分析稱企業應警惕IPv6所帶來的安全風險
關于IPv4網址何時最終用盡的預測,就像關于世界末日何時到來的預測一樣,永無休止。但是一些IT安全專家卻說這樣的擔憂不值一提。
他們說,更大的問題在于,當全世界開始改用IPv6網址時,很多商業機構的安全漏洞將隨之顯現。
這是改用IPv6網址后應該關注的重要問題,但是卻淹沒在相關機構對IPv6的大肆宣傳中。他們宣傳的焦點是:由于網絡用戶、網絡設備和網絡服務的激增,IPv4分配給每個上網設備的IP地址將如何消耗殆盡。
IPv6將提供比IPv4多40億倍的IP地址,完全可以解決上述問題,但是解決問題的過程中,網絡攻擊可能會趁虛而入。因為黑客使用IPv6能輕松越過為IPv4設計和構建的安全控件和過濾器。
雖然在中國向IPv6的轉換可能會在2011年完成,但在美國和其他地方至少要再過兩年才能完成。因此,較之確保網絡設施足以支持IPv6,安全威脅就成了更加迫在眉睫的嚴重問題。
隨著應用的普及,IPv6攻擊可能會增加
McAfee公司歐洲、中東、非洲首席技術官RajSamani說,現在IPv6攻擊的數量相對較小,但是隨著IPv6的廣泛使用,攻擊數量和黑客對其的關注很有可能增加。
安全技術公司Sophos技術戰略總監JamesLyne說,很多公司紛紛采用IPv6是因為它具有更快的速度和更高的效率,但如果沒有對他們的網絡防護進行相應升級,危險就產生了。
然而更大的危險可能在于,公司在完全不知道的情況下使用IPv6,因為大部分最新版的網絡硬件設備和操作系統恰巧都是支持IPv6的。
“任何一個使用WindowsServer2008、Windows7、甚至是MacOSX操作系統和很多應用程序(包括Skype在內)的公司,都可能會在毫不知情的情況下使用IPv6”,JamesLyne說。
安全技術研究者發現,基于IPv6且具有指令和控制功能的惡意軟件已經開始傳播。由于缺乏對IPv6的關注,此類軟件完全可以越過現有保護程序。
IPv6使用一種完全不同的IP地址序列,這就意味著網絡邊界的概念將不再存在,因為僅僅需要一個IP地址就可以在世界任何地方工作。
Lyne說,層級被重新設計,因此危險在于企業會用操作IPv4的方法應用IPv6。
他說:“公司應用IPv6的最大收獲就是解決了IP地址匱乏的問題,但代價是暴露了一大堆安全隱患,同時也沒有充分利用IPv6處理大規模數據包的能力并從中獲益。”
Lyne還警告說,由于缺乏認真的規劃,企業很可能無意間同時應用IPv4和IPv6,這將使他們設置的安全措施完全失效。
IPv6的安全優勢
Lyne對有些IPv6支持者的做法頗有微詞,他們推廣IPv6僅考慮增加的IP地址和良好的表現,卻忽略了其內在的安全優勢,比如網際安全協議(IPsec)。該協議最初是為IPv6開發的,后來也改版供IPv4使用。
他說:“IPsec(安全協議)在IPv4系統是可選項,在IPv6系統是必選項,跟系統是一個整體,它使黑客進行的中間人攻擊難以實現。”
加密也是必選項,它會自動進行比IPv4更高一級的數據保護。與IPv4不同,IPv6是從零開始全新的創造,所以能夠進行端對端加密。
應用于現有虛擬網絡上的加密和整體性檢查在IPv6中是標準組件,供所有連接使用,由所有兼容的設備和系統支持。
移動設備上網的安全性方面,IPv6也更有優勢。Lyne說,因為每個設備可以自始至終使用一個IP地址,這樣企業就能夠為每個設備定義一個安全政策,并且這一政策適用于該設備在任何地方的使用。
充足的IP地址可以為企業提供一個自己的IP地址專區,這會帶來另外一個安全優勢。Lyne說,有了這樣受控于本公司的IP專區,公司能夠對所有相關的IP地址運用安全政策,并且控制整個操作過程。
有了全球范圍內可用且充足的IPv6地址,企業就可以為特定使用者(不管是顧客、合作伙伴還是在別處的員工)創造特殊服務。
BlueCoat公司首席科學家和高級技術專家李青說:“每項服務都有周密的安全措施和準入政策作保證,這樣就簡化了系統外部的支持和維護工作。”
IPv6的安全挑戰
從管理的角度來說,擁有相當數量的IP地址對公司很有益,但是也為網絡犯罪提供了溫床。犯罪分子不僅可以頻繁地轉換IP地址——這樣很難追蹤到他們——而且很多現有的安全防控措施都將失效。
Lyne說,他估計目前各公司使用的網絡過濾工具90%都依賴黑名單,這確實是個問題。一旦全世界改用IPv6,犯罪分子能夠以極快的速度轉換IP地址,這會對黑名單、甚至灰名單、白名單的有效性帶來巨大挑戰。
現在不僅老的技術面臨潛在的安全威脅,老的技術人員也是。
McAfee的RajSamani說:“需要引起注意的是,大部分安全專家和網絡工程師對保護IPv4網絡更為熟悉,所以當我們轉換到IPv6以后,真正的風險是缺乏相應的技術人才。”
BlueCoat的李青指出,很多IT經理沒有機會進修該技術的相關知識,過去也沒有經歷過這樣的轉變。
他說:“所以轉換過程很有可能制造安全漏洞,而最有可能出現的危險是在為IPv6制定使用和安全政策的時候。并不是現在應用于IPv4環境下的所有政策和規則都能簡單地轉換到IPv6環境。相反,它們都需要重寫。缺乏操作層面的專家指導,IT經理在編寫新政策時一不小心就會制造出安全漏洞。”
而且在傳統的IPv4架構中,找到一個網絡地址轉換設備很平常,這樣就看不出內部網絡的結構,但在IPv6網絡中很難找到一個同樣功能的網絡地址轉換設備。
李先生說:“因此,過去IT經理管理的私人地址最終都將轉換為一個單一的公共地址。而現在IT工作者面臨的是大規模的公共地址管理,必須找到防止內部使用者建立通向外界的安全渠道,因為這些渠道可能會為公司造成損失。”
如何避免IPv6的安全陷阱
Lyne說向IPv6的轉換是一個重要的機會,可以規避在實施IPv5和SSL過程中出現的錯誤。比如,新的IP地址分配程序更加嚴格,需要申請者證明從事的是合法生意,這種分配方式有助于解決迅速轉換IP地址產生的問題。但是,他說,由于缺乏一個公認的網絡權威機構,勢必會產生一種風險,就是IPv6的實施會缺少協調和協作,像IPv4和SSL,完全按照系統操作,缺乏整體思維。而整體思維恰恰又是必要的,有了整體思維才能確保網絡盡可能安全可靠,盡可能少得給犯罪分子創造有機可乘的漏洞。
IPv6給安全技術提供商造成的挑戰之一是他們不得不重寫防火墻,但是,Lyne說,情況同上,由于沒有任何一個機構制定關于如何部署IPv6的時間表,工作的確切方法和要求只能根據情況隨時變化。安全技術提供商不能準確了解IPv6如何運行,很可能會為網絡罪犯制造更多機會。
Lyne說,IPv6不歸任何一個組織所有也是普及較慢的重要原因之一,雖然它的速度、效率和安全性都大大優于IPv4。雖然商業界仍在按兵不動,網絡罪犯卻在積極部署,充分將IPv6的速度、效率等優勢應用于他們的僵尸網絡或者已被劫持的電腦網絡。Lyne說:“幾乎沒有人過濾IPv6或者根本不知道怎么過濾,網絡罪犯就是鉆了這個空子。”
IPv6的強制加密是個好事,它會降低數據泄露的可能性。但這是一把雙刃劍,一旦向IPv6的轉換完成,政府機構會發現他們對網絡的監控能力嚴重降低,這對政府是一個挑戰。
IPv6用戶的未來之路
在轉換階段,Lyne建議公司對IPv6網絡做好充足的準備,并且對網絡中的所有安全過濾器和防控軟件進行升級,在此之前需關閉網絡。
McAee公司的RajSamani說,針對公司面臨的有關IPv6攻擊的技術問題,首席信息官們應該注意劣質的IPv6設備,內置ICMP和多點廣播等。
Lyne說,轉換到新網絡不會很快,所以部分應用需要使用網絡隧道通過IPv4傳輸IPv6,而這種工作模式可能又會形成混亂、錯誤配置和安全漏洞。
很重要的是各公司要了解是否他們的網絡安全解決方案能夠評估、分析IPv6的內容,因為沒有這種能力,使用者很容易受到攻擊。
BlueCoat公司的李青說:“IPv6為網絡攻擊提供了一個更強大的界面,所以更需要時時防護。在IPv4環境下,我們已經見識到威力很強的惡意攻擊可達到每天1500次,而且我們預計采用IPv6以后這個趨勢還會加強,數量還會增加。”
他認為用一個星期甚至僅僅24小時來分析請求并更新數據庫都會給惡意軟件制造可乘之機。
為了切實保護他們的用戶,公司需要一個網絡安全防護系統,在請求一出現就迅速進行分析,一旦發現新危險立即采取保護措施。由于現在各公司的單個用戶可能會被分配一個全球的IPv6地址同時創建加密通道,這就需要IT經理能夠想到并能進入這個加密通道并清除安全威脅。
Lyne說,從上世紀80年代初開始,向IPv6的轉換就呈現出不可避免的趨勢,只是大家都忽略了。不久的將來雖然IPv6還不能馬上成為壟斷標準,但是各企業必須從現在開始規劃,儲備技術和硬件,以便保證轉換的順利進行。
他還說,公司必須對這個問題有前瞻性,現在就要求網絡硬件供應商為其職能固定IPv6戰略。“公司必須保證現在購買的任何硬件都是與IPv6兼容的,當轉換時代真的到來時就萬事俱備了。”
“我們不得不這樣做,這也讓我們可以利用這次機會吸取使用IPv4的經驗教訓,在安全方面提前做好細致的布局”,Lyne說。
向IPv6的轉換不是一件容易的事,需要周密的考慮和準備,因為如果轉換不正確或者不完全,就會在網絡中留下安全漏洞。
【編輯推薦】
