IPv6滞后的安全特性或致使漏洞妨碍其过渡

2011-06-16 11:14


由于前几天的IPv6日,最近又掀起了一股IPv6测试的浪潮,各个厂家以及企业都关注于IPv6的部署。由于现阶段处在IPv4和IPv6的共存阶段, 对于网络安全问题又提出了新的挑战。这段时间各种黑客攻击络绎不绝,不少重要机构和跨国企业都遭到了一些网络攻击,全球黑客袭击进入新一轮活跃期,那么在 这个IPv6过渡的关键时刻,黑客会不会趁机进行一些攻击行为呢?

这个我们还不得而知,然而,在这场攻防战之中,我们可以在部署IPv6的同时,做好安全防护,在这场战役中,取得先机。

据监控互联网协议版本6(IPv6)协议转换的专家称,企业过渡到IPv6对信息安全专家来讲是一个需小心应付的局势:IPv6配置错误,软件漏洞和在安全设备中不可信的IPv6安全特征都可能让聪明的攻击者轻易进入敏感系统。

目前为止,IPv6普及的还比较缓慢,同时IPv6流量只占所有互联网流量的10%左右,但是专家预言IPv6的使用率在接下来的几年将保持一个稳定的增长,并且企业将需要网络系统来支持它。这是因为随着IPv4地址空间的用尽,转换的紧迫性日益增加;专家预测一些网络服务提供商将在9月就用完它们的IPv4地址。

然而,据一些人估计,这个过渡可能需要长达三年多的时间,专家称现在正是各个组织开始计划如何过渡到IPv6的时候。这个协议本身比IPv4更复杂,并且如果没有经验丰富的网络专业人员知识的话,很多人相信企业将会置身于IPv6攻击之中。

“这些协议栈很不成熟,当有新的东西出现时,就引起一些早期问题,你可能还会发现漏洞。”Silvia Hagen说,她是IPv6核心要件的创始人和瑞士Sunny Connection AG公司的首席执行官,在那里她作为高级顾问和分析师而工作。“将会有补丁和更新,但是企业需要避开围绕这个话题的炒作。”

这种炒作在上周可能达到了一个历史最高点。6月8日作为世界IPv6日,许多主要站点,网络服务提供商和一些早期的企业使用者将会测试这个协议。这个活动由互联网协会举办(这是一个促进互联网相关标准,教育和政策的非盈利性组织)。世界IPv6日将不仅测试产品系统的IPv6兼容性问题,而且要弄清楚IPv4地址的减少量,它是引导IPv6过渡的主要驱动力。

Andy Champagne是Akamai Technologies公司的工程副总裁,这个公司是许多大型企业的网络内容提供商,他说他不希望在6月8日的协议测试中出现任何中断。相反,Champagne认为企业网络专家应该利用这一天来教育他们自己并传播这个即将到来的过渡。

“你可以推迟IPv6并在将来面对一个真正困难的过渡,或者你可以随着诸如IPv6日等活动开始行动并通过这些行动而拥有一个良好简单的过渡,” Champagne说道,“当涉及到安全时,我认为一个更加审慎的方法是:去尝试着做这件事,而不是在绝对必要时才去做。”

Fernando Gont表示,对IPv6固有漏洞的研究非常少。Gont是一位已经为英国一些政府部门测试过IPv6配置的网络工程师和安全顾问。Gont表示,研究论文的缺乏和鲜有来自早期采用者的最好实践导致很多企业对这个过渡持观望态度。他表示,随着时间的推移,这个协议将会增加安全研究人员对其的兴趣,同时额外的弱点也会出现。

“对于IPv4,我们已经拥有超过20年的运行和配置这个协议的经验,而对于IPv6,我们才仅仅与这个协议打了几年交道,” Gont说,“问题是当涉及到制作良好的默认配置时,供应商还没有完成这个工作,并且所有安全问题还没有被探究。”

网络专家应该开始学习这个协议,而安全专家需要弄明白安全设备是否可以处理IPv6流量,Gont说道。支持IPv6的设备——防火墙,入侵防御系统和其他网络安全设备——也面临着一些审查并可能包含漏洞。另外,操作系统和其它软件将会默认的支持IPv6,目前,Windows 7是支持IPv6的,这为网络犯罪提供了另一个可能的攻击向量,他说道。

最终,IPv6可以提高安全性,支持IPsec加密,并为主机之间的相互验证提供一个终端到终端的方案。但在短期内,Gont表示,IPv6的引入很有可能会增加重大的网络安全威胁,因为网络设备需要支持网络协议的两个版本。一些设备需要被替换掉,而另一些将通过软件更新来支持v6。当建立一个双栈网络时,组织需要制定单独的安全政策并决定哪些应用程序和服务可以使用v6来访问。

“相对于v4来讲,我们在v6方面具有的经验更少,而且很可能的是当v6被应用的时候,许多IPv6的安全问题被忽视。”Gont说,“在IPv6实施过程中,在它的成熟度同v4一样之前,会有很多漏洞被发现。”

来自Akamai公司的Champagne表示,网络社区目前对这个协议和如何适当的为它安排发展路线有更好的理解,但是如果出师不利,IPv6的复杂性可能会使一些企业的网络很脆弱。比如说,在一些Linux风格中,IPv4防火墙和IPv6防火墙是完全不同的系统并且必须单独地配置,Champagne说道。他说,在没有以上认识的情况下启用IPv6将会使得通过IPv6的传输是完全开放的。

“请确保你正在检查你的特定系统的文件,以便弄清楚它们是如何处理IPv6流量的。”Champagne说,“你肯定不希望IPv6成为进入你企业的后门。”

文/51CTO