任何事情都具有兩面性,有一利往往也必有一弊。就像IPv6,它為互聯(lián)網(wǎng)帶來了幾乎無限的IP地址資源的同時,也改變了互聯(lián)網(wǎng)的安全環(huán)境,讓更大的風(fēng)險隨之而至。
從當前所獲取的一些網(wǎng)絡(luò)攻擊事件的信息來看,盡管IPv4向IPv6的過渡才剛剛開始,但一些攻擊者卻已經(jīng)開始通過IPv6的基礎(chǔ)設(shè)施散布垃圾郵件,甚至利用IPv6的地址空間向IPv4網(wǎng)絡(luò)發(fā)起攻擊。
“看上去很美”的IPv6是否存在更大的安全黑洞?在熱情迎接IPv6的同時,我們是否看到了藏匿在過渡過程中的安全隱患?人們在IPv4環(huán)境中積累的安全經(jīng)驗是否也適用于IPv6?
通過“認證”就夠了嗎
三年前,一則關(guān)于“Windows Vista系統(tǒng)中所包含的Teredo技術(shù)存在潛在安全隱患”的消息,就暴露出一些IPv4向IPv6過渡的安全問題。Teredo是一項地址分配和自動隧道技術(shù),它能通過IPv4網(wǎng)絡(luò)傳遞IPv6流量,幫助客戶端實現(xiàn)對IPv4與IPv6協(xié)議的兼容。當時就有安全專家指出,Teredo客戶端可以在把IPv6數(shù)據(jù)包傳遞到另一目的地的同時,繞過基于網(wǎng)絡(luò)的源路由控制,穿透防火墻等安全設(shè)備,而在Vista系統(tǒng)下該功能還默認啟用,這種技術(shù)所形成的安全漏洞很容易被黑客所利用。由于當時沒有任何系統(tǒng)能夠有效過濾所有的Teredo數(shù)據(jù)包,專家只能建議網(wǎng)絡(luò)管理員先禁用Teredo功能,并倡議防火墻、入侵檢測系統(tǒng)和路由器等廠商增加對Teredo協(xié)議的支持,以確保常規(guī)的網(wǎng)絡(luò)安全產(chǎn)品能夠過濾所有的Teredo數(shù)據(jù)包。
事實上,“Teredo事件”只是IPv6所帶來的安全隱患的一個縮影。因為三年過后,Teredo的問題還沒有完全解決,大量類似的過渡技術(shù)卻開始更廣泛使用(如6to4、SIT機制及基于IPv6的UDP通信等標準過渡方式),并且使用這些技術(shù)的相關(guān)產(chǎn)品還紛紛通過了IPv6認證。這種狀況下,不免讓記者對當前大批掛著IPv6認證標志的網(wǎng)絡(luò)安全產(chǎn)品的真實效果感到擔憂。
Radware 安全產(chǎn)品總監(jiān)Ron Meyran告訴記者,雖然目前不少廠商都宣稱自己擁有通過了IPv6認證的安全產(chǎn)品,但事實上許多廠商只是提供了一個特別的版本,僅能夠支持與IPv6網(wǎng)絡(luò)通信的能力或依靠某個License運行,并不意味著這些產(chǎn)品能夠有效解決IPv6帶來的安全問題。甚至很多安全產(chǎn)品在處理類似Teredo的問題時,不是存在局限性就是徹底無效。
他表示,即使是對于某些通過認證的安全設(shè)備,企業(yè)也要慎重選擇。在不了解它們的運作機制前,不能盲目采購。比如,企業(yè)依舊需要檢測防火墻是否可以讓一些未經(jīng)檢查的IPv6流量輕松通過,而不是將其視為非IPv6應(yīng)用版加以攔截、檢查;IPv6流量是否可以繞過多個深層數(shù)據(jù)包引擎的硬件組件等。此外,由于IPv6地址的長度是IPv4的4倍,會因此顯著影響網(wǎng)絡(luò)安全產(chǎn)品的流量處理速度。根據(jù)這個特點,也可以幫助大家判斷出相關(guān)安全產(chǎn)品支持IPv6的真?zhèn)巍?/p>
注意它的先天不足
和IPv4相比,IPv6在設(shè)計之初,就對安全問題做出了更多的考慮。借助IPSec(Internet 協(xié)議安全性),IPv6的安全性能確實得以改善。但是,近來發(fā)生的網(wǎng)絡(luò)攻擊事件顯示,IPSec并不能處理IPv6網(wǎng)絡(luò)中的所有漏洞問題。而對比IPv4,新的網(wǎng)絡(luò)環(huán)境要更為復(fù)雜,所產(chǎn)生的網(wǎng)絡(luò)漏洞也更難預(yù)料。例如,攻擊者的IPv6路由器可以使用虛假廣告,為網(wǎng)絡(luò)中已啟用IPv6的設(shè)備自動創(chuàng)建新的IPv6地址;一些過渡機制使IPv6與IPv4網(wǎng)絡(luò)之間可以相互影響,反而為網(wǎng)絡(luò)攻擊者提供了更豐富的可利用的資源;過渡工具可以為各種IPv4應(yīng)用提供連接到IPv6服務(wù)的連接方式,IPv6應(yīng)用也可連接到IPv4服務(wù),這種狀況可以讓網(wǎng)絡(luò)攻擊變得更為瘋狂;IPv6地址的長度也會成為攻擊者借助的有力工具,因為基于IPv6的流量過濾將增加安全設(shè)備CPU的負擔,攻擊者發(fā)起的DDoS攻擊所產(chǎn)生的流量,將比以往更易導(dǎo)致網(wǎng)絡(luò)設(shè)備和服務(wù)器的癱瘓。
而且,盡管IPv6的內(nèi)部加密機制是為用戶與服務(wù)器之間的交流提供身份認證與保密功能的,但該功能卻給防火墻和IPS也“下了絆兒”。它令攻擊者得以利用加密機制繞過防火墻和IPS檢查,直接向服務(wù)器發(fā)起攻擊,原因正在于這些安全設(shè)備無法檢測加密內(nèi)容。Ron Meyran指出,攻擊者還可以利用Teredo、6to4、ISATAP等IPv6協(xié)議機制偽裝各種進攻。攻擊者會讓允許通過的信息包看上去跟正常的IPv4流量毫無差別,只有通過防火墻和IPS的準確核實,才能通過深度包檢測技術(shù)(DPI)對IPv6流量完成內(nèi)容檢測。“目前,能夠支持IPv6并可真正執(zhí)行IPv6 DPI的IPS產(chǎn)品和防火墻產(chǎn)品為數(shù)不多。如果沒有部署其他安全設(shè)備或邊界安全網(wǎng)關(guān),攻擊者很可能利用這一疏忽,借助IPv6數(shù)據(jù)包進入企業(yè)核心網(wǎng)絡(luò)。”
除此之外,IPv6重定向協(xié)議中存在的安全隱患也非常值得人們關(guān)注。在IPv6協(xié)議中,重定向報文的主要作用是為局域網(wǎng)內(nèi)的節(jié)點提供正確的路由選擇。IPv6重定向協(xié)議本身的主要功能是保證主機擁有動態(tài)的、小而優(yōu)的路由表,以提高報文的轉(zhuǎn)發(fā)效率。但是,由于IPv6重定向協(xié)議缺乏源地址認證,對于局域網(wǎng)中的惡意節(jié)點來說,就可以利用IPv6重定向報文實現(xiàn)數(shù)據(jù)報的非法重定向,從而實現(xiàn)多種攻擊措施。比如,它首先偽裝路由器,然后再發(fā)送Redir報文告訴被攻擊者:發(fā)往某個外網(wǎng)節(jié)點的數(shù)據(jù)包,走自己這條路由更好,那么被攻擊節(jié)點就會將數(shù)據(jù)包交由惡意節(jié)點轉(zhuǎn)發(fā),而惡意節(jié)點則可以不轉(zhuǎn)發(fā)并禁止其通信,或是進行篡改。
當心“不聽話”的IPv6
在從IPV4向IPV6過渡的過程中,企業(yè)將面臨更多的對信息安全問題以及對信息安全體系的重新理解和調(diào)整。
首先,為了實現(xiàn)IPv4與IPv6的無縫兼容,很多IPv6設(shè)備都內(nèi)置了各種無狀態(tài)的自動配置功能,而這樣的網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)管理員而言卻成了不可控的設(shè)備。管理員將難以察覺哪些網(wǎng)絡(luò)設(shè)備是失控的,而攻擊者卻可以利用這種情況下手。比如攻擊者可以輕易控制一個行為失常的網(wǎng)絡(luò)設(shè)備讓其修改或降低流量,卻不會被網(wǎng)絡(luò)管理員發(fā)覺。IPv6帶來的這類風(fēng)險,恐怕很多網(wǎng)絡(luò)管理員還沒有料到。
其次,在企業(yè)迎接IPv6的同時,IT管理的難度也會隨之增加。Sophos技術(shù)策略主管James Lyne告訴記者,有些對IPv6流量不感興趣的企業(yè),希望設(shè)立明確的規(guī)則來嚴格阻止IPv6數(shù)據(jù)包。而IT管理人員必須要知道“如何與IPv6對話”才能編寫相應(yīng)的規(guī)則來處理該協(xié)議。
同時,James Lyne也指出了當前的一些問題。他認為,目前業(yè)內(nèi)對于IPv6協(xié)議的內(nèi)置功能如何幫助用戶提高隱私保護方面的問題的探討寥寥無幾,而是更多的把目光聚焦于如何更快捷地部署IPv6,這讓很多不安全的協(xié)議、標準、技術(shù)被不計后果的廣泛采用,企業(yè)在這樣的過渡環(huán)境中很容易受到攻擊。
相對于人們在IPv4上積累的安全經(jīng)驗來說,業(yè)界在IPv6安全方面的經(jīng)驗還有所不足。在逐漸引入IPv6的日子里,所有的網(wǎng)絡(luò)設(shè)備都不得不支持兩個版本的網(wǎng)絡(luò)協(xié)議,因此增加的網(wǎng)絡(luò)安全風(fēng)險很可能導(dǎo)致巨大的損失。在看清IPv6之前,人們的警惕與熱情顯然需要并存。
京公網(wǎng)安備 11010502049343號