由于IPv4地址还仅剩下10%,向IPv6迁移的时刻距我们越来越近。目前大多数用户还没在领会到这种新一代协议的真正安全内涵。许多人仅仅是简单的认为IPv6是一个安全的IP解决方案,而不去考虑它存在的问题。
尽管IPv6在加密等方面进行了加强,但是它并不是被专门设计用来替代IP层的安全解决方案。老的观念认为任何东西只要加密了就是安全的,但是这种老观念在当今的互联网上根本站不住脚,因为许多经过精心加密的东西都遭到过破解。比如说,在最近召开的黑帽大会上,安全研究人员Moxie Marlinspike就向世人展示了SSL加密的弱点,通过零终端证书可以从中截取信息。
不幸的是,虽然IPv6 加密标准IPsec经过评估适合为所有的东西进行加密,但是我们还是应该在以下方面注意:
· IPsec支持在IPv6中是强制性的;使用是有选择的(参见RFC4301)
· 由于可测量性、互用性和传输问题,在目前的IPv4 领域内极为缺乏IPsec标准的信息。这一问题延伸到了IPv6领域,导致IPsec的应用率极低。
· IPsec支持多加密算法的特点使得部署变得更为复杂,这个因此导致其经常被忽略。
许多机构认为不部署IPv6可以让他们回避IPv6的安全弱点。这是想法极不正确的,根本就是一种误解。IPv6流氓信息在你的网络中猖獗的可能性正在增加。对于新用户来说,最新的操作系统在交付时就已经默认设置了IPv6(通过简单的TCP/IP配置检查我们就会发现这一问题)。
基于IPv4的安全工具和网络监视工具既不能够监视也不能够阻止基于IPv6的信息。即使没有向IPv6迁移,IPv6信息也能够通过通道代理进入IPv4网络中,这是一个重要特性。但是这一特性也让黑客可以在非IPv6网络中设置一个IPv6流氓信息通道,并随意进行恶意攻击。为什么会有这么多的用户通过未知和不信任的IPv6通道代理路由数据呢?
IPv6通道不能用于任何敏感信息。病人的数据无论是通过医疗WAN还是政府连接进入IPv6互联网,都应当全力避免设置通道。能够建立通道的特性让你的网络变成了一个开放式、不用授权、不加密、不用注册、可被全世界远程访问的IPv6网关。遭受这种经历的用户、以及随后将自己网络曝露给恶意网关的比率应当值得我们警惕。
你是否有安全意识?
IPv6先进的网络发现特性让网络管理员能够选择他们路由数据封包的路径。在理论上,这是一个重大改良,但是从安全角度看,这是一个安全隐患。因为这导致本地IPv6网络有安全风险,这种特性让攻击者可以不费吹灰之力跟踪和达到远程网络。
能够保护我们免受这种安全缺陷影响的厂商在哪里呢?答案是,还没有出现。目前厂商们仍然正在考虑对策。因为目前向IPv6迁移还不是很迫切,大多数厂商正在研究的是互用性,以跟上行业发展的步伐。
所以问题是:IPv6应用的滞后是否会让黑客们在技术上取得优势?绝对是这样!随着我们逐渐向IPv6迁移,在应用程序和工具方面缺乏互用性和支持将会曝露出来。这将带来无序和反馈性升级和修补以应对攻击。
不管你对IPv4上有多么专业,在向IPv6迁移时应当极度小心。IPv6有着更多的IP地址。IPv6知识需要经过大量学习。用户认知空白的填补无法像Windows应用程序打补丁那么简,因此雇员培训应当尽早展开。许多如路由、DNS、QoS,、组播和IP地址等基本网络原理需要被修改。由于黑客正在学习和调整新分配的IP结构,因此在IPv6领域,如垃圾邮件控制和DOS保护等基于IPv4安全特性而建立起来的信心应当被淡化。
最根本的是在向IPv6迁移前,我们应当树立起正确的网络安全观念。在相信IPv6是一个万能安全解决方案前,我们应当考虑考虑与IPv6有关的安全挑战。
