網(wǎng)絡(luò)工程師們開始意識到IPv6的安全性問題(圖片由ArborNetworks提供)
其實除了人為因素以外�,上述情況都在意料之中�����。ArborNetworks在其發(fā)布的全球基礎(chǔ)設(shè)施安全報告中已經(jīng)對IPv6DDoS攻擊的出現(xiàn)做出了明確預(yù)期�����。“這是一大關(guān)鍵性里程碑�,標(biāo)志著攻擊者與維護(hù)者之間的軍備競賽將就此展開����,”報告中提到����。“我們認(rèn)為IPv6DDoS攻擊在廣泛性及出現(xiàn)比例方面將隨時間推移而逐步上升����,因為IPv6本身的普及度正在穩(wěn)步提高�����。”而時至今日,這種預(yù)期已經(jīng)開始變成現(xiàn)實�����。
根據(jù)ArborNetworks高級軟件質(zhì)量保障工程師BillCerveny的說法,“在過去一段時間中�,IPv6網(wǎng)絡(luò)中出現(xiàn)的故障與問題往往被人們忽視甚至未能發(fā)現(xiàn)���,因為當(dāng)時沒人注意到(或是關(guān)心)這一點……這種關(guān)注度上的缺失又反過來促使攻擊者們將IPv6當(dāng)作實施攻擊的大好起點。盡管目前來看IPv6所遭受的攻擊頻率相對較低��、損失也較小��,但隨著普及度的逐漸提高�����,相信攻擊者們也將迅速跟上����,帶來更多令人頭痛的安全難題。”
這些攻擊現(xiàn)象背后還隱藏著另一個問題�����,即人們普遍相信IPv6比IPv4更為安全�����。的確,Cerveny援引的例子的確很說明問題:“美國政府機(jī)構(gòu)內(nèi)部的某個網(wǎng)絡(luò)安全團(tuán)隊日前宣布解散��,因為他們認(rèn)為IPv6比舊有網(wǎng)絡(luò)協(xié)議更加安全�。鑒于下一代互聯(lián)網(wǎng)協(xié)議自有的安全能力非常強(qiáng)大��,該團(tuán)隊認(rèn)為各類安全問題都將自行瓦解��,團(tuán)隊本身也就沒有必要繼續(xù)存在下去�����。”
他們代表了大多數(shù)用戶的想法�����,但需要強(qiáng)調(diào)的是��,這種觀點并不正確���。誠然,IPv6自身整合了互聯(lián)網(wǎng)協(xié)議安全性(簡稱IPsec)的諸多內(nèi)容�,不過光是一套協(xié)議根本無法保證萬全。IPv6的標(biāo)頭設(shè)計同樣有助于安全保護(hù)���,因為它能夠被用來為加密元數(shù)據(jù)與被加密的有效負(fù)載之間提供一套更加干凈利落的隔離機(jī)制��。此外�����,IPv6帶來的海量地址空間在經(jīng)過部署之后����,會使掃描攻擊在子網(wǎng)內(nèi)很難通過隨機(jī)地址分配方式為非作歹。然而�����,這一切效果的實現(xiàn)都取決于我們能否正確部署IPv6�����。就自身而言�����,IPv6與我們小時候裹在身上的厚毯子頗為相似���,如果不用心處理,那是半點保護(hù)作用也談不上的��。
正如來自云及IPv6集成業(yè)務(wù)企業(yè)Nephos6的JohnSpence所說:“大多數(shù)認(rèn)為IPv6比IPv4更加安全的想法�����,都源于RFC(即網(wǎng)絡(luò)請求注解)強(qiáng)制要求IPv6堆棧中包含IPsec支持;但無疑是一種太過簡單的看法(而且在最近發(fā)布的RFC6434中���,這一強(qiáng)制要求已經(jīng)被取消)�����。” 也就是說�,我們根本無法確定IPsec保護(hù)機(jī)制是否將作用于某些IPv6軟件及硬件上。
Spence還觀察到�����,“由于IPv6固有的自動轉(zhuǎn)換機(jī)制努力在為雙堆棧節(jié)點提供IPv6服務(wù)(例如WindowsVista或 Windows7)��,因此在表面上只部署了IPv4的設(shè)備往往正是IPv6安全漏洞的高發(fā)環(huán)境����。我將這種情況稱為‘IPv6意外部署’,因為此類狀態(tài)雖然未經(jīng)管理�����、癥狀隱晦�����,但卻很可能被攻擊者為利用�?�?偠灾?,在大多數(shù)設(shè)備上�,IPv6都處于默認(rèn)設(shè)置狀態(tài),所以即使是自己的機(jī)構(gòu)根本就沒有部署過 IPv6�����,我仍然呼吁大家盡快制訂一套相關(guān)安全規(guī)劃����。”
以上各類問題都是真實存在的���。幸運的是����,解決方案也將很快出臺��?;ヂ?lián)網(wǎng)工程任務(wù)組(簡稱IETF)已經(jīng)拿出一份草案——《IPv6路由器通告(簡稱RA)防護(hù)實施意見》,但項目尚處于進(jìn)展當(dāng)中���。
正如華盛頓城際網(wǎng)絡(luò)公司TachyonDynamics所指出的那樣���,目前“像WindowsXP�����、2003���、Vista、7以及2008等操作系統(tǒng)都沒有限制所監(jiān)聽路由器的數(shù)量�。而Linux及Mac設(shè)備則將監(jiān)聽對象的數(shù)量設(shè)定為15個,這才是正確的做法��。一旦有15個以上的不同RA發(fā)至設(shè)備����,Linux與Mac都能及時停止為其配置地址及路由。而在Windows系統(tǒng)中則不是這樣��,廣受好評的漏洞工具flood_router6正是由這一點出發(fā)�,在許多個人計算機(jī)上橫行無忌,并成為黑客首選IPv6攻擊工具包(簡稱THC-IPv6)中的一員���。Flood_router6基本上是在短時間內(nèi)向子網(wǎng)發(fā)送數(shù)以百萬計的�、各自擁有不同IPv6前綴的RA源地址�����。只在數(shù)秒之內(nèi),一臺功能齊備的Windows設(shè)備就會瞬間變磚��。
由于互聯(lián)網(wǎng)上針對IPv6系統(tǒng)的威脅如此之多�����,我們顯然應(yīng)該馬上行動起來脫離原本坐以待斃的狀況����,努力保證IPv6在自己的網(wǎng)絡(luò)中安全運作。此外�,Windows用戶必須明確一點:在未能徹底防范已知的各種IPv6攻擊之前��,不要輕易使用這套新興的網(wǎng)絡(luò)協(xié)議���。
