任何事情都具有兩面性，有一利往往也必有一弊。就像IPv6，它為互聯網帶來了幾乎無限的IP地址資源的同時，也改變了互聯網的安全環境，讓更大的風險隨之而至。

從當前所獲取的一些網絡攻擊事件的信息來看，盡管IPv4向IPv6的過渡才剛剛開始，但一些攻擊者卻已經開始通過IPv6的基礎設施散布垃圾郵件，甚至利用IPv6的地址空間向IPv4網絡發起攻擊。

“看上去很美”的IPv6是否存在更大的安全黑洞?在熱情迎接IPv6的同時，我們是否看到了藏匿在過渡過程中的安全隱患?人們在IPv4環境中積累的安全經驗是否也適用于IPv6?

理性擁抱IPv6：“開門”需謹慎

通過“認證”就夠了嗎

三年前，一則關于“Windows Vista系統中所包含的Teredo技術存在潛在安全隱患”的消息，就曾暴露出一些IPv4向IPv6過渡中面臨的安全問題。Teredo是一項地址分配和自動隧道技術，它能通過IPv4網絡傳遞IPv6流量，幫助客戶端實現對IPv4與IPv6協議的兼容。當時就有安全專家指出，Teredo客戶端可以在把IPv6數據包傳遞到另一目的地的同時，繞過基于網絡的源路由控制，穿透防火墻等安全設備，而在Vista系統下該功能還被默認啟用，這種技術所形成的安全漏洞很容易被黑客所利用。由于當時沒有任何系統能夠有效過濾所有的Teredo數據包，專家只能建議網絡管理員先禁用Teredo功能，并倡議防火墻、入侵檢測系統和路由器等廠商增加對Teredo協議的支持，以確保常規的網絡安全產品能夠過濾所有的Teredo數據包。

事實上，“Teredo事件”只是IPv6所帶來的安全隱患的一個縮影。因為三年過后，Teredo的問題還沒有被完全解決，大量類似的過渡技術卻開始被更廣泛地使用(如6to4、SIT機制及基于IPv6的UDP通信等標準過渡方式)，并且使用這些技術的相關產品還紛紛通過了IPv6認證。這種狀況，不免讓記者對當前大批掛著IPv6認證標志的網絡安全產品的真實效果感到擔憂。

Radware 安全產品總監Ron Meyran告訴記者，雖然目前不少廠商都宣稱自己擁有通過了IPv6認證的安全產品，但事實上許多廠商只是提供了一個特別的版本，僅是能夠支持與IPv6網絡通信的能力或依靠某個License運行，并不意味著這些產品能夠有效解決IPv6帶來的安全問題。甚至很多安全產品在處理類似Teredo的問題時，不是存在局限性就是徹底無效。

他表示，即使是對于某些通過認證的安全設備，企業也要慎重選擇。在不了解它們的運作機制前，不能盲目采購。比如，企業依舊需要檢測防火墻是否可以讓一些未經檢查的IPv6流量輕松通過，而不是將其視為非IPv6應用版加以攔截、檢查;IPv6流量是否可以繞過多個深層數據包引擎的硬件組件等。此外，由于IPv6地址的長度是IPv4的4倍，會因此顯著影響網絡安全產品的流量處理速度。這個特點，也可以幫助大家判斷出相關安全產品支持IPv6的真偽。

注意它的先天不足

和IPv4相比，IPv6在設計之初，就對安全問題做出了更多的考慮。借助IPSec(Internet 協議安全性)，IPv6的安全性能確實得以改善。但是，近來發生的網絡攻擊事件顯示，IPSec并不能處理IPv6網絡中的所有漏洞問題。而對比IPv4，新的網絡環境要更為復雜，所產生的網絡漏洞也更難預料。例如，攻擊者的IPv6路由器可以使用虛假廣告，為網絡中已啟用IPv6的設備自動創建新的IPv6地址;一些過渡機制使IPv6與IPv4網絡之間可以相互影響，反而為網絡攻擊者提供了更豐富的可利用的資源;過渡工具可以為各種IPv4應用提供連接到IPv6服務的連接方式，IPv6應用也可連接到IPv4服務，這種狀況可以讓網絡攻擊變得更為瘋狂;IPv6地址的長度也會成為攻擊者借助的有力工具，因為基于IPv6的流量過濾將增加安全設備CPU的負擔，攻擊者發起的DDoS攻擊所產生的流量，將比以往更易導致網絡設備和服務器的癱瘓。

而且，盡管IPv6的內部加密機制是為用戶與服務器之間的交流提供身份認證與保密功能的，但該功能卻給防火墻和IPS也“下了絆兒”。它令攻擊者得以利用加密機制繞過防火墻和IPS檢查，直接向服務器發起攻擊，原因正在于這些安全設備無法檢測加密內容。Ron Meyran指出，攻擊者還可以利用Teredo、6to4、ISATAP等IPv6協議機制偽裝各種進攻。攻擊者會讓允許通過的信息包看上去跟正常的IPv4流量毫無差別，只有通過防火墻和IPS的準確核實，才能通過深度包檢測技術(DPI)對IPv6流量完成內容檢測。“目前，能夠支持IPv6并可真正執行IPv6 DPI的IPS產品和防火墻產品為數不多。如果沒有部署其他安全設備或邊界安全網關，攻擊者很可能利用這一疏忽，借助IPv6數據包進入企業核心網絡。”

除此之外，IPv6重定向協議中存在的安全隱患也非常值得人們關注。在IPv6協議中，重定向報文的主要作用是為局域網內的節點提供正確的路由選擇。IPv6重定向協議本身的主要功能是保證主機擁有動態的、小而優的路由表，以提高報文的轉發效率。但是，由于IPv6重定向協議缺乏源地址認證，對于局域網中的惡意節點來說，就可以利用IPv6重定向報文實現數據報的非法重定向，從而實現多種攻擊措施。比如，它首先偽裝路由器，然后再發送Redir報文告訴被攻擊者：發往某個外網節點的數據包，走自己這條路由更好，那么被攻擊節點就會將數據包交由惡意節點轉發，而惡意節點則可以不轉發并禁止其通信，或是進行篡改。

當心“不聽話”的IPv6

在從IPV4向IPV6過渡的過程中，企業將面臨更多的對信息安全問題以及對信息安全體系的重新理解和調整。

首先，為了實現IPv4與IPv6的無縫兼容，很多IPv6設備都內置了各種無狀態的自動配置功能，而這樣的網絡設備對網絡管理員而言卻成了不可控的設備。管理員將難以察覺哪些網絡設備是失控的，而攻擊者卻可以利用這種情況下手。比如攻擊者可以輕易控制一個行為失常的網絡設備讓其修改或降低流量，卻不會被網絡管理員發覺。IPv6帶來的這類風險，恐怕很多網絡管理員還沒有料到。

其次，在企業迎接IPv6的同時，IT管理的難度也會隨之增加。Sophos技術策略主管James Lyne告訴記者，有些對IPv6流量不感興趣的企業，希望設立明確的規則來嚴格阻止IPv6數據包。而IT管理人員必須要知道“如何與IPv6對話”才能編寫相應的規則來處理該協議。

同時，James Lyne也指出了當前的一些問題。他認為，目前業內對于IPv6協議的內置功能如何幫助用戶提高隱私保護方面的問題的探討寥寥無幾，而是更多的把目光聚焦于如何更快捷地部署IPv6，這讓很多不安全的協議、標準、技術被不計后果的廣泛采用，企業在這樣的過渡環境中很容易受到攻擊。

相對于人們在IPv4上積累的安全經驗來說，業界在IPv6安全方面的經驗還有所不足。在逐漸引入IPv6的日子里，所有的網絡設備都不得不支持兩個版本的網絡協議，因此增加的網絡安全風險很可能導致巨大的損失。在看清IPv6之前，人們的警惕與熱情顯然需要并存。