IPv6 - 黑客的下一个攻击目标

你可以按照自己的意愿推迟IPv6策略的部署,但是你必须应当马上着手解决IPv6存在的安全隐患。

如果你计划将IPv6与IPv4进行双堆栈配置,那么在安全方面你不能掉以轻心。如果你考虑全面转向IPv6,这也并不代表你就可以高枕无忧。

最大的潜在安全威胁在于企业网络上已经接入了大量具备IPv6功能的设备,包括所有运行Windows Vista 、Windows 7、Mac OS/X、Linux和BSD设备。

与以前IPv4需要DHCP不同,IPv6不需要人工配置。思科杰出系统工程师,《IPv6安全》一书的合著者Eric Vyncke称,这种无状态的自动配置特点意味着“支持IPv6的设备只需单一的路由通告即可识别自己在网络上的身份”。

他提醒称:“仅支持IPv4的路由器和交换机无法对IPv6设备通告进行识别或做出回应,但是一个流氓IPv6路由器能够发送并解译这种信息。”

无状态自动配置允许支持IPv6的设备与其它的IPv6网络设备和在同一LAN中的服务进行通信。通过这一程序,设备能够通告自己的位置,并可通过IPv6邻居发现协议(NDP)被定位。

但是如果不加管理,NDP可能会将邻近的设备暴露给那些急于收集网络内部信息的黑客,甚至允许这些设备被接管并变成“僵尸”。

Vyncke警告这种威胁是真实存在的。他称:“我们在全球范围内进行了观察,这些僵尸机器正在越来越多的使用IPv6作为与僵尸主控机进行通信的隐蔽渠道。”在许多伪装中,支持IPv6的恶意软件能够在一个或多个IPv4信息中封装恶意负载。如果没有数据包深度探测等符合IPv6规范的安全措施,这类负载通过穿透IPv4边界,而DMZ防御却无法探测出来。

安全邻居发现协议(SEND)为IETF针对流氓RA和NDP欺骗等Layer-2层IPv6威胁所开发的解决方案,这些威胁相当于IPv4威胁中的流氓DHCP和ARP欺骗。尽管微软和苹果等知名厂商并不支持SEND,但是一些操作系统厂商已经开始对SEND提供支持。

思科和IETF正在为IPv6制定安全措施,这些措施与目前在用的保护IPv4免受这类威胁侵害的措施相似。

IETF已经成立了一个SAVI(源地址认证)工作小组。思科始于2010年的IOS升级计划目前也已经进入到了第三阶段,预计将在2012年开始全面实施。

Vyncke强调,许多常见的IPv6安全风险是由于终端用户设备在网络中配置不当产生的,正确的配置和IPv6安全措施能够消除许多这类风险。他解释称:“这类问题的解决办法是部署原生IPv6,以在同一水平上保护IPv6信息,应对你已经在IPv4上成功防御过的同类威胁。”

IPSec安全神话

目前普遍认为,IPv6天生就比IPv4要安全,因为在IPv6中IPSec支持是强制性的。Vyncke称:“这个神话需要被揭穿。”

他指出,除去大范围部署IPSec所面临的实际挑战之外,由于(路由器/交换机/防火墙)设备无法看到IPSec封装的信息内容,导致它们的重要安全功能受到了影响。

出于这一原因,作为IETF活跃成员和《RFC 3585》一书作者的Vyncke称,一个IETF工作小组正在考虑在IPv6部署中将IPSec支持由“必须”调整为“推荐”。

关于禁止IPv6,Vyncke认为这是一个非常糟糕的主意,其原因有两个。首先,微软表示在Windows 2008中禁止IPv6是因为配置不支持。Vyncke称,禁止IPv6的做法是一个不切明智的策略,这将导致IPv6的部署不可避免的出现拖延。其次,无论IT部门愿意与否,支持IPv6的设备已经开始在网络中大量出现,这将导致安全形势出现恶化。

发展动力

除去威胁以外,IPv6的商业部署案例正在越来越多,IPv6已经无法继续被忽视。由于许多国际客户的网络已经不再支持IPv4,银行和在线券商正在失去与这些客户的联系,为此银行和在线券商已经开始正视这一挑战。

西班牙电信和T-Mobile等公司已经开始大规模部署IPv6,尤其是在欧洲地区。美国政府目前也已经开始向IPv6过渡,同时他们还呼吁提供商和厂商提供更多的IPv6产品和服务。

博科通讯系统公司产品管理总监Keith Stewart称:“你永远不希望自己处于无法与客户互动的困境之中。”通过与网络厂商分享观点,Stewart发现向IPv6过渡已经成为了一个大趋势。

Stewart称:“在互联网中整体升级为IPv6既不现实也无法办到。客户需求一个平衡的、实际的解决方案”。他指出,由于服务提供商消耗地址的速度最快,因此他们是首批升级至IPv6的团体,其次是谷歌和脸谱等内容服务商,最后才是终端用户,因为这些终端用户的家庭路由器有99%是基于IPv4协议研发的。

在向IPv6过渡的同时,博科也在部署负载平衡器,向对公服务提供IPv6翻译,在内部网络中保留IPv4连接。

瞻博网络公司称,迄今为止,在申请IPv6服务的客户中,大部分来自教育和政府部门,尤其是需要遵守联邦IPv6命令的大学研究实验室和政府机构。

瞻博网络公司预测,2012年IPv6将更为活跃,特别是在服务提供商中。该公司软件工程总监Alain Durand称:“对于我们在全球的客户来说,IPv4地址枯竭日益成为一个非常严重的问题。” Durand预测,大部分IPv6部署都将是一些小项目,它们在现有的IPv4对公服务中采用双堆栈解决方案以增加IPv6功能。他称:“为了解决IPv4地址短缺问题,客户经常会选择增加一个NAT层。”

尽管目前还无法准确预测IPv4地址将于何时枯竭,但是亚太互联网络信息中心(APNIC)首席科学家Geoff Huston 根据IANA和区域互联网注册管理机构公布的数据分析,剩余的IPv4地址将在2014年被彻底用完。

不过,需要注意的是Huston的分析忽略了那些私营公司手中保留的地址,这些地址未来可能会被拿出来使用或被出售。比如,微软在近期收购北电资产的过程获得了超过60万个IPv4地址。在近期的评估当中,这部分IPv4地址没有被考虑在内,许多业内人员预测随着IPv4地址供应短缺,升级成本将会上涨。

由于没有可供借鉴的最佳IPv6转型实践,许多网络经理并不愿意主动采取行动。尽管安全问题以及担心无法与已向仅支持IPv6系统过渡的客户通信的问题日益突出,但是保持观望并等待他人探路可能并不是一个明智的态度。

明智的做法是在规划阶段与能够提供架构和安全指导的值得信赖的网络厂商建立或重新建立联系,共同在众多的IPv6过渡方案中找到一个切实可行的方案。