阻止IPv6? IPv6流氓信息源自何處
專家表示,許多美國機構的網絡中都隱藏著正在運行的IPv6信息,而且只有少數網絡管理員裝備有可察看、管理或阻止這些IPv6信息的設備。這種IPv6流氓信息中慢慢地開始包括了僵尸網絡命令與控制等攻擊信息。
Juniper聯盟的系統工程主管Tim LeMaster稱:“如果你無法監控自己網絡中的IPv6信息,那么IPv6將成為一個攻擊途徑。許多網絡管理員都不知道他們能夠允許一個用戶在主機上運行IPv6,并且部分用戶還可以在他們不知情的情況下向該主機發送惡意信息。”
由于缺乏IPv6防火墻、入侵偵測系統和網絡管理工具,多數美國網絡管理員都無法察覺到這些IPv6流氓信息。除非這些機構部署了能夠監測隧道信息的安全機制,否則IPv6信息可能通過隧道與IPv4連接,并偽裝成正常的IPv4數據包。
北美IPv6工作組技術主管和惠普知名技術專家Yanick Pouffary稱:“至少有一半的美國公司首席信息官不知道他們的網絡中有IPv6信息,但是黑客們卻對此了如指掌。你不能忽視這些IPv6信息,你需要采取行動保護你的網絡。你不僅需要部署能夠監測IPv4和IPv6信息的防火墻,還需要能夠分析IPv4和IPv6信息的網絡管理工具。”
思科的公共部門集團系統工程主管Dave West稱:“盡管《財富》500強中的多數公司并不考慮部署IPv6,但是他們的網絡中卻一直存在著IPv6信息。在今天,你可能不會將IPv6看做一個商業驅動力。但是無論與否,你的網絡中都在運行著IPv6。”
IPv6是互聯網主要通信協議IPv4的升級協議。與IPv4相比,IPv6有著更多的地址空間,具有針對流媒體和P2P程序的內嵌式安全與支援特性。通過十年的推廣,IPv6已經逐漸在美國被接受。目前已擁擠不堪的IPv4地址預計將在2011年補耗盡。在未來幾年內,美國國內的運營商和公司部署IPv6的壓力將逐漸增大。
如今,盡管基于IPv6的威脅并沒有得到充分的關注,但是這個威脅正在日益突顯。比如說,基于IPv6的攻擊已經在今年6月份召開的美國國家安全電信咨詢委員會會議上被提了出來。美國國家安全電信咨詢委員會是一個在網絡安全方面向白宮提供建議的高級行業團體。
Verizon公司高級互聯網工程師Jason Schiller稱:“我們已經發現大量基于IPv6的命令與控制信息。黑客們正在試圖用IPv6來突破監控。我們還發現大量的網絡中存在著基于IPv6的命令與控制信息。此外,我們還發現了能夠讓IPv6信息通過P2P傳輸的非法文件共享。”
IPv6流氓信息對于網絡管理員來說是一種新出現的威脅。對于機構來說,最大的風險是由于沒有看到升級至IPv6的商業驅動力,因此決定推遲部署IPv6。這種想法普遍存在于許多美國公司之中。
由于眾多美國聯邦機構已經在他們的骨干網絡上部署了IPv6,因此這些聯邦機構能夠較好地抵御基于IPv6的威脅。目前許多美國聯邦機構正在持續推進將IPv6與企業架構和資本投資進行整合的計劃。
美國標準與技術研究院計算機安全部門的計算機專家Sheila Frankel稱:“IPv6流氓信息是一個非常現實的威脅。許多公司的網絡中正在運行著IPv6信息,而這些公司并不知情。許多電腦和其它設備中在出廠時就已經帶有了激活的IPv6,如果你沒有做好防范IPv6攻擊的必要準備,那么這些IPv6信息將會給你的網絡中的所有設備制造麻煩。你不僅需要在網絡中做好防范IPv6攻擊的準備,還應當阻止這些IPv6流氓信息進出你的網絡。”
Frankel建議那些不想運行IPv6的機構購買能夠阻止自帶的和通過隧道傳輸IPv6信息的防火墻和入侵防范系統。他稱:“你不僅要阻止純IPv6信息,還要阻止那些打包在其它信息中的IPv6信息。網絡管理員應當意識到IPv6不僅可以通過IPv4信息建立隧道進行傳輸,而且可以通過其它不同類型的傳輸機制進行傳輸。這些網絡管理員還應當熟知阻止這些不同等級信息進行傳輸的必要措施。”#p#
IPv6流氓信息源自何處?
由于微軟VISTA、Windows Server 2008、Mac OS X、Linux和Solaris等許多操作系統在出廠時就已經默認激活了IPv6,因此這些IPv6信息可以進入你的網絡中。網絡管理員需要關閉網絡中每臺設備中的IPv6設置或讓這些設備無法接收和發送IPv6信息。
IPv6咨詢機構命令信息團體中的IPv6安全主管Joe Klein稱:“默認激活IPv6設置的系統大約有3億多個,這是一個很大的風險。”
專家指出,許多網絡管理員經常會忘記將網絡中的計算機、服務器和移動設備的IPv6默認設置關閉。與此同時,許多機構雖然安裝了基于IPv4的防火墻和網絡管理工具,但是這些防護工具不能自動阻止進入網絡的IPv6信息。
Klein稱:“我們目前發現最常見的IPv6攻擊環境是當你的網絡設備具有雙堆棧時,這意味著這些設備可以運行IPv4和IPv6。如果你僅安裝了IPv4防火墻,那么在你和攻擊者之間可以運行IPv6。攻擊者可以通過IPv6穿過防火墻,因為這時你的防火墻無法監測IPv6。”
另一個常見問題是IPv6信息可以通過Teredo或站點內部自動隧道尋址協議(ISATAP)等技術聯通IPv4。
Klein稱:“典型的IPv4安全設備無法監測IPv6隧道。這些安全設備對IPv6的防護非常弱。”他指出,網絡管理員在網絡中發現IPv6設備的唯一手段是運行IPv6。即便如此,網絡管理員也很難發現IPv6隧道。Klein稱:“你或許能夠發現3個最大的主要隧道,但是你根本無法發現全部的次要隧道。”
為了對付這些威脅,命令信息團體提供了一個名為Assure6的軟件。該軟件可以與深度信息包監測系統聯合工作,從而識別通過IPv4傳輸的IPv6信息。與此同時,McAfee也提供了一個可以對所有IPv6信息和隧道進行監控的網絡安全平臺。思科和Juniper則提供了激活IPv6的路由器、防火墻和一些允許網絡管理員設備IPv6安全策略的系統。
Klein稱,他每個月內都可以接到了一到兩個反映遭到IPv6流氓信息攻擊的求助電話。他稱:“我們設置的一個蜜罐(注:該技術會虛擬一臺有“缺陷”的電腦,等著惡意攻擊者上鉤)已經發現了僅使用IPv6攻擊的僵尸網絡。通過我們的路由器時,這些IPv6攻擊會將自己偽裝成IPv4。這些IPv6惡意信息會將通過位于遠東的僵尸網絡發動攻擊或發布惡意指令和控制信息。”
LeMaster指出,雖然目前IPv6攻擊還為數不多,但是已經出現了增長趨勢。他稱:“由于激活了IPv6的人并不算多,因此這類攻擊的目標并不像IPv4那么豐富。”
Frankel稱,基于IPv6的威脅目前已經非常普遍,每個網絡管理員都應當制定一個防范IPv6攻擊的計劃,以減少IPv6攻擊。他稱:“目前已經沒有人敢聲稱他們沒有遇到病毒和垃圾郵件的攻擊。如果我們忽視了IPv6攻擊,那么這類攻擊很快就會落到我們頭上。”#p#
阻止還是不阻止IPv6?
對于網絡管理員阻止IPv6信息或讓IPv6信息能夠接受監控是不是最好的辦法,專家們的意見并不一致。
許多專家認為如果機構不準備支持IPv6的話,那么他們應當通過激活IPv6設置的路由器、防火墻、入侵阻止系統和入侵偵測系統阻止IPv6信息進出網絡。
LeMaster稱:“網絡管理員應當制定一些對策來探測IPv6信息,看看這些IPv6信息是否隱藏在其它信息包中。通過安全事件管理解決方案,網絡管理員需要查看進入網絡的信息。他們需要讓這些隱藏的信息現身。如果他們看到了IPv6信息,他們需要發現這些IPv6信息來自哪個主機或將要去什么地方,然后將這些信息關閉。”
不過,這些專家承認,由于越來越多的客戶和商業伙伴開始支持IPv6,因此阻止IPv6信息是一個臨時的解決方案。
LeMaster指出:“如果你還沒有為IPv6做好準備,那么謹慎的方法是不允許這些IPv6信息進入你的網絡。不過,在未來五年里,你不應當阻止所在的IPv6信息。你在制定出對策和搞清楚威脅之前面,你唯一能做的就是阻止這些IPv6信息。”
專家指出,從長遠來看,最佳的解決方案是開始運行IPv6,這樣你就可以讓你的IPv6信息變為可見狀態,并且為新協議積累經驗。
命令信息團體的先進技術解決方案副總裁Lisa Donnan稱:“我們不推薦阻止IPv6信息。我們建議網絡管理員們審查和查找自己網絡中有多少IPv6設備和程序。如果你在自己的網絡中發現了IPv6信息,那么你應當為此制定一個計劃,訓練和執行IPv6。”
思科推薦他們的客戶對IPv6采用與IPv4相同的安全策略。這些安全策略將使用一個分層解決方案。West稱:“設置管理、設置控制和策略對于目前網絡中所有的IPv6設備來說都十分關鍵。設置管理是IPv6問題中的一個最大威脅。”
Frankel指出,目前公司應當開始著手訓練自己的雇員,讓雇員們熟悉并掌握IPv6,這樣一來這些雇員才能保護自己不受基于IPv6的攻擊。
他稱:“公司在IPv6方面至少應當有最低限度的專家指導意見,這些意見可以讓公司避免受到基于IPv6的攻擊。另一方面,這些公司還應當管理好自己的對外服務器,讓IPv6在這些服務器上運行,因為這些對外服務器相當于公司的防火墻。這樣一來,已經使用IPv6地址的亞洲客戶能夠訪問這些服務器,他們自己的雇員也會在IPv6方面獲得專家的指導意見,而這將成為整個進程中的第一步。”
此外,Frankel指出:“IPv6已經來臨。最好的辦法是提前做好面對它的準備,然后確定自己如何以最安全的方式應對它。”
【編輯推薦】
