IPv6实施还缺什么?当心“不听话”的IPv6

任何事情都具有两面性,有一利往往也必有一弊。就像IPv6,它为互联网带来了几乎无限的IP地址资源的同时,也改变了互联网的安全环境,让更大的风险随之而至。

从当前所获取的一些网络攻击事件的信息来看,尽管IPv4向IPv6的过渡才刚刚开始,但一些攻击者却已经开始通过IPv6的基础设施散布垃圾邮件,甚至利用IPv6的地址空间向IPv4网络发起攻击。

“看上去很美”的IPv6是否存在更大的安全黑洞?在热情迎接IPv6的同时,我们是否看到了藏匿在过渡过程中的安全隐患?人们在IPv4环境中积累的安全经验是否也适用于IPv6?

通过“认证”就够了吗

三年前,一则关于“Windows Vista系统中所包含的Teredo技术存在潜在安全隐患”的消息,就暴露出一些IPv4向IPv6过渡的安全问题。Teredo是一项地址分配和自动隧道技术,它能通过IPv4网络传递IPv6流量,帮助客户端实现对IPv4与IPv6协议的兼容。当时就有安全专家指出,Teredo客户端可以在把 IPv6数据包传递到另一目的地的同时,绕过基于网络的源路由控制,穿透防火墙等安全设备,而在Vista系统下该功能还默认启用,这种技术所形成的安全漏洞很容易被黑客所利用。由于当时没有任何系统能够有效过滤所有的Teredo数据包,专家只能建议网络管理员先禁用Teredo功能,并倡议防火墙、入侵检测系统和路由器等厂商增加对Teredo协议的支持,以确保常规的网络安全产品能够过滤所有的Teredo数据包。

事实上,“Teredo事件”只是IPv6所带来的安全隐患的一个缩影。因为三年过后,Teredo的问题还没有完全解决,大量类似的过渡技术却开始更广泛使用(如6to4、SIT机制及基于IPv6的UDP通信等标准过渡方式),并且使用这些技术的相关产品还纷纷通过了IPv6认证。这种状况下,不免让记者对当前大批挂着IPv6认证标志的网络安全产品的真实效果感到担忧。

Radware 安全产品总监Ron Meyran告诉记者,虽然目前不少厂商都宣称自己拥有通过了IPv6认证的安全产品,但事实上许多厂商只是提供了一个特别的版本,仅能够支持与IPv6 网络通信的能力或依靠某个License运行,并不意味着这些产品能够有效解决IPv6带来的安全问题。甚至很多安全产品在处理类似Teredo的问题时,不是存在局限性就是彻底无效。

他表示,即使是对于某些通过认证的安全设备,企业也要慎重选择。在不了解它们的运作机制前,不能盲目采购。比如,企业依旧需要检测防火墙是否可以让一些未经检查的IPv6流量轻松通过,而不是将其视为非IPv6应用版加以拦截、检查;IPv6流量是否可以绕过多个深层数据包引擎的硬件组件等。此外,由于IPv6地址的长度是IPv4的4倍,会因此显着影响网络安全产品的流量处理速度。根据这个特点,也可以帮助大家判断出相关安全产品支持IPv6的真伪。

注意它的先天不足

和IPv4相比,IPv6在设计之初,就对安全问题做出了更多的考虑。借助IPSec(Internet 协议安全性),IPv6的安全性能确实得以改善。但是,近来发生的网络攻击事件显示,IPSec并不能处理IPv6网络中的所有漏洞问题。而对比 IPv4,新的网络环境要更为复杂,所产生的网络漏洞也更难预料。例如,攻击者的IPv6路由器可以使用虚假广告,为网络中已启用IPv6的设备自动创建新的IPv6地址;一些过渡机制使IPv6与IPv4网络之间可以相互影响,反而为网络攻击者提供了更丰富的可利用的资源;过渡工具可以为各种IPv4应用提供连接到IPv6服务的连接方式,IPv6应用也可连接到IPv4服务,这种状况可以让网络攻击变得更为疯狂;IPv6地址的长度也会成为攻击者借助的有力工具,因为基于IPv6的流量过滤将增加安全设备CPU的负担,攻击者发起的DDoS攻击所产生的流量,将比以往更易导致网络设备和服务器的瘫痪。

而且,尽管IPv6的内部加密机制是为用户与服务器之间的交流提供身份认证与保密功能的,但该功能却给防火墙和IPS也“下了绊儿”。它令攻击者得以利用加密机制绕过防火墙和IPS检查,直接向服务器发起攻击,原因正在于这些安全设备无法检测加密内容。Ron Meyran指出,攻击者还可以利用Teredo、6to4、ISATAP等IPv6协议机制伪装各种进攻。攻击者会让允许通过的信息包看上去跟正常的 IPv4流量毫无差别,只有通过防火墙和IPS的准确核实,才能通过深度包检测技术(DPI)对IPv6流量完成内容检测。“目前,能够支持IPv6并可真正执行IPv6 DPI的IPS产品和防火墙产品为数不多。如果没有部署其他安全设备或边界安全网关,攻击者很可能利用这一疏忽,借助IPv6数据包进入企业核心网络。”

除此之外,IPv6重定向协议中存在的安全隐患也非常值得人们关注。在IPv6协议中,重定向报文的主要作用是为局域网内的节点提供正确的路由选择。IPv6重定向协议本身的主要功能是保证主机拥有动态的、小而优的路由表,以提高报文的转发效率。但是,由于IPv6重定向协议缺乏源地址认证,对于局域网中的恶意节点来说,就可以利用IPv6重定向报文实现数据报的非法重定向,从而实现多种攻击措施。比如,它首先伪装路由器,然后再发送Redir报文告诉被攻击者:发往某个外网节点的数据包,走自己这条路由更好,那么被攻击节点就会将数据包交由恶意节点转发,而恶意节点则可以不转发并禁止其通信,或是进行篡改。

当心“不听话”的IPv6

在从IPV4向IPV6过渡的过程中,企业将面临更多的对信息安全问题以及对信息安全体系的重新理解和调整。

首先,为了实现IPv4与IPv6的无缝兼容,很多IPv6设备都内置了各种无状态的自动配置功能,而这样的网络设备对网络管理员而言却成了不可控的设备。管理员将难以察觉哪些网络设备是失控的,而攻击者却可以利用这种情况下手。比如攻击者可以轻易控制一个行为失常的网络设备让其修改或降低流量,却不会被网络管理员发觉。IPv6带来的这类风险,恐怕很多网络管理员还没有料到。

其次,在企业迎接IPv6的同时,IT管理的难度也会随之增加。Sophos技术策略主管James Lyne告诉记者,有些对IPv6流量不感兴趣的企业,希望设立明确的规则来严格阻止IPv6数据包。而IT管理人员必须要知道“如何与IPv6对话”才能编写相应的规则来处理该协议。

同时,James Lyne也指出了当前的一些问题。他认为,目前业内对于IPv6协议的内置功能如何帮助用户提高隐私保护方面的问题的探讨寥寥无几,而是更多的把目光聚焦于如何更快捷地部署IPv6,这让很多不安全的协议、标准、技术被不计后果的广泛采用,企业在这样的过渡环境中很容易受到攻击。

相对于人们在IPv4上积累的安全经验来说,业界在IPv6安全方面的经验还有所不足。在逐渐引入IPv6的日子里,所有的网络设备都不得不支持两个版本的网络协议,因此增加的网络安全风险很可能导致巨大的损失。在看清IPv6之前,人们的警惕与热情显然需要并存。