IPv6或藏更大黑洞 需调整战略防止攻击

2011-08-19 14:41:14 来源:比特网 责任编辑: cpslili 收藏本文

　　任何事情都具有两面性，有一利往往也必有一弊。就像IPv6，它为互联网带来了几乎无限的IP地址资源的同时，也改变了互联网的安全环境，让更大的风险随之而至。

　　从当前所获取的一些网络攻击事件的信息来看，尽管IPv4向IPv6的过渡才刚刚开始，但一些攻击者却已经开始通过IPv6的基础设施散布垃圾邮件，甚至利用IPv6的地址空间向IPv4网络发起攻击。

　　“看上去很美”的IPv6是否存在更大的安全黑洞？在热情迎接IPv6的同时，我们是否看到了藏匿在过渡过程中的安全隐患？人们在IPv4环境中积累的安全经验是否也适用于IPv6?

　　通过“认证”就够了吗

　　三年前，一则关于“Windows Vista系统中所包含的Teredo技术存在潜在安全隐患”的消息，就暴露出一些IPv4向IPv6过渡的安全问题。Teredo是一项地址分配和自动隧道技术，它能通过IPv4网络传递IPv6流量，帮助客户端实现对IPv4与IPv6协议的兼容。当时就有安全专家指出，Teredo客户端可以在把IPv6数据包传递到另一目的地的同时，绕过基于网络的源路由控制，穿透防火墙等安全设备，而在Vista系统下该功能还默认启用，这种技术所形成的安全漏洞很容易被黑客所利用。由于当时没有任何系统能够有效过滤所有的Teredo数据包，专家只能建议网络管理员先禁用Teredo功能，并倡议防火墙、入侵检测系统和路由器等厂商增加对Teredo协议的支持，以确保常规的网络安全产品能够过滤所有的Teredo数据包。

　　事实上，“Teredo事件”只是IPv6所带来的安全隐患的一个缩影。因为三年过后，Teredo的问题还没有完全解决，大量类似的过渡技术却开始更广泛使用(如6to4、SIT机制及基于IPv6的UDP通信等标准过渡方式)，并且使用这些技术的相关产品还纷纷通过了IPv6认证。这种状况下，不免让记者对当前大批挂着IPv6认证标志的网络安全产品的真实效果感到担忧。

　　Radware 安全产品总监Ron Meyran告诉记者，虽然目前不少厂商都宣称自己拥有通过了IPv6认证的安全产品，但事实上许多厂商只是提供了一个特别的版本，仅能够支持与IPv6网络通信的能力或依靠某个License运行，并不意味着这些产品能够有效解决IPv6带来的安全问题。甚至很多安全产品在处理类似Teredo的问题时，不是存在局限性就是彻底无效。

　　他表示，即使是对于某些通过认证的安全设备，企业也要慎重选择。在不了解它们的运作机制前，不能盲目采购。比如，企业依旧需要检测防火墙是否可以让一些未经检查的IPv6流量轻松通过，而不是将其视为非IPv6应用版加以拦截、检查;IPv6流量是否可以绕过多个深层数据包引擎的硬件组件等。此外，由于IPv6地址的长度是IPv4的4倍，会因此显着影响网络安全产品的流量处理速度。根据这个特点，也可以帮助大家判断出相关安全产品支持IPv6的真伪。

　　注意它的先天不足

　　和IPv4相比，IPv6在设计之初，就对安全问题做出了更多的考虑。借助IPSec(Internet 协议安全性)，IPv6的安全性能确实得以改善。但是，近来发生的网络攻击事件显示，IPSec并不能处理IPv6网络中的所有漏洞问题。而对比IPv4，新的网络环境要更为复杂，所产生的网络漏洞也更难预料。例如，攻击者的IPv6路由器可以使用虚假广告，为网络中已启用IPv6的设备自动创建新的IPv6地址;一些过渡机制使IPv6与IPv4网络之间可以相互影响，反而为网络攻击者提供了更丰富的可利用的资源;过渡工具可以为各种IPv4应用提供连接到IPv6服务的连接方式，IPv6应用也可连接到IPv4服务，这种状况可以让网络攻击变得更为疯狂;IPv6地址的长度也会成为攻击者借助的有力工具，因为基于IPv6的流量过滤将增加安全设备CPU的负担，攻击者发起的DDoS攻击所产生的流量，将比以往更易导致网络设备和服务器的瘫痪。

　　而且，尽管IPv6的内部加密机制是为用户与服务器之间的交流提供身份认证与保密功能的，但该功能却给防火墙和IPS也“下了绊儿”。它令攻击者得以利用加密机制绕过防火墙和IPS检查，直接向服务器发起攻击，原因正在于这些安全设备无法检测加密内容。Ron Meyran指出，攻击者还可以利用Teredo、6to4、ISATAP等IPv6协议机制伪装各种进攻。攻击者会让允许通过的信息包看上去跟正常的IPv4流量毫无差别，只有通过防火墙和IPS的准确核实，才能通过深度包检测技术(DPI)对IPv6流量完成内容检测。“目前，能够支持IPv6并可真正执行IPv6 DPI的IPS产品和防火墙产品为数不多。如果没有部署其他安全设备或边界安全网关，攻击者很可能利用这一疏忽，借助IPv6数据包进入企业核心网络。”