理性擁抱IPv6：“開(kāi)門”需謹(jǐn)慎

任何事情都具有兩面性，有一利往往也必有一弊。就像IPv6，它為互聯(lián)網(wǎng)帶來(lái)了幾乎無(wú)限的IP地址資源的同時(shí)，也改變了互聯(lián)網(wǎng)的安全環(huán)境，讓更大的風(fēng)險(xiǎn)隨之而至。
從當(dāng)前所獲取的一些網(wǎng)絡(luò)攻擊事件的信息來(lái)看，盡管IPv4向IPv6的過(guò)渡才剛剛開(kāi)始，但一些攻擊者卻已經(jīng)開(kāi)始通過(guò)IPv6的基礎(chǔ)設(shè)施散布垃圾郵件，甚至利用IPv6的地址空間向IPv4網(wǎng)絡(luò)發(fā)起攻擊。
“看上去很美”的IPv6是否存在更大的安全黑洞？在熱情迎接IPv6的同時(shí)，我們是否看到了藏匿在過(guò)渡過(guò)程中的安全隱患？人們?cè)贗Pv4環(huán)境中積累的安全經(jīng)驗(yàn)是否也適用于IPv6?圖片
通過(guò)“認(rèn)證”就夠了嗎
三年前，一則關(guān)于“Windows Vista系統(tǒng)中所包含的Teredo技術(shù)存在潛在安全隱患”的消息，就曾暴露出一些IPv4向IPv6過(guò)渡中面臨的安全問(wèn)題。Teredo是一項(xiàng)地址分 配和自動(dòng)隧道技術(shù)，它能通過(guò)IPv4網(wǎng)絡(luò)傳遞IPv6流量，幫助客戶端實(shí)現(xiàn)對(duì)IPv4與IPv6協(xié)議的兼容。當(dāng)時(shí)就有安全專家指出，Teredo客戶端可 以在把IPv6數(shù)據(jù)包傳遞到另一目的地的同時(shí)，繞過(guò)基于網(wǎng)絡(luò)的源路由控制，穿透防火墻等安全設(shè)備，而在Vista系統(tǒng)下該功能還被默認(rèn)啟用，這種技術(shù)所形 成的安全漏洞很容易被黑客所利用。由于當(dāng)時(shí)沒(méi)有任何系統(tǒng)能夠有效過(guò)濾所有的Teredo數(shù)據(jù)包，專家只能建議網(wǎng)絡(luò)管理員先禁用Teredo功能，并倡議防 火墻、入侵檢測(cè)系統(tǒng)和路由器等廠商增加對(duì)Teredo協(xié)議的支持，以確保常規(guī)的網(wǎng)絡(luò)安全產(chǎn)品能夠過(guò)濾所有的Teredo數(shù)據(jù)包。
事實(shí)上，“Teredo事件”只是IPv6所帶來(lái)的安全隱患的一個(gè)縮影。因?yàn)槿赀^(guò) 后，Teredo的問(wèn)題還沒(méi)有被完全解決，大量類似的過(guò)渡技術(shù)卻開(kāi)始被更廣泛地使用(如6to4、SIT機(jī)制及基于IPv6的UDP通信等標(biāo)準(zhǔn)過(guò)渡方 式)，并且使用這些技術(shù)的相關(guān)產(chǎn)品還紛紛通過(guò)了IPv6認(rèn)證。這種狀況，不免讓記者對(duì)當(dāng)前大批掛著IPv6認(rèn)證標(biāo)志的網(wǎng)絡(luò)安全產(chǎn)品的真實(shí)效果感到擔(dān)憂。
Radware 安全產(chǎn)品總監(jiān)Ron Meyran告訴記者，雖然目前不少?gòu)S商都宣稱自己擁有通過(guò)了IPv6認(rèn)證的安全產(chǎn)品，但事實(shí)上許多廠商只是提供了一個(gè)特別的版本，僅是能夠支持與 IPv6網(wǎng)絡(luò)通信的能力或依靠某個(gè)License運(yùn)行，并不意味著這些產(chǎn)品能夠有效解決IPv6帶來(lái)的安全問(wèn)題。甚至很多安全產(chǎn)品在處理類似Teredo 的問(wèn)題時(shí)，不是存在局限性就是徹底無(wú)效。
他表示，即使是對(duì)于某些通過(guò)認(rèn)證的安全設(shè)備，企業(yè)也要慎重選擇。在不了解它們的運(yùn)作機(jī)制 前，不能盲目采購(gòu)。比如，企業(yè)依舊需要檢測(cè)防火墻是否可以讓一些未經(jīng)檢查的IPv6流量輕松通過(guò)，而不是將其視為非IPv6應(yīng)用版加以攔截、檢 查；IPv6流量是否可以繞過(guò)多個(gè)深層數(shù)據(jù)包引擎的硬件組件等。此外，由于IPv6地址的長(zhǎng)度是IPv4的4倍，會(huì)因此顯著影響網(wǎng)絡(luò)安全產(chǎn)品的流量處理速 度。這個(gè)特點(diǎn)，也可以幫助大家判斷出相關(guān)安全產(chǎn)品支持IPv6的真?zhèn)巍?br /> 注意它的先天不足
和IPv4相比，IPv6在設(shè)計(jì)之初，就對(duì)安全問(wèn)題做出了更多的考慮。借助 IPSec(Internet 協(xié)議安全性)，IPv6的安全性能確實(shí)得以改善。但是，近來(lái)發(fā)生的網(wǎng)絡(luò)攻擊事件顯示，IPSec并不能處理IPv6網(wǎng)絡(luò)中的所有漏洞問(wèn)題。而對(duì)比 IPv4，新的網(wǎng)絡(luò)環(huán)境要更為復(fù)雜，所產(chǎn)生的網(wǎng)絡(luò)漏洞也更難預(yù)料。例如，攻擊者的IPv6路由器可以使用虛假?gòu)V告，為網(wǎng)絡(luò)中已啟用IPv6的設(shè)備自動(dòng)創(chuàng)建 新的IPv6地址；一些過(guò)渡機(jī)制使IPv6與IPv4網(wǎng)絡(luò)之間可以相互影響，反而為網(wǎng)絡(luò)攻擊者提供了更豐富的可利用的資源；過(guò)渡工具可以為各種IPv4應(yīng) 用提供連接到IPv6服務(wù)的連接方式，IPv6應(yīng)用也可連接到IPv4服務(wù)，這種狀況可以讓網(wǎng)絡(luò)攻擊變得更為瘋狂；IPv6地址的長(zhǎng)度也會(huì)成為攻擊者借助 的有力工具，因?yàn)榛贗Pv6的流量過(guò)濾將增加安全設(shè)備CPU的負(fù)擔(dān)，攻擊者發(fā)起的DDoS攻擊所產(chǎn)生的流量，將比以往更易導(dǎo)致網(wǎng)絡(luò)設(shè)備和服務(wù)器的癱瘓。
而且，盡管IPv6的內(nèi)部加密機(jī)制是為用戶與服務(wù)器之間的交流提供身份認(rèn)證與保密功能的，但該功 能卻給防火墻和IPS也“下了絆兒”。它令攻擊者得以利用加密機(jī)制繞過(guò)防火墻和IPS檢查，直接向服務(wù)器發(fā)起攻擊，原因正在于這些安全設(shè)備無(wú)法檢測(cè)加密內(nèi) 容。Ron Meyran指出，攻擊者還可以利用Teredo、6to4、ISATAP等IPv6協(xié)議機(jī)制偽裝各種進(jìn)攻。攻擊者會(huì)讓允許通過(guò)的信息包看上去跟正常的 IPv4流量毫無(wú)差別，只有通過(guò)防火墻和IPS的準(zhǔn)確核實(shí)，才能通過(guò)深度包檢測(cè)技術(shù)(DPI)對(duì)IPv6流量完成內(nèi)容檢測(cè)?！澳壳埃軌蛑С諭Pv6并可 真正執(zhí)行IPv6 DPI的IPS產(chǎn)品和防火墻產(chǎn)品為數(shù)不多。如果沒(méi)有部署其他安全設(shè)備或邊界安全網(wǎng)關(guān)，攻擊者很可能利用這一疏忽，借助IPv6數(shù)據(jù)包進(jìn)入企業(yè)核心網(wǎng)絡(luò)?！?br /> 除此之外，IPv6重定向協(xié)議中存在的安全隱患也非常值得人們關(guān)注。在IPv6協(xié)議中， 重定向報(bào)文的主要作用是為局域網(wǎng)內(nèi)的節(jié)點(diǎn)提供正確的路由選擇。IPv6重定向協(xié)議本身的主要功能是保證主機(jī)擁有動(dòng)態(tài)的、小而優(yōu)的路由表，以提高報(bào)文的轉(zhuǎn)發(fā) 效率。但是，由于IPv6重定向協(xié)議缺乏源地址認(rèn)證，對(duì)于局域網(wǎng)中的惡意節(jié)點(diǎn)來(lái)說(shuō)，就可以利用IPv6重定向報(bào)文實(shí)現(xiàn)數(shù)據(jù)報(bào)的非法重定向，從而實(shí)現(xiàn)多種攻 擊措施。比如，它首先偽裝路由器，然后再發(fā)送Redir報(bào)文告訴被攻擊者：發(fā)往某個(gè)外網(wǎng)節(jié)點(diǎn)的數(shù)據(jù)包，走自己這條路由更好，那么被攻擊節(jié)點(diǎn)就會(huì)將數(shù)據(jù)包交 由惡意節(jié)點(diǎn)轉(zhuǎn)發(fā)，而惡意節(jié)點(diǎn)則可以不轉(zhuǎn)發(fā)并禁止其通信，或是進(jìn)行篡改。
當(dāng)心“不聽(tīng)話”的IPv6
在從IPV4向IPV6過(guò)渡的過(guò)程中，企業(yè)將面臨更多的對(duì)信息安全問(wèn)題以及對(duì)信息安全體系的重新理解和調(diào)整。
首先，為了實(shí)現(xiàn)IPv4與IPv6的無(wú)縫兼容，很多IPv6設(shè)備都內(nèi)置了各種無(wú)狀態(tài)的自 動(dòng)配置功能，而這樣的網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)管理員而言卻成了不可控的設(shè)備。管理員將難以察覺(jué)哪些網(wǎng)絡(luò)設(shè)備是失控的，而攻擊者卻可以利用這種情況下手。比如攻擊者 可以輕易控制一個(gè)行為失常的網(wǎng)絡(luò)設(shè)備讓其修改或降低流量，卻不會(huì)被網(wǎng)絡(luò)管理員發(fā)覺(jué)。IPv6帶來(lái)的這類風(fēng)險(xiǎn)，恐怕很多網(wǎng)絡(luò)管理員還沒(méi)有料到。
其次，在企業(yè)迎接IPv6的同時(shí)，IT管理的難度也會(huì)隨之增加。Sophos技術(shù)策略主 管James Lyne告訴記者，有些對(duì)IPv6流量不感興趣的企業(yè)，希望設(shè)立明確的規(guī)則來(lái)嚴(yán)格阻止IPv6數(shù)據(jù)包。而IT管理人員必須要知道“如何與IPv6對(duì)話”才 能編寫相應(yīng)的規(guī)則來(lái)處理該協(xié)議。[!--empirenews.page--]
同時(shí)，James Lyne也指出了當(dāng)前的一些問(wèn)題。他認(rèn)為，目前業(yè)內(nèi)對(duì)于IPv6協(xié)議的內(nèi)置功能如何幫助用戶提高隱私保護(hù)方面的問(wèn)題的探討寥寥無(wú)幾，而是更多的把目光聚焦 于如何更快捷地部署IPv6，這讓很多不安全的協(xié)議、標(biāo)準(zhǔn)、技術(shù)被不計(jì)后果的廣泛采用，企業(yè)在這樣的過(guò)渡環(huán)境中很容易受到攻擊。
相對(duì)于人們?cè)贗Pv4上積累的安全經(jīng)驗(yàn)來(lái)說(shuō)，業(yè)界在IPv6安全方面的經(jīng)驗(yàn)還有所不足。在逐漸引入IPv6的日子里，所有的網(wǎng)絡(luò)設(shè)備都不得不支持兩個(gè)版本的網(wǎng)絡(luò)協(xié)議，因此增加的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)很可能導(dǎo)致巨大的損失。在看清IPv6之前，人們的警惕與熱情顯然需要并存。