接纳之前了解一下IPv6可能存在的安全威胁

2011年6月8日是世界第首个“IPv6日”。毋庸置疑,这一天被世人瞩目,并且已经成为互联网发展道路上一个里程碑。在当天,全球网络工程师们对诸多系统进行了测试,以确保各大互联网服务提供商和内容提供商的网络及应用能够与下一代IPv6网络无缝相连或集成,其目的在于使整个行业(即互联网服务提供商、硬件制造商、运营系统供应商以及互联网公司),准备好其针对IPv6的服务,并确保当IPv4地址库资源用罄之时能够顺利过度到IPv6网络。

全球领先的业务智能集成应用交付解决方案提供商Radware(NASDAQ:RDWR)参与了全球企业级用户与运营商级用户的IPv6测试,并为用户提供了领先的可用性、可扩展性、物理和虚拟化基础设施以及其所获IPv6认证的应用交付解决方案。作为这些支持IPv6的重要厂商,Radware强调指出除了网络IPv6遵从的必要性之外,还要注意由于IPv6流量与执行网络安全遵从而带来的安全威胁。虽然IPv6设计之初是为了解决IPv4有限的地址空间问题,并提供身份验证、数据保密和保存等诸多内置安全特性,但是,它没有注重服务的可用性与安全性,这些问题也许会由于IPv6的内在漏洞与缺点而产生,由此招致黑客攻击。

关于IPv6的安全认识

虽然借助IPSec (Internet 协议安全性), IPv6可提供更好的安全性能并获得诸多改善,但其中一部分却被网络攻击者所利用。例如,攻击者的IPv6路由器将会使用假的路由器广告来为网络中启用了IPv6的机器自动创建新的IPv6地址。另外,一些过度机制使IPv6与IPv4网络间更容易相互影响,导致被网络攻击者滥用。过度工具为各种IPv4应用创建了一种方式连接到IPv6服务,而IPv6应用也可连接IPv4服务。

由于像6to4、SIT机制及基于IPv6的UDP通信(例Teredo、Shipworm)这些标准的过度方式,IPv6流量进入互联网当中,管理员却不会发觉它们的存在。例如,由于许多防火墙允许UDP通过,基于IPv6的UDP通信便可穿越防火墙,而管理员却不知发生了什么。攻击者可利用6to4机制避开入侵检测软件。

注意许多防火墙以及IPS(入侵防御系统)无法支持或过滤IPv6流量是十分重要的。如果企业没有部署其他安全或边界性网关功能,攻击者很可能利用这一疏忽借助IPv6数据包进入网络。

当前,尽管业内非常关心向IPv6过渡的各种事宜,但是网络安全有时却会被忽略。Radware指出如下几种主要的IPv6威胁,提醒业内人士在向IPv6过度之前务必仔细考虑、谨慎待之。

IPv6主要威胁

1、无遵从安全设备

目前,大多数厂商宣称自己具备通过IPv6认证的安全产品。是这样吗?许多厂商提供的是一个特别的版本,它能支持IPv6或依靠某个许可证运行。但即便支持IPv6可行,人们还是应该仔细学习他们是如何运行的。例如:

  • 防火墙也许能使未经检查的IPv6流量轻松通过(而不是将其视为非IPv6应用版加以拦截、检查);
  • IPv6流量也许可绕过多个作为深层数据包引擎的硬件组件,它们也许不支持IPv6流量,从而避免各种攻击;
  • IPv6地址长度是IPv4的4倍,可显著放慢流量处理速度。

2、对管理员来说,IPv6是复杂的

您是否见过IPv6地址?您是否有过依靠防火墙设置来允许或阻止IPv6流量的经验?您如何看待将IPv6流量转换成IPv4流量?您知道Internet控制报文协议(ICMP)现在已被纳入IPv6协议当中了吗?这些只是几个能够决定一个公司是否具备有效保护其网络服务器能力的问题。

3、IPv6漏洞

IPv6网络管理员必须意识到协议的一些漏洞。IPv6的设计者们认为需要网络安全,包括基本协议规定中的强制IPSec。然而,近来发生的网络攻击事件显示:IPSec并不能够处理IPv6网络中的所有漏洞问题。Bug的设计初衷在于不断产生各种弱点,这对比IPv4复杂得多的IPv6来说是发生在其内部的。应用提供商们还要经过一段时间的运行才能清楚、修补各种IPv6漏洞,因此,人们需要一个IPS提供商,它不仅能够促进IPv4向IPv6的发展,还包括诸多特征状态以修补各种基于IPv6的系统。

4、IPv6协议机制

利用Teredo, 6to4, ISATAP等协议机制,IPv6流量可跨过IPv4。攻击者可以利用各种IPv6协议机制伪装各种进攻,他们知道允许通过的信息包看上去跟正常的IPv4流量毫无差别。我们需要通过防火墙和IPS提供商们准确核实,这些提供商们可通过深度包检测技术(DPI)对IPv6流量进行内容检测。在能够支持IPv6并可真正执行IPv6 DPI的IPS与诸多防火墙间存在着巨大缺口。

5、各种“不听话”的IPv6设备

各种无状态的自动配置性能是IPv6内在固有的,这些性能方便了攻击者确定行为失常的设备,该设备能够为其他所有设备分配网络IP地址。聪明的攻击者可以建一个行为失常的网络设备,它可以像IPv6路由器一样修改或降低流量,甚至不会让系统管理员发觉。

6、IPv6加密

与SSL加密相同,IPv6具备内部加密机制。尽管设计加密是为用户与服务器之间的交流提供身份验证与保密性功能,但该功能也使攻击者们利用加密机制,绕过了防火墙和IPS检查,直接向服务器发起攻击,原因在于防火墙和IPS无法检测加密内容。

7、DDoS攻击

DDoS攻击就是为了利用流量容量淹没,致使网络设备和服务器瘫痪,且让人无法应对。IPv6地址长度是IPv4的4倍。基于IPv6的流量过滤增加了CPU安全设备的使用;基于IPv6的流量增加提高了CPU联网设备的使用率,由此导致能够充满网络的较低的流量容量。

总之,相对于IPv4来讲,业界在IPv6方面的经验确实不足。与此同时,短期内,由于网络设备需要支持网络协议的两个版本,IPv6的引入很有可能会增加重大的网络安全威胁。但是,作为互联网协议新版本的IPv6,将与其长期使用的前身IPv4共存并最终取代IPv4,它也会提供更多的地址空间促进互联网的成长。随着IPv6的发展与普及,在其成熟度同IPv4一样之前,Radware再次提醒您还是应当警惕各种网络安全威胁。