IPv6或藏更大黑洞 需调整战略防止攻击

2011-08-19 14:41:14 来源:比特网 责任编辑: cpslili 收藏本文

　　除此之外，IPv6重定向协议中存在的安全隐患也非常值得人们关注。在IPv6协议中，重定向报文的主要作用是为局域网内的节点提供正确的路由选择。IPv6重定向协议本身的主要功能是保证主机拥有动态的、小而优的路由表，以提高报文的转发效率。但是，由于IPv6重定向协议缺乏源地址认证，对于局域网中的恶意节点来说，就可以利用IPv6重定向报文实现数据报的非法重定向，从而实现多种攻击措施。比如，它首先伪装路由器，然后再发送Redir报文告诉被攻击者：发往某个外网节点的数据包，走自己这条路由更好，那么被攻击节点就会将数据包交由恶意节点转发，而恶意节点则可以不转发并禁止其通信，或是进行篡改。

　　当心“不听话”的IPv6

　　在从IPV4向IPV6过渡的过程中，企业将面临更多的对信息安全问题以及对信息安全体系的重新理解和调整。

　　首先，为了实现IPv4与IPv6的无缝兼容，很多IPv6设备都内置了各种无状态的自动配置功能，而这样的网络设备对网络管理员而言却成了不可控的设备。管理员将难以察觉哪些网络设备是失控的，而攻击者却可以利用这种情况下手。比如攻击者可以轻易控制一个行为失常的网络设备让其修改或降低流量，却不会被网络管理员发觉。IPv6带来的这类风险，恐怕很多网络管理员还没有料到。

　　其次，在企业迎接IPv6的同时，IT管理的难度也会随之增加。Sophos技术策略主管James Lyne告诉记者，有些对IPv6流量不感兴趣的企业，希望设立明确的规则来严格阻止IPv6数据包。而IT管理人员必须要知道“如何与IPv6对话”才能编写相应的规则来处理该协议。

　　同时，James Lyne也指出了当前的一些问题。他认为，目前业内对于IPv6协议的内置功能如何帮助用户提高隐私保护方面的问题的探讨寥寥无几，而是更多的把目光聚焦于如何更快捷地部署IPv6，这让很多不安全的协议、标准、技术被不计后果的广泛采用，企业在这样的过渡环境中很容易受到攻击。

　　相对于人们在IPv4上积累的安全经验来说，业界在IPv6安全方面的经验还有所不足。在逐渐引入IPv6的日子里，所有的网络设备都不得不支持两个版本的网络协议，因此增加的网络安全风险很可能导致巨大的损失。在看清IPv6之前，人们的警惕与热情显然需要并存。