IPv6之安全观察

对于网络管理员来说,是否还记得死亡之ping、源路由选择、无边界防火墙、地址欺骗攻击以及其它无数充满TCP/IP“特色”的攻击模式?为了防范所有类型的攻击,大家需要不断学习并对网络进行调整,规划和配置。

1994年,笔者开始从事与TCP/IP相关的技术工作。那时,商业公共互联网就像才露尖尖角的小荷。在我参与TCP/IP相关工作的同一年,无类型域间选路(CIDR)作为节约IPv4有限地址空间的概念被提出;并且直到今天为止,TCP/IP依然是互联网和局域网中使用最普遍的协议。

我们现在使用的IPv4协议是在1980年发布的RFC 760中初次出现,它在1981年制定的RFC 791中进行了更新。内容方面,它已经基本上就等同于全球正在使用的网络规范了。这也就是说,IPv4协议的两个主要部分是如此地简单,几乎到了荒谬的地步。

当前IPv4所有问题的核心

因此,对于IPv4协议来说,当前面临着两个需要解决的重要问题。实际上,从某些方面来看,它们也是所有问题的根源。

– 与大多数其它互联网核心协议相同,TCP/IP协议最初的构想模式也是友好环境中的使用。

– 在协议设计阶段,开发者并没有意识到互联网的实际发展速度会如此之快。

现在,就让我们来认清面临现实情况——至少是过去的十五年里一直处于这样的状态:所谓的安全机制已经基本上属于亡羊补牢的处理模式,在通过互联网传输数据时出现补丁落补丁的情况也开始属于常见现象。不仅如此,我们连所有的地址空间也都用完了。2011年2月3日,最后一个IPv4地址块被分配了出去。

现在,作为从设计阶段就考虑到互联网在规模和安全方面需求的协议,IPv6协议就成为必然的选择。它将可用地址空间数量扩展到不可思议的等级。举例来说,一个/64地址,也就是标准用户地址,可以提供的地址空间地址容量就比整个IPv4协议所提供的高40亿倍。

此外,IPv6还可以支持IPsec、针对TCP/IP协议的加密和完整性等日常工作中的必须功能。从很多年前开始,它们就已经属于IPv4协议中的必备功能,并且得到了广泛应用,特别是在虚拟专用网络(VPNs)中。因此,这些技术是非常有用的。

从安全历史中可以获取的经验

不过,现实情况并非都如此美好。早在四年前,研究人员菲利普·比翁迪和阿诺·埃巴拉德就发现IPv6协议路由头与IPv4源路由过于相似,会导致在安全方面出现大量问题,最终的选择就是不得不给予禁用。首先是网络管理员,然后是供应商都对IP协议栈进行了这样的处理。看起来,新标准的设计者并没有从过去的教训中吸取到经验。

在迁移到IPv6协议的过程中,成千上万家硬件制造商在固件中添加的大量不同功能以及应用功能中使用到的随机软件栈,将会给兼容性带来不可估量的问题。

数以百万计的新代码中存在着成千上万的潜在漏洞。这让我几乎不敢想象TCP/IP栈更新带来的问题会有多大,即便回到1994年,仅在单独供应商遵循IPv4标准的情况下也不例外。

对于企业来说,既定目标已经非常明确,这就是:开始进行前期规划,就实际问题咨询供应商,确保技术和安全团队已经准备好相应的迁移计划。尽管在未来一段时间中,IPv4和IPv6协议将保持共存的局面,但边界防火墙、虚拟专用网、入侵防御系统和渗透测试之类传统安全模式的使用需要被重新进行分析和评估;并且,与往常一样犯罪分子还将继续占据先机。