IPv6——黑客的下一個攻擊目標
你可以按照自己的意愿推遲IPv6策略的部署,但是你必須應當馬上著手解決IPv6存在的安全隱患。
如果你計劃將IPv6與IPv4進行雙堆棧配置,那么在安全方面你不能掉以輕心。如果你考慮全面轉向IPv6,這也并不代表你就可以高枕無憂。
最大的潛在安全威脅在于企業網絡上已經接入了大量具備IPv6功能的設備,包括所有運行WindowsVista、Windows7、MacOS/X、Linux和BSD設備。
與以前IPv4需要DHCP不同,IPv6不需要人工配置。思科杰出系統工程師,《IPv6安全》一書的合著者EricVyncke稱,這種無狀態的自動配置特點意味著“支持IPv6的設備只需單一的路由通告即可識別自己在網絡上的身份”。
他提醒稱:“僅支持IPv4的路由器和交換機無法對IPv6設備通告進行識別或做出回應,但是一個流氓IPv6路由器能夠發送并解譯這種信息。”
無狀態自動配置允許支持IPv6的設備與其它的IPv6網絡設備和在同一LAN中的服務進行通信。通過這一程序,設備能夠通告自己的位置,并可通過IPv6鄰居發現協議(NDP)被定位。
但是如果不加管理,NDP可能會將鄰近的設備暴露給那些急于收集網絡內部信息的黑客,甚至允許這些設備被接管并變成“僵尸”。
Vyncke警告這種威脅是真實存在的。他稱:“我們在全球范圍內進行了觀察,這些僵尸機器正在越來越多的使用IPv6作為與僵尸主控機進行通信的隱蔽渠道。”在許多偽裝中,支持IPv6的惡意軟件能夠在一個或多個IPv4信息中封裝惡意負載。如果沒有數據包深度探測等符合IPv6規范的安全措施,這類負載通過穿透IPv4邊界,而DMZ防御卻無法探測出來。
安全鄰居發現協議(SEND)為IETF針對流氓RA和NDP欺騙等Layer-2層IPv6威脅所開發的解決方案,這些威脅相當于IPv4威脅中的流氓DHCP和ARP欺騙。盡管微軟和蘋果等知名廠商并不支持SEND,但是一些操作系統廠商已經開始對SEND提供支持。
思科和IETF正在為IPv6制定安全措施,這些措施與目前在用的保護IPv4免受這類威脅侵害的措施相似。
IETF已經成立了一個SAVI(源地址認證)工作小組。思科始于2010年的IOS升級計劃目前也已經進入到了第三階段,預計將在2012年開始全面實施。
Vyncke強調,許多常見的IPv6安全風險是由于終端用戶設備在網絡中配置不當產生的,正確的配置和IPv6安全措施能夠消除許多這類風險。他解釋稱:“這類問題的解決辦法是部署原生IPv6,以在同一水平上保護IPv6信息,應對你已經在IPv4上成功防御過的同類威脅。”
IPSec安全神話
目前普遍認為,IPv6天生就比IPv4要安全,因為在IPv6中IPSec支持是強制性的。Vyncke稱:“這個神話需要被揭穿。”
他指出,除去大范圍部署IPSec所面臨的實際挑戰之外,由于(路由器/交換機/防火墻)設備無法看到IPSec封裝的信息內容,導致它們的重要安全功能受到了影響。
出于這一原因,作為IETF活躍成員和《RFC3585》一書作者的Vyncke稱,一個IETF工作小組正在考慮在IPv6部署中將IPSec支持由“必須”調整為“推薦”。
關于禁止IPv6,Vyncke認為這是一個非常糟糕的主意,其原因有兩個。首先,微軟表示在Windows2008中禁止IPv6是因為配置不支持。Vyncke稱,禁止IPv6的做法是一個不切明智的策略,這將導致IPv6的部署不可避免的出現拖延。其次,無論IT部門愿意與否,支持IPv6的設備已經開始在網絡中大量出現,這將導致安全形勢出現惡化。
發展動力
除去威脅以外,IPv6的商業部署案例正在越來越多,IPv6已經無法繼續被忽視。由于許多國際客戶的網絡已經不再支持IPv4,銀行和在線券商正在失去與這些客戶的聯系,為此銀行和在線券商已經開始正視這一挑戰。
西班牙電信和T-Mobile等公司已經開始大規模部署IPv6,尤其是在歐洲地區。美國政府目前也已經開始向IPv6過渡,同時他們還呼吁提供商和廠商提供更多的IPv6產品和服務。
博科通訊系統公司產品管理總監KeithStewart稱:“你永遠不希望自己處于無法與客戶互動的困境之中。”通過與網絡廠商分享觀點,Stewart發現向IPv6過渡已經成為了一個大趨勢。
Stewart稱:“在互聯網中整體升級為IPv6既不現實也無法辦到。客戶需求一個平衡的、實際的解決方案”。他指出,由于服務提供商消耗地址的速度最快,因此他們是首批升級至IPv6的團體,其次是谷歌和臉譜等內容服務商,最后才是終端用戶,因為這些終端用戶的家庭路由器有99%是基于IPv4協議研發的。
在向IPv6過渡的同時,博科也在部署負載平衡器,向對公服務提供IPv6翻譯,在內部網絡中保留IPv4連接。
瞻博網絡公司稱,迄今為止,在申請IPv6服務的客戶中,大部分來自教育和政府部門,尤其是需要遵守聯邦IPv6命令的大學研究實驗室和政府機構。
瞻博網絡公司預測,2012年IPv6將更為活躍,特別是在服務提供商中。該公司軟件工程總監AlainDurand稱:“對于我們在全球的客戶來說,IPv4地址枯竭日益成為一個非常嚴重的問題。”Durand預測,大部分IPv6部署都將是一些小項目,它們在現有的IPv4對公服務中采用雙堆棧解決方案以增加IPv6功能。他稱:“為了解決IPv4地址短缺問題,客戶經常會選擇增加一個NAT層。”
盡管目前還無法準確預測IPv4地址將于何時枯竭,但是亞太互聯網絡信息中心(APNIC)首席科學家GeoffHuston根據IANA和區域互聯網注冊管理機構公布的數據分析,剩余的IPv4地址將在2014年被徹底用完。
不過,需要注意的是Huston的分析忽略了那些私營公司手中保留的地址,這些地址未來可能會被拿出來使用或被出售。比如,微軟在近期收購北電資產的過程獲得了超過60萬個IPv4地址。在近期的評估當中,這部分IPv4地址沒有被考慮在內,許多業內人員預測隨著IPv4地址供應短缺,升級成本將會上漲。
由于沒有可供借鑒的最佳IPv6轉型實踐,許多網絡經理并不愿意主動采取行動。盡管安全問題以及擔心無法與已向僅支持IPv6系統過渡的客戶通信的問題日益突出,但是保持觀望并等待他人探路可能并不是一個明智的態度。
明智的做法是在規劃階段與能夠提供架構和安全指導的值得信賴的網絡廠商建立或重新建立聯系,共同在眾多的IPv6過渡方案中找到一個切實可行的方案。
【編輯推薦】