企業(yè)升級IP 必須知道的四個IPv6謬論
ISP和Web公司成立World IPv6 Launch Day已經有一年的時間了,Akamai報告稱在IPv6內容傳輸平臺上的IPv6流量已經增長了250%���,每天發(fā)送的請求達到了100億�����。盡管這種流量仍然遠在IPv4之后�����,但是仍在持續(xù)增長中��,與此同時�����,對于IPv6的的誤解一直影響著此協(xié)議的部署以及企業(yè)網絡的安全�����。
在與多位安全和網絡專家交談過后���,Network Computing列出了四個常見的IPv6安全誤區(qū)�。
1. 在僅支持IPv4的網絡不需要提供IPv6防御
第一個與IPv6相關的誤解其實與IPv4的關系更勝一籌�,與IPv4網絡有關的組織或許認為他們不會受到基于IPv6的攻擊,但是專家稱情況并非如此���,“IPv6已經有幾年歷史����,最新的操作系統(tǒng)和移動設備都已經準備好接受IPv6網絡了��,”Tenable Network Security CEO Ron Gula說�。“這意味著,如果你要運行或者審核一個IPv4網絡�,就會有很多系統(tǒng)希望通過IPv6跟你對話。這為黑客和惡意軟件提供了很多機會��。”
Rapid 7 首席研究師HD Moore稱��,每一個現(xiàn)代操作系統(tǒng)——包括Windows����,Mac OS X���,Ubuntu Linux,iOS和安卓——都是默認啟用IPv6��,“Windows Homegroup的特性專門用TCP做本地網絡管理���。每個啟用了IPv6的系統(tǒng)都有一個本地網絡的其他機器都可連接的‘link-local’地址”�����。這樣,入侵者就可以接入本地網絡——直接訪問或是通過被破壞的IPv4系統(tǒng)連接——這樣就可以接入或攻擊IPv6界面����。
Johannes Ullrich說,啟用了IPv6卻沒對其進行控制�,企業(yè)等于是把自己暴露在威脅之下,他是SANS學會的研究主任���,最近��,我一直都在嘗試一種特殊的攻擊����,這種攻擊對于使用VPN從受信任網絡連接企業(yè)資源的的公司系統(tǒng)而言是個頭疼的問題,”Ullrich說�����。“例如���,一名出差的員工從酒店無線網絡連接互聯(lián)網�,并創(chuàng)建一個VPN隧道連接到公司網絡���。這種VPN只會轉發(fā)IPv4數(shù)據(jù)流�����。攻擊者可以在酒店網絡中創(chuàng)建一個IPv6路由器��,為主機指定一個IPv6地址����,提供一個支持IPv6協(xié)議的DNS服務器���。這樣一來�����,攻擊者就能阻止數(shù)據(jù)通過VPN���,供其破譯��。”
2. 帶強制IPSec的IPv6 比IPv4安全
外界廣泛認為IPv6的一個優(yōu)勢是對IPSec支持���,但其實它們存在差別。雖然IPv6支持用于傳輸加密的IPSec�,但并非強制使用IPSec,而且也不是默認設置����,Moore說:“即便是在已經啟用的情況下�����,IPSec也要求確保大量配置的安全�,”
3. IPv6可阻止中間人攻擊
由于IPv6不適用ARP(Address Resolution Protocol)協(xié)議,假定它可以阻止中間人攻擊��,事實上���,IPv6使用ICMPv6來部署Neighbor Discovery協(xié)議�,這個協(xié)議可以為本地地址替換ARP,Neighbor Discovery協(xié)議和ARP一樣容易受到中間人攻擊����。
Moore表示,“某個被破壞的內部節(jié)點可能通過一條簡單的路由公告就把所有本地設備都暴露到全球IPv6網絡�����,”����。
4. IPv6沒有IPv4安全
一些人誤以為IPv6非常安全的同時,還有些人認為IPv6因為缺乏NAT��,所以比IPv4的安全性能要弱���,“網絡地址轉換(RFC 1918)是一種可以讓各個組織把私有��,不可路由的IPv4地址分配到各個設備��,然后通過公共IPv4地址的有限數(shù)字為這些設備提供網絡連接���,”Neohapsis聯(lián)合安全顧問說���。
“盡管如此,私有選址被誤認為是一項安全特性�,而它的遺漏也常被視為不部署IPv6的原因,”他補充道����。“IPv6擴展的地址庫解決了NAT解決的問題。NAT部署真正的安全性是同時使用對內流量的靜態(tài)檢測��。只要訪問控制做得好��,那么相對于NAT而言��,IPv6的安全防護性能其實變化不大�����。”
