址��,提供一個(gè)支持IPv6協(xié)議的DNS服務(wù)器�。這樣一來(lái),攻擊者就能阻止數(shù)據(jù)通過(guò)VPN��,供其破譯�。”
2. 帶強(qiáng)制IPSec的IPv6 比IPv4安全
外界廣泛認(rèn)為IPv6的一個(gè)優(yōu)勢(shì)是對(duì)IPSec支持,但其實(shí)它們存在差別����。雖然IPv6支持用于傳輸加密的IPSec,但并非強(qiáng)制使用IPSec,而且也不是默認(rèn)設(shè)置��,Moore說(shuō):“即便是在已經(jīng)啟用的情況下�����,IPSec也要求確保大量配置的安全�,”
3. IPv6可阻止中間人攻擊
由于IPv6不適用ARP(Address Resolution Protocol)協(xié)議,假定它可以阻止中間人攻擊�����,事實(shí)上����,IPv6使用ICMPv6來(lái)部署Neighbor Discovery協(xié)議����,這個(gè)協(xié)議可以為本地地址替換ARP,Neighbor Discovery協(xié)議和ARP一樣容易受到中間人攻擊�����。
Moore表示�����,“某個(gè)被破壞的內(nèi)部節(jié)點(diǎn)可能通過(guò)一條簡(jiǎn)單的路由公告就把所有本地設(shè)備都暴露到全球IPv6網(wǎng)絡(luò),”����。
4. IPv6沒(méi)有IPv4安全
一些人誤以為IPv6非常安全的同時(shí),還有些人認(rèn)為IPv6因?yàn)槿狈AT�,所以比IPv4的安全性能要弱,“網(wǎng)絡(luò)地址轉(zhuǎn)換(RFC 1918)是一種可以讓各個(gè)組織把私有�,不可路由的IPv4地址分配到各個(gè)設(shè)備,然后通過(guò)公共IPv4地址的有限數(shù)字為這些設(shè)備提供網(wǎng)絡(luò)連接����,”Neohapsis聯(lián)合安全顧問(wèn)說(shuō)。
“盡管如此�,私有選址被誤認(rèn)為是一項(xiàng)安全特性,而它的遺漏也常被視為不部署IPv6的原因���,”他補(bǔ)充道��。“IPv6擴(kuò)展的地址庫(kù)解決了NAT解決的問(wèn)題���。NAT部署真正的安全性是同時(shí)使用對(duì)內(nèi)流量的靜態(tài)檢測(cè)。只要訪(fǎng)問(wèn)控制做得好����,那么相對(duì)于NAT而言���,IPv6的安全防護(hù)性能其實(shí)變化不大。”
