ISP和Web公司成立World IPv6 Launch Day已經(jīng)有一年的時(shí)間了，Akamai報(bào)告稱(chēng)在IPv6內(nèi)容傳輸平臺(tái)上的IPv6流量已經(jīng)增長(zhǎng)了250%，每天發(fā)送的請(qǐng)求達(dá)到了100億。盡管這種流量仍然遠(yuǎn)在IPv4之后，但是仍在持續(xù)增長(zhǎng)中，與此同時(shí)，對(duì)于IPv6的的誤解一直影響著此協(xié)議的部署以及企業(yè)網(wǎng)絡(luò)的安全。

在與多位安全和網(wǎng)絡(luò)專(zhuān)家交談過(guò)后，Network Computing列出了四個(gè)常見(jiàn)的IPv6安全誤區(qū)。

1. 在僅支持IPv4的網(wǎng)絡(luò)不需要提供IPv6防御

第一個(gè)與IPv6相關(guān)的誤解其實(shí)與IPv4的關(guān)系更勝一籌，與IPv4網(wǎng)絡(luò)有關(guān)的組織或許認(rèn)為他們不會(huì)受到基于IPv6的攻擊，但是專(zhuān)家稱(chēng)情況并非如此，“IPv6已經(jīng)有幾年歷史，最新的操作系統(tǒng)和移動(dòng)設(shè)備都已經(jīng)準(zhǔn)備好接受IPv6網(wǎng)絡(luò)了，”Tenable Network Security CEO Ron Gula說(shuō)。“這意味著，如果你要運(yùn)行或者審核一個(gè)IPv4網(wǎng)絡(luò)，就會(huì)有很多系統(tǒng)希望通過(guò)IPv6跟你對(duì)話(huà)。這為黑客和惡意軟件提供了很多機(jī)會(huì)。”

Rapid 7 首席研究師HD Moore稱(chēng)，每一個(gè)現(xiàn)代操作系統(tǒng)—— 包括Windows，Mac OS X，Ubuntu Linux，iOS和安卓——都是默認(rèn)啟用IPv6，“Windows Homegroup的特性專(zhuān)門(mén)用TCP做本地網(wǎng)絡(luò)管理。每個(gè)啟用了IPv6的系統(tǒng)都有一個(gè)本地網(wǎng)絡(luò)的其他機(jī)器都可連接的‘link-local’地址”。這樣，入侵者就可以接入本地網(wǎng)絡(luò)——直接訪問(wèn)或是通過(guò)被破壞的IPv4系統(tǒng)連接——這樣就可以接入或攻擊IPv6界面。

Johannes Ullrich說(shuō)，啟用了IPv6卻沒(méi)對(duì)其進(jìn)行控制，企業(yè)等于是把自己暴露在威脅之下，他是SANS學(xué)會(huì)的研究主任，最近，我一直都在嘗試一種特殊的攻擊，這種攻擊對(duì)于使用VPN從受信任網(wǎng)絡(luò)連接企業(yè)資源的的公司系統(tǒng)而言是個(gè)頭疼的問(wèn)題，”Ullrich說(shuō)。“例如，一名出差的員工從酒店無(wú)線網(wǎng)絡(luò)連接互聯(lián)網(wǎng)，并創(chuàng)建一個(gè)VPN隧道連接到公司網(wǎng)絡(luò)。這種VPN只會(huì)轉(zhuǎn)發(fā)IPv4數(shù)據(jù)流。攻擊者可以在酒店網(wǎng)絡(luò)中創(chuàng)建一個(gè)IPv6路由器，為主機(jī)指定一個(gè)IPv6地址，提供一個(gè)支持IPv6協(xié)議的DNS服務(wù)器。這樣一來(lái)，攻擊者就能阻止數(shù)據(jù)通過(guò)VPN，供其破譯。”

2. 帶強(qiáng)制IPSec的IPv6 比IPv4安全

外界廣泛認(rèn)為IPv6的一個(gè)優(yōu)勢(shì)是對(duì)IPSec支持，但其實(shí)它們存在差別。雖然IPv6支持用于傳輸加密的IPSec，但并非強(qiáng)制使用IPSec，而且也不是默認(rèn)設(shè)置，Moore說(shuō)：“即便是在已經(jīng)啟用的情況下，IPSec也要求確保大量配置的安全，”

3. IPv6可阻止中間人攻擊

由于IPv6不適用ARP(Address Resolution Protocol)協(xié)議，假定它可以阻止中間人攻擊，事實(shí)上，IPv6使用ICMPv6來(lái)部署Neighbor Discovery協(xié)議，這個(gè)協(xié)議可以為本地地址替換ARP，Neighbor Discovery協(xié)議和ARP一樣容易受到中間人攻擊。

Moore表示，“某個(gè)被破壞的內(nèi)部節(jié)點(diǎn)可能通過(guò)一條簡(jiǎn)單的路由公告就把所有本地設(shè)備都暴露到全球IPv6網(wǎng)絡(luò)，”。

4. IPv6沒(méi)有IPv4安全

一些人誤以為IPv6非常安全的同時(shí)，還有些人認(rèn)為IPv6因?yàn)槿狈AT，所以比IPv4的安全性能要弱，“網(wǎng)絡(luò)地址轉(zhuǎn)換(RFC 1918)是一種可以讓各個(gè)組織把私有，不可路由的IPv4地址分配到各個(gè)設(shè)備，然后通過(guò)公共IPv4地址的有限數(shù)字為這些設(shè)備提供網(wǎng)絡(luò)連接，”Neohapsis聯(lián)合安全顧問(wèn)說(shuō)。

“盡管如此，私有選址被誤認(rèn)為是一項(xiàng)安全特性，而它的遺漏也常被視為不部署IPv6的原因，”他補(bǔ)充道。“IPv6擴(kuò)展的地址庫(kù)解決了NAT解決的問(wèn)題。NAT部署真正的安全性是同時(shí)使用對(duì)內(nèi)流量的靜態(tài)檢測(cè)。只要訪問(wèn)控制做得好，那么相對(duì)于 NAT而言，IPv6的安全防護(hù)性能其實(shí)變化不大。”