任何事情都具有兩面性，有一利往往也必有一弊。就像IPv6，它為互聯(lián)網(wǎng)帶來了幾乎無限的IP地址資源的同時，也改變了互聯(lián)網(wǎng)的安全環(huán)境，讓更大的風(fēng)險隨之而至。

　　從當(dāng)前所獲取的一些網(wǎng)絡(luò)攻擊事件的信息來看，盡管IPv4向IPv6的過渡才剛剛開始，但一些攻擊者卻已經(jīng)開始通過IPv6的基礎(chǔ)設(shè)施散布垃圾郵件，甚至利用IPv6的地址空間向IPv4網(wǎng)絡(luò)發(fā)起攻擊。

　　“看上去很美”的IPv6是否存在更大的安全黑洞?在熱情迎接IPv6的同時，我們是否看到了藏匿在過渡過程中的安全隱患?人們在IPv4環(huán)境中積累的安全經(jīng)驗是否也適用于IPv6?

　　通過“認(rèn)證”就夠了嗎

　　三年前，一則關(guān)于“Windows Vista系統(tǒng)中所包含的Teredo技術(shù)存在潛在安全隱患”的消息，就曾暴露出一些IPv4向IPv6過渡中面臨的安全問題。Teredo是一項地址分配和自動隧道技術(shù)，它能通過IPv4網(wǎng)絡(luò)傳遞IPv6流量，幫助客戶端實現(xiàn)對IPv4與IPv6協(xié)議的兼容。當(dāng)時就有安全專家指出，Teredo客戶端可以在把IPv6數(shù)據(jù)包傳遞到另一目的地的同時，繞過基于網(wǎng)絡(luò)的源路由控制，穿透防火墻等安全設(shè)備，而在Vista系統(tǒng)下該功能還被默認(rèn)啟用，這種技術(shù)所形成的安全漏洞很容易被黑客所利用。由于當(dāng)時沒有任何系統(tǒng)能夠有效過濾所有的Teredo數(shù)據(jù)包，專家只能建議網(wǎng)絡(luò)管理員先禁用Teredo功能，并倡議防火墻、入侵檢測系統(tǒng)和路由器等廠商增加對Teredo協(xié)議的支持，以確保常規(guī)的網(wǎng)絡(luò)安全產(chǎn)品能夠過濾所有的Teredo數(shù)據(jù)包。

　　事實上，“Teredo事件”只是IPv6所帶來的安全隱患的一個縮影。因為三年過后，Teredo的問題還沒有被完全解決，大量類似的過渡技術(shù)卻開始被更廣泛地使用(如6to4、SIT機(jī)制及基于IPv6的UDP通信等標(biāo)準(zhǔn)過渡方式)，并且使用這些技術(shù)的相關(guān)產(chǎn)品還紛紛通過了IPv6認(rèn)證。這種狀況，不免讓記者對當(dāng)前大批掛著IPv6認(rèn)證標(biāo)志的網(wǎng)絡(luò)安全產(chǎn)品的真實效果感到擔(dān)憂。

　　Radware 安全產(chǎn)品總監(jiān)Ron Meyran告訴記者，雖然目前不少廠商都宣稱自己擁有通過了IPv6認(rèn)證的安全產(chǎn)品，但事實上許多廠商只是提供了一個特別的版本，僅是能夠支持與IPv6網(wǎng)絡(luò)通信的能力或依靠某個License運行，并不意味著這些產(chǎn)品能夠有效解決IPv6帶來的安全問題。甚至很多安全產(chǎn)品在處理類似Teredo的問題時，不是存在局限性就是徹底無效。

　　他表示，即使是對于某些通過認(rèn)證的安全設(shè)備，企業(yè)也要慎重選擇。在不了解它們的運作機(jī)制前，不能盲目采購。比如，企業(yè)依舊需要檢測防火墻是否可以讓一些未經(jīng)檢查的IPv6流量輕松通過，而不是將其視為非IPv6應(yīng)用版加以攔截、檢查;IPv6流量是否可以繞過多個深層數(shù)據(jù)包引擎的硬件組件等。此外，由于IPv6地址的長度是IPv4的4倍，會因此顯著影響網(wǎng)絡(luò)安全產(chǎn)品的流量處理速度。這個特點，也可以幫助大家判斷出相關(guān)安全產(chǎn)品支持IPv6的真?zhèn)?。[nextpage]

　　注意它的先天不足

　　和IPv4相比，IPv6在設(shè)計之初，就對安全問題做出了更多的考慮。借助IPSec(Internet 協(xié)議安全性)，IPv6的安全性能確實得以改善。但是，近來發(fā)生的網(wǎng)絡(luò)攻擊事件顯示，IPSec并不能處理IPv6網(wǎng)絡(luò)中的所有漏洞問題。而對比IPv4，新的網(wǎng)絡(luò)環(huán)境要更為復(fù)雜，所產(chǎn)生的網(wǎng)絡(luò)漏洞也更難預(yù)料。例如，攻擊者的IPv6路由器可以使用虛假廣告，為網(wǎng)絡(luò)中已啟用IPv6的設(shè)備自動創(chuàng)建新的IPv6地址;一些過渡機(jī)制使IPv6與IPv4網(wǎng)絡(luò)之間可以相互影響，反而為網(wǎng)絡(luò)攻擊者提供了更豐富的可利用的資源;過渡工具可以為各種IPv4應(yīng)用提供連接到IPv6服務(wù)的連接方式，IPv6應(yīng)用也可連接到IPv4服務(wù)，這種狀況可以讓網(wǎng)絡(luò)攻擊變得更為瘋狂;IPv6地址的長度也會成為攻擊者借助的有力工具，因為基于IPv6的流量過濾將增加安全設(shè)備CPU的負(fù)擔(dān)，攻擊者發(fā)起的DDoS攻擊所產(chǎn)生的流量，將比以往更易導(dǎo)致網(wǎng)絡(luò)設(shè)備和服務(wù)器的癱瘓。

　　而且，盡管IPv6的內(nèi)部加密機(jī)制是為用戶與服務(wù)器之間的交流提供身份認(rèn)證與保密功能的，但該功能卻給防火墻和IPS也“下了絆兒”。它令攻擊者得以利用加密機(jī)制繞過防火墻和IPS檢查，直接向服務(wù)器發(fā)起攻擊，原因正在于這些安全設(shè)備無法檢測加密內(nèi)容。Ron Meyran指出，攻擊者還可以利用Teredo、6to4、ISATAP等IPv6協(xié)議機(jī)制偽裝各種進(jìn)攻。攻擊者會讓允許通過的信息包看上去跟正常的IPv4流量毫無差別，只有通過防火墻和IPS的準(zhǔn)確核實，才能通過深度包檢測技術(shù)(DPI)對IPv6流量完成內(nèi)容檢測?！澳壳?，能夠支持IPv6并可真正執(zhí)行IPv6 DPI的IPS產(chǎn)品和防火墻產(chǎn)品為數(shù)不多。如果沒有部署其他安全設(shè)備或邊界安全網(wǎng)關(guān)，攻擊者很可能利用這一疏忽，借助IPv6數(shù)據(jù)包進(jìn)入企業(yè)核心網(wǎng)絡(luò)?！?/p>

　　除此之外，IPv6重定向協(xié)議中存在的安全隱患也非常值得人們關(guān)注。在IPv6協(xié)議中，重定向報文的主要作用是為局域網(wǎng)內(nèi)的節(jié)點提供正確的路由選擇。IPv6重定向協(xié)議本身的主要功能是保證主機(jī)擁有動態(tài)的、小而優(yōu)的路由表，以提高報文的轉(zhuǎn)發(fā)效率。但是，由于IPv6重定向協(xié)議缺乏源地址認(rèn)證，對于局域網(wǎng)中的惡意節(jié)點來說，就可以利用IPv6重定向報文實現(xiàn)數(shù)據(jù)報的非法重定向，從而實現(xiàn)多種攻擊措施。比如，它首先偽裝路由器，然后再發(fā)送Redir報文告訴被攻擊者：發(fā)往某個外網(wǎng)節(jié)點的數(shù)據(jù)包，走自己這條路由更好，那么被攻擊節(jié)點就會將數(shù)據(jù)包交由惡意節(jié)點轉(zhuǎn)發(fā)，而惡意節(jié)點則可以不轉(zhuǎn)發(fā)并禁止其通信，或是進(jìn)行篡改。

　　當(dāng)心“不聽話”的IPv6

　　在從IPV4向IPV6過渡的過程中，企業(yè)將面臨更多的對信息安全問題以及對信息安全體系的重新理解和調(diào)整。

　　首先，為了實現(xiàn)IPv4與IPv6的無縫兼容，很多IPv6設(shè)備都內(nèi)置了各種無狀態(tài)的自動配置功能，而這樣的網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)管理員而言卻成了不可控的設(shè)備。管理員將難以察覺哪些網(wǎng)絡(luò)設(shè)備是失控的，而攻擊者卻可以利用這種情況下手。比如攻擊者可以輕易控制一個行為失常的網(wǎng)絡(luò)設(shè)備讓其修改或降低流量，卻不會被網(wǎng)絡(luò)管理員發(fā)覺。IPv6帶來的這類風(fēng)險，恐怕很多網(wǎng)絡(luò)管理員還沒有料到。

　　其次，在企業(yè)迎接IPv6的同時，IT管理的難度也會隨之增加。Sophos技術(shù)策略主管James Lyne告訴記者，有些對IPv6流量不感興趣的企業(yè)，希望設(shè)立明確的規(guī)則來嚴(yán)格阻止IPv6數(shù)據(jù)包。而IT管理人員必須要知道“如何與IPv6對話”才能編寫相應(yīng)的規(guī)則來處理該協(xié)議。

　　同時，James Lyne也指出了當(dāng)前的一些問題。他認(rèn)為，目前業(yè)內(nèi)對于IPv6協(xié)議的內(nèi)置功能如何幫助用戶提高隱私保護(hù)方面的問題的探討寥寥無幾，而是更多的把目光聚焦于如何更快捷地部署IPv6，這讓很多不安全的協(xié)議、標(biāo)準(zhǔn)、技術(shù)被不計后果的廣泛采用，企業(yè)在這樣的過渡環(huán)境中很容易受到攻擊。

　　相對于人們在IPv4上積累的安全經(jīng)驗來說，業(yè)界在IPv6安全方面的經(jīng)驗還有所不足。在逐漸引入IPv6的日子里，所有的網(wǎng)絡(luò)設(shè)備都不得不支持兩個版本的網(wǎng)絡(luò)協(xié)議，因此增加的網(wǎng)絡(luò)安全風(fēng)險很可能導(dǎo)致巨大的損失。在看清IPv6之前，人們的警惕與熱情顯然需要并存。