关于IPv4网址何时最终用尽的预测,就像关于世界末日何时到来的预测一样,永无休止。但是一些IT安全专家却说这样的担忧不值一提。
他们说,更大的问题在于,当全世界开始改用IPv6网址时,很多商业机构的安全漏洞将随之显现。
这是改用IPv6网址后应该关注的重要问题,但是却淹没在相关机构对IPv6的大肆宣传中。他们宣传的焦点是:由于网络用户、网络设备和网络服务的激增,IPv4分配给每个上网设备的IP地址将如何消耗殆尽。
IPv6将提供比IPv4多40亿倍的IP地址,完全可以解决上述问题,但是解决问题的过程中,网络攻击可能会趁虚而入。因为黑客使用IPv6能轻松越过为IPv4设计和构建的安全控件和过滤器。
虽然在中国向IPv6的转换可能会在2011年完成,但在美国和其他地方至少要再过两年才能完成。因此,较之确保网络设施足以支持IPv6,安全威胁就成了更加迫在眉睫的严重问题。
随着应用的普及,IPv6攻击可能会增加
McAfee公司欧洲、中东、非洲首席技术官RajSamani说,现在IPv6攻击的数量相对较小,但是随着IPv6的广泛使用,攻击数量和黑客对其的关注很有可能增加。
安全技术公司Sophos技术战略总监JamesLyne说,很多公司纷纷采用IPv6是因为它具有更快的速度和更高的效率,但如果没有对他们的网络防护进行相应升级,危险就产生了。
然而更大的危险可能在于,公司在完全不知道的情况下使用IPv6,因为大部分最新版的网络硬件设备和操作系统恰巧都是支持IPv6的。
“任何一个使用WindowsServer2008、Windows7、甚至是MacOSX操作系统和很多应用程序(包括Skype在内)的公司,都可能会在毫不知情的情况下使用IPv6”,JamesLyne说。
安全技术研究者发现,基于IPv6且具有指令和控制功能的恶意软件已经开始传播。由于缺乏对IPv6的关注,此类软件完全可以越过现有保护程序。
IPv6使用一种完全不同的IP地址序列,这就意味着网络边界的概念将不再存在,因为仅仅需要一个IP地址就可以在世界任何地方工作。
Lyne说,层级被重新设计,因此危险在于企业会用操作IPv4的方法应用IPv6。
他说:“公司应用IPv6的最大收获就是解决了IP地址匮乏的问题,但代价是暴露了一大堆安全隐患,同时也没有充分利用IPv6处理大规模数据包的能力并从中获益。”
Lyne还警告说,由于缺乏认真的规划,企业很可能无意间同时应用IPv4和IPv6,这将使他们设置的安全措施完全失效。
IPv6的安全优势
Lyne对有些IPv6支持者的做法颇有微词,他们推广IPv6仅考虑增加的IP地址和良好的表现,却忽略了其内在的安全优势,比如网际安全协议(IPsec)。该协议最初是为IPv6开发的,后来也改版供IPv4使用。
他说:“IPsec(安全协议)在IPv4系统是可选项,在IPv6系统是必选项,跟系统是一个整体,它使黑客进行的中间人攻击难以实现。”
加密也是必选项,它会自动进行比IPv4更高一级的数据保护。与IPv4不同,IPv6是从零开始全新的创造,所以能够进行端对端加密。
应用于现有虚拟网络上的加密和整体性检查在IPv6中是标准组件,供所有连接使用,由所有兼容的设备和系统支持。
移动设备上网的安全性方面,IPv6也更有优势。Lyne说,因为每个设备可以自始至终使用一个IP地址,这样企业就能够为每个设备定义一个安全政策,并且这一政策适用于该设备在任何地方的使用。
充足的IP地址可以为企业提供一个自己的IP地址专区,这会带来另外一个安全优势。Lyne说,有了这样受控于本公司的IP专区,公司能够对所有相关的IP地址运用安全政策,并且控制整个操作过程。
有了全球范围内可用且充足的IPv6地址,企业就可以为特定使用者(不管是顾客、合作伙伴还是在别处的员工)创造特殊服务。
BlueCoat公司首席科学家和高级技术专家李青说:“每项服务都有周密的安全措施和准入政策作保证,这样就简化了系统外部的支持和维护工作。”
IPv6的安全挑战
从管理的角度来说,拥有相当数量的IP地址对公司很有益,但是也为网络犯罪提供了温床。犯罪分子不仅可以频繁地转换IP地址——这样很难追踪到他们——而且很多现有的安全防控措施都将失效。
Lyne说,他估计目前各公司使用的网络过滤工具90%都依赖黑名单,这确实是个问题。一旦全世界改用IPv6,犯罪分子能够以极快的速度转换IP地址,这会对黑名单、甚至灰名单、白名单的有效性带来巨大挑战。
现在不仅老的技术面临潜在的安全威胁,老的技术人员也是。
McAfee的RajSamani说:“需要引起注意的是,大部分安全专家和网络工程师对保护IPv4网络更为熟悉,所以当我们转换到IPv6以后,真正的风险是缺乏相应的技术人才。”
BlueCoat的李青指出,很多IT经理没有机会进修该技术的相关知识,过去也没有经历过这样的转变。
他说:“所以转换过程很有可能制造安全漏洞,而最有可能出现的危险是在为IPv6制定使用和安全政策的时候。并不是现在应用于IPv4环境下的所有政策和规则都能简单地转换到IPv6环境。相反,它们都需要重写。缺乏操作层面的专家指导,IT经理在编写新政策时一不小心就会制造出安全漏洞。”
而且在传统的IPv4架构中,找到一个网络地址转换设备很平常,这样就看不出内部网络的结构,但在IPv6网络中很难找到一个同样功能的网络地址转换设备。
李先生说:“因此,过去IT经理管理的私人地址最终都将转换为一个单一的公共地址。而现在IT工作者面临的是大规模的公共地址管理,必须找到防止内部使用者建立通向外界的安全渠道,因为这些渠道可能会为公司造成损失。”
如何避免IPv6的安全陷阱
Lyne说向IPv6的转换是一个重要的机会,可以规避在实施IPv5和SSL过程中出现的错误。比如,新的IP地址分配程序更加严格,需要申请者证明从事的是合法生意,这种分配方式有助于解决迅速转换IP地址产生的问题。但是,他说,由于缺乏一个公认的网络权威机构,势必会产生一种风险,就是IPv6的实施会缺少协调和协作,像IPv4和SSL,完全按照系统操作,缺乏整体思维。而整体思维恰恰又是必要的,有了整体思维才能确保网络尽可能安全可靠,尽可能少得给犯罪分子创造有机可乘的漏洞。
IPv6给安全技术提供商造成的挑战之一是他们不得不重写防火墙,但是,Lyne说,情况同上,由于没有任何一个机构制定关于如何部署IPv6的时间表,工作的确切方法和要求只能根据情况随时变化。安全技术提供商不能准确了解IPv6如何运行,很可能会为网络罪犯制造更多机会。
Lyne说,IPv6不归任何一个组织所有也是普及较慢的重要原因之一,虽然它的速度、效率和安全性都大大优于IPv4。虽然商业界仍在按兵不动,网络罪犯却在积极部署,充分将IPv6的速度、效率等优势应用于他们的僵尸网络或者已被劫持的电脑网络。Lyne说:“几乎没有人过滤IPv6或者根本不知道怎么过滤,网络罪犯就是钻了这个空子。”
IPv6的强制加密是个好事,它会降低数据泄露的可能性。但这是一把双刃剑,一旦向IPv6的转换完成,政府机构会发现他们对网络的监控能力严重降低,这对政府是一个挑战。
IPv6用户的未来之路
在转换阶段,Lyne建议公司对IPv6网络做好充足的准备,并且对网络中的所有安全过滤器和防控软件进行升级,在此之前需关闭网络。
McAee公司的RajSamani说,针对公司面临的有关IPv6攻击的技术问题,首席信息官们应该注意劣质的IPv6设备,内置ICMP和多点广播等。
Lyne说,转换到新网络不会很快,所以部分应用需要使用网络隧道通过IPv4传输IPv6,而这种工作模式可能又会形成混乱、错误配置和安全漏洞。
很重要的是各公司要了解是否他们的网络安全解决方案能够评估、分析IPv6的内容,因为没有这种能力,使用者很容易受到攻击。
BlueCoat公司的李青说:“IPv6为网络攻击提供了一个更强大的界面,所以更需要时时防护。在IPv4环境下,我们已经见识到威力很强的恶意攻击可达到每天1500次,而且我们预计采用IPv6以后这个趋势还会加强,数量还会增加。”
他认为用一个星期甚至仅仅24小时来分析请求并更新数据库都会给恶意软件制造可乘之机。
为了切实保护他们的用户,公司需要一个网络安全防护系统,在请求一出现就迅速进行分析,一旦发现新危险立即采取保护措施。由于现在各公司的单个用户可能会被分配一个全球的IPv6地址同时创建加密通道,这就需要IT经理能够想到并能进入这个加密通道并清除安全威胁。
Lyne说,从上世纪80年代初开始,向IPv6的转换就呈现出不可避免的趋势,只是大家都忽略了。不久的将来虽然IPv6还不能马上成为垄断标准,但是各企业必须从现在开始规划,储备技术和硬件,以便保证转换的顺利进行。
他还说,公司必须对这个问题有前瞻性,现在就要求网络硬件供应商为其职能固定IPv6战略。“公司必须保证现在购买的任何硬件都是与IPv6兼容的,当转换时代真的到来时就万事俱备了。”
“我们不得不这样做,这也让我们可以利用这次机会吸取使用IPv4的经验教训,在安全方面提前做好细致的布局”,Lyne说。
向IPv6的转换不是一件容易的事,需要周密的考虑和准备,因为如果转换不正确或者不完全,就会在网络中留下安全漏洞。 |