企业升级IP 必须知道的四个IPv6谬论

企业升级IP 必须知道的四个IPv6谬论

ISP和Web公司成立World IPv6 Launch Day已经有一年的时间了,Akamai报告称在IPv6内容传输平台上的IPv6流量已经增长了250%,每天发送的请求达到了100亿。尽管这种流量仍然远在IPv4之后,但是仍在持续增长中,与此同时,对于IPv6的的误解一直影响着此协议的部署以及企业网络的安全。

在与多位安全和网络专家交谈过后,Network Computing列出了四个常见的IPv6安全误区。

1. 在仅支持IPv4的网络不需要提供IPv6防御

第一个与IPv6相关的误解其实与IPv4的关系更胜一筹,与IPv4网络有关的组织或许认为他们不会受到基于IPv6的攻击,但是专家称情况并非如此,“IPv6已经有几年历史,最新的操作系统和移动设备都已经准备好接受IPv6网络了,”Tenable Network Security CEO Ron Gula说。“这意味着,如果你要运行或者审核一个IPv4网络,就会有很多系统希望通过IPv6跟你对话。这为黑客和恶意软件提供了很多机会。”

Rapid 7 首席研究师HD Moore称,每一个现代操作系统——包括Windows,Mac OS X,Ubuntu Linux,iOS和安卓——都是默认启用IPv6,“Windows Homegroup的特性专门用TCP做本地网络管理。每个启用了IPv6的系统都有一个本地网络的其他机器都可连接的‘link-local’地址”。这样,入侵者就可以接入本地网络——直接访问或是通过被破坏的IPv4系统连接——这样就可以接入或攻击IPv6界面。

Johannes Ullrich说,启用了IPv6却没对其进行控制,企业等于是把自己暴露在威胁之下,他是SANS学会的研究主任,最近,我一直都在尝试一种特殊的攻击,这种攻击对于使用VPN从受信任网络连接企业资源的的公司系统而言是个头疼的问题,”Ullrich说。“例如,一名出差的员工从酒店无线网络连接互联网,并创建一个VPN隧道连接到公司网络。这种VPN只会转发IPv4数据流。攻击者可以在酒店网络中创建一个IPv6路由器,为主机指定一个IPv6地址,提供一个支持IPv6协议的DNS服务器。这样一来,攻击者就能阻止数据通过VPN,供其破译。”

2. 带强制IPSec的IPv6 比IPv4安全

外界广泛认为IPv6的一个优势是对IPSec支持,但其实它们存在差别。虽然IPv6支持用于传输加密的IPSec,但并非强制使用IPSec,而且也不是默认设置,Moore说:“即便是在已经启用的情况下,IPSec也要求确保大量配置的安全,”

3. IPv6可阻止中间人攻击

由于IPv6不适用ARP(Address Resolution Protocol)协议,假定它可以阻止中间人攻击,事实上,IPv6使用ICMPv6来部署Neighbor Discovery协议,这个协议可以为本地地址替换ARP,Neighbor Discovery协议和ARP一样容易受到中间人攻击。

Moore表示,“某个被破坏的内部节点可能通过一条简单的路由公告就把所有本地设备都暴露到全球IPv6网络,”。

4. IPv6没有IPv4安全

一些人误以为IPv6非常安全的同时,还有些人认为IPv6因为缺乏NAT,所以比IPv4的安全性能要弱,“网络地址转换(RFC 1918)是一种可以让各个组织把私有,不可路由的IPv4地址分配到各个设备,然后通过公共IPv4地址的有限数字为这些设备提供网络连接,”Neohapsis联合安全顾问说。

“尽管如此,私有选址被误认为是一项安全特性,而它的遗漏也常被视为不部署IPv6的原因,”他补充道。“IPv6扩展的地址库解决了NAT解决的问题。NAT部署真正的安全性是同时使用对内流量的静态检测。只要访问控制做得好,那么相对于NAT而言,IPv6的安全防护性能其实变化不大。”