世界第首個“IPv6日”。毋庸置疑,這一天被世人矚目,并且已經成為互聯網發展道路上一個里程碑。在當天,全球網絡工程師們對諸多系統進行了測試,以確保各大互聯網服務提供商和內容提供商的網絡及應用能夠與下一代IPv6網絡無縫相連或集成,其目的在于使整個行業(即互聯網服務提供商、硬件制造商、運營系統供應商以及互聯網公司),準備好其針對IPv6的服務,并確保當IPv4地址庫資源用罄之時能夠順利過度到IPv6網絡。
Radware參與了全球企業級用戶與運營商級用戶的IPv6測試,并為用戶提供了可用性、可擴展性、物理和虛擬化基礎設施以及其所獲IPv6認證的應用交付解決方案。作為這些支持IPv6的重要廠商,Radware強調指出除了網絡IPv6遵從的必要性之外,還要注意由于IPv6流量與執行網絡安全遵從而帶來的安全威脅。雖然IPv6設計之初是為了解決IPv4有限的地址空間問題,并提供身份驗證、數據保密和保存等諸多內置安全特性,但是,它沒有注重服務的可用性與安全性,這些問題也許會由于IPv6的內在漏洞與缺點而產生,由此招致黑客攻擊。
關于IPv6的安全認識
雖然借助IPSec (Internet 協議安全性), IPv6可提供更好的安全性能并獲得諸多改善,但其中一部分卻被網絡攻擊者所利用。例如,攻擊者的IPv6路由器將會使用假的路由器廣告來為網絡中啟用了IPv6的機器自動創建新的IPv6地址。另外,一些過度機制使IPv6與IPv4網絡間更容易相互影響,導致被網絡攻擊者濫用。過度工具為各種IPv4應用創建了一種方式連接到IPv6服務,而IPv6應用也可連接IPv4服務。
由于像6to4、SIT機制及基于IPv6的UDP通信(例Teredo、Shipworm)這些標準的過度方式,IPv6流量進入互聯網當中,管理員卻不會發覺它們的存在。例如,由于許多防火墻允許UDP通過,基于IPv6的UDP通信便可穿越防火墻,而管理員卻不知發生了什么。攻擊者可利用6to4機制避開入侵檢測軟件。
注意許多防火墻以及IPS(入侵防御系統)無法支持或過濾IPv6流量是十分重要的。如果企業沒有部署其他安全或邊界性網關功能,攻擊者很可能利用這一疏忽借助IPv6數據包進入網絡。
當前,盡管業內非常關心向IPv6過渡的各種事宜,但是網絡安全有時卻會被忽略。Radware指出如下幾種主要的IPv6威脅,提醒業內人士在向IPv6過度之前務必仔細考慮、謹慎待之。
IPv6主要威脅
1、無遵從安全設備
目前,大多數廠商宣稱自己具備通過IPv6認證的安全產品。是這樣嗎?許多廠商提供的是一個特別的版本,它能支持IPv6或依靠某個許可證運行。但即便支持IPv6可行,人們還是應該仔細學習他們是如何運行的。例如:
·防火墻也許能使未經檢查的IPv6流量輕松通過(而不是將其視為非IPv6應用版加以攔截、檢查);
·IPv6流量也許可繞過多個作為深層數據包引擎的硬件組件,它們也許不支持IPv6流量,從而避免各種攻擊;
·IPv6地址長度是IPv4的4倍,可顯著放慢流量處理速度。
2、對管理員來說,IPv6是復雜的
您是否見過IPv6地址?您是否有過依靠防火墻設置來允許或阻止IPv6流量的經驗?您如何看待將IPv6流量轉換成IPv4流量?您知道Internet控制報文協議(ICMP)現在已被納入IPv6協議當中了嗎?這些只是幾個能夠決定一個公司是否具備有效保護其網絡服務器能力的問題。
3、IPv6漏洞
IPv6網絡管理員必須意識到協議的一些漏洞。IPv6的設計者們認為需要網絡安全,包括基本協議規定中的強制IPSec。然而,近來發生的網絡攻擊事件顯示:IPSec并不能夠處理IPv6網絡中的所有漏洞問題。Bug的設計初衷在于不斷產生各種弱點,這對比IPv4復雜得多的IPv6來說是發生在其內部的。應用提供商們還要經過一段時間的運行才能清楚、修補各種IPv6漏洞,因此,人們需要一個IPS提供商,它不僅能夠促進IPv4向IPv6的發展,還包括諸多特征狀態以修補各種基于IPv6的系統。
4、IPv6協議機制
利用Teredo, 6to4, ISATAP等協議機制,IPv6流量可跨過IPv4。攻擊者可以利用各種IPv6協議機制偽裝各種進攻,他們知道允許通過的信息包看上去跟正常的IPv4流量毫無差別。我們需要通過防火墻和IPS提供商們準確核實,這些提供商們可通過深度包檢測技術(DPI)對IPv6流量進行內容檢測。在能夠支持IPv6并可真正執行IPv6 DPI的IPS與諸多防火墻間存在著巨大缺口。
5、各種“不聽話”的IPv6設備
各種無狀態的自動配置性能是IPv6內在固有的,這些性能方便了攻擊者確定行為失常的設備,該設備能夠為其他所有設備分配網絡IP地址。聰明的攻擊者可以建一個行為失常的網絡設備,它可以像IPv6路由器一樣修改或降低流量,甚至不會讓系統管理員發覺。
6、IPv6加密
與SSL加密相同,IPv6具備內部加密機制。盡管設計加密是為用戶與服務器之間的交流提供身份驗證與保密性功能,但該功能也使攻擊者們利用加密機制,繞過了防火墻和IPS檢查,直接向服務器發起攻擊,原因在于防火墻和IPS無法檢測加密內容。
7、DDoS攻擊
DDoS攻擊就是為了利用流量容量淹沒,致使網絡設備和服務器癱瘓,且讓人無法應對。IPv6地址長度是IPv4的4倍。基于IPv6的流量過濾增加了CPU安全設備的使用;基于IPv6的流量增加提高了CPU聯網設備的使用率,由此導致能夠充滿網絡的較低的流量容量。
總之,相對于IPv4來講,業界在IPv6方面的經驗確實不足。與此同時,短期內,由于網絡設備需要支持網絡協議的兩個版本,IPv6的引入很有可能會增加重大的網絡安全威脅。但是,作為互聯網協議新版本的IPv6,將與其長期使用的前身IPv4共存并最終取代IPv4,它也會提供更多的地址空間促進互聯網的成長。隨著IPv6的發展與普及,在其成熟度同IPv4一樣之前,Radware再次提醒您還是應當警惕各種網絡安全威脅。
京公網安備 11010502049343號