專家表示，許多美國機構(gòu)的網(wǎng)絡(luò)中都隱藏著正在運行的IPv6信息，而且只有少數(shù)網(wǎng)絡(luò)管理員裝備有可察看、管理或阻止這些IPv6信息的設(shè)備。這種IPv6流氓信息中慢慢地開始包括了僵尸網(wǎng)絡(luò)命令與控制等攻擊信息。

Juniper聯(lián)盟的系統(tǒng)工程主管Tim LeMaster稱：“如果你無法監(jiān)控自己網(wǎng)絡(luò)中的IPv6信息，那么IPv6將成為一個攻擊途徑。許多網(wǎng)絡(luò)管理員都不知道他們能夠允許一個用戶在主機上運行IPv6，并且部分用戶還可以在他們不知情的情況下向該主機發(fā)送惡意信息?！?/P>

由于缺乏IPv6防火墻、入侵偵測系統(tǒng)和網(wǎng)絡(luò)管理工具，多數(shù)美國網(wǎng)絡(luò)管理員都無法察覺到這些IPv6流氓信息。除非這些機構(gòu)部署了能夠監(jiān)測隧道信息的安全機制，否則IPv6信息可能通過隧道與IPv4連接，并偽裝成正常的IPv4數(shù)據(jù)包。

北美IPv6工作組技術(shù)主管和惠普知名技術(shù)專家Yanick Pouffary稱：“至少有一半的美國公司首席信息官不知道他們的網(wǎng)絡(luò)中有IPv6信息，但是黑客們卻對此了如指掌。你不能忽視這些IPv6信息，你需要采取行動保護你的網(wǎng)絡(luò)。你不僅需要部署能夠監(jiān)測IPv4和IPv6信息的防火墻，還需要能夠分析IPv4和IPv6信息的網(wǎng)絡(luò)管理工具?！?/P>

思科的公共部門集團系統(tǒng)工程主管Dave West稱：“盡管《財富》500強中的多數(shù)公司并不考慮部署IPv6，但是他們的網(wǎng)絡(luò)中卻一直存在著IPv6信息。在今天，你可能不會將IPv6看做一個商業(yè)驅(qū)動力。但是無論與否，你的網(wǎng)絡(luò)中都在運行著IPv6?！?/P>

IPv6是互聯(lián)網(wǎng)主要通信協(xié)議IPv4的升級協(xié)議。與IPv4相比，IPv6有著更多的地址空間，具有針對流媒體和P2P程序的內(nèi)嵌式安全與支援特性。通過十年的推廣，IPv6已經(jīng)逐漸在美國被接受。目前已擁擠不堪的IPv4地址預(yù)計將在2011年補耗盡。在未來幾年內(nèi)，美國國內(nèi)的運營商和公司部署IPv6的壓力將逐漸增大。

如今，盡管基于IPv6的威脅并沒有得到充分的關(guān)注，但是這個威脅正在日益突顯。比如說，基于IPv6的攻擊已經(jīng)在今年6月份召開的美國國家安全電信咨詢委員會會議上被提了出來。美國國家安全電信咨詢委員會是一個在網(wǎng)絡(luò)安全方面向白宮提供建議的高級行業(yè)團體。

Verizon公司高級互聯(lián)網(wǎng)工程師Jason Schiller稱：“我們已經(jīng)發(fā)現(xiàn)大量基于IPv6的命令與控制信息。黑客們正在試圖用IPv6來突破監(jiān)控。我們還發(fā)現(xiàn)大量的網(wǎng)絡(luò)中存在著基于IPv6的命令與控制信息。此外，我們還發(fā)現(xiàn)了能夠讓IPv6信息通過P2P傳輸?shù)姆欠ㄎ募蚕?。?/P>

IPv6流氓信息對于網(wǎng)絡(luò)管理員來說是一種新出現(xiàn)的威脅。對于機構(gòu)來說，最大的風(fēng)險是由于沒有看到升級至IPv6的商業(yè)驅(qū)動力，因此決定推遲部署IPv6。這種想法普遍存在于許多美國公司之中。

由于眾多美國聯(lián)邦機構(gòu)已經(jīng)在他們的骨干網(wǎng)絡(luò)上部署了IPv6，因此這些聯(lián)邦機構(gòu)能夠較好地抵御基于IPv6的威脅。目前許多美國聯(lián)邦機構(gòu)正在持續(xù)推進將IPv6與企業(yè)架構(gòu)和資本投資進行整合的計劃。

美國標準與技術(shù)研究院計算機安全部門的計算機專家Sheila Frankel稱：“IPv6流氓信息是一個非?，F(xiàn)實的威脅。許多公司的網(wǎng)絡(luò)中正在運行著IPv6信息，而這些公司并不知情。許多電腦和其它設(shè)備中在出廠時就已經(jīng)帶有了激活的IPv6，如果你沒有做好防范IPv6攻擊的必要準備，那么這些IPv6信息將會給你的網(wǎng)絡(luò)中的所有設(shè)備制造麻煩。你不僅需要在網(wǎng)絡(luò)中做好防范IPv6攻擊的準備，還應(yīng)當阻止這些IPv6流氓信息進出你的網(wǎng)絡(luò)。”

Frankel建議那些不想運行IPv6的機構(gòu)購買能夠阻止自帶的和通過隧道傳輸IPv6信息的防火墻和入侵防范系統(tǒng)。他稱：“你不僅要阻止純IPv6信息，還要阻止那些打包在其它信息中的IPv6信息。網(wǎng)絡(luò)管理員應(yīng)當意識到IPv6不僅可以通過IPv4信息建立隧道進行傳輸，而且可以通過其它不同類型的傳輸機制進行傳輸。這些網(wǎng)絡(luò)管理員還應(yīng)當熟知阻止這些不同等級信息進行傳輸?shù)谋匾胧??！?p#

IPv6流氓信息源自何處?

由于微軟VISTA、Windows Server 2008、Mac OS X、Linux和Solaris等許多操作系統(tǒng)在出廠時就已經(jīng)默認激活了IPv6，因此這些IPv6信息可以進入你的網(wǎng)絡(luò)中。網(wǎng)絡(luò)管理員需要關(guān)閉網(wǎng)絡(luò)中每臺設(shè)備中的IPv6設(shè)置或讓這些設(shè)備無法接收和發(fā)送IPv6信息。

IPv6咨詢機構(gòu)命令信息團體中的IPv6安全主管Joe Klein稱：“默認激活I(lǐng)Pv6設(shè)置的系統(tǒng)大約有3億多個，這是一個很大的風(fēng)險。”

專家指出，許多網(wǎng)絡(luò)管理員經(jīng)常會忘記將網(wǎng)絡(luò)中的計算機、服務(wù)器和移動設(shè)備的IPv6默認設(shè)置關(guān)閉。與此同時，許多機構(gòu)雖然安裝了基于IPv4的防火墻和網(wǎng)絡(luò)管理工具，但是這些防護工具不能自動阻止進入網(wǎng)絡(luò)的IPv6信息。

Klein稱：“我們目前發(fā)現(xiàn)最常見的IPv6攻擊環(huán)境是當你的網(wǎng)絡(luò)設(shè)備具有雙堆棧時，這意味著這些設(shè)備可以運行IPv4和IPv6。如果你僅安裝了IPv4防火墻，那么在你和攻擊者之間可以運行IPv6。攻擊者可以通過IPv6穿過防火墻，因為這時你的防火墻無法監(jiān)測IPv6?！?/P>

另一個常見問題是IPv6信息可以通過Teredo或站點內(nèi)部自動隧道尋址協(xié)議(ISATAP)等技術(shù)聯(lián)通IPv4。

Klein稱：“典型的IPv4安全設(shè)備無法監(jiān)測IPv6隧道。這些安全設(shè)備對IPv6的防護非常弱?！彼赋?，網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中發(fā)現(xiàn)IPv6設(shè)備的唯一手段是運行IPv6。即便如此，網(wǎng)絡(luò)管理員也很難發(fā)現(xiàn)IPv6隧道。Klein稱：“你或許能夠發(fā)現(xiàn)3個最大的主要隧道，但是你根本無法發(fā)現(xiàn)全部的次要隧道?！?/P>

為了對付這些威脅，命令信息團體提供了一個名為Assure6的軟件。該軟件可以與深度信息包監(jiān)測系統(tǒng)聯(lián)合工作，從而識別通過IPv4傳輸?shù)腎Pv6信息。與此同時，McAfee也提供了一個可以對所有IPv6信息和隧道進行監(jiān)控的網(wǎng)絡(luò)安全平臺。思科和Juniper則提供了激活I(lǐng)Pv6的路由器、防火墻和一些允許網(wǎng)絡(luò)管理員設(shè)備IPv6安全策略的系統(tǒng)。

Klein稱，他每個月內(nèi)都可以接到了一到兩個反映遭到IPv6流氓信息攻擊的求助電話。他稱：“我們設(shè)置的一個蜜罐(注：該技術(shù)會虛擬一臺有“缺陷”的電腦，等著惡意攻擊者上鉤)已經(jīng)發(fā)現(xiàn)了僅使用IPv6攻擊的僵尸網(wǎng)絡(luò)。通過我們的路由器時，這些IPv6攻擊會將自己偽裝成IPv4。這些IPv6惡意信息會將通過位于遠東的僵尸網(wǎng)絡(luò)發(fā)動攻擊或發(fā)布惡意指令和控制信息。”

LeMaster指出，雖然目前IPv6攻擊還為數(shù)不多，但是已經(jīng)出現(xiàn)了增長趨勢。他稱：“由于激活了IPv6的人并不算多，因此這類攻擊的目標并不像IPv4那么豐富?！?/P>

Frankel稱，基于IPv6的威脅目前已經(jīng)非常普遍，每個網(wǎng)絡(luò)管理員都應(yīng)當制定一個防范IPv6攻擊的計劃，以減少IPv6攻擊。他稱：“目前已經(jīng)沒有人敢聲稱他們沒有遇到病毒和垃圾郵件的攻擊。如果我們忽視了IPv6攻擊，那么這類攻擊很快就會落到我們頭上?！?p#

阻止還是不阻止IPv6?

對于網(wǎng)絡(luò)管理員阻止IPv6信息或讓IPv6信息能夠接受監(jiān)控是不是最好的辦法，專家們的意見并不一致。

許多專家認為如果機構(gòu)不準備支持IPv6的話，那么他們應(yīng)當通過激活I(lǐng)Pv6設(shè)置的路由器、防火墻、入侵阻止系統(tǒng)和入侵偵測系統(tǒng)阻止IPv6信息進出網(wǎng)絡(luò)。

LeMaster稱：“網(wǎng)絡(luò)管理員應(yīng)當制定一些對策來探測IPv6信息，看看這些IPv6信息是否隱藏在其它信息包中。通過安全事件管理解決方案，網(wǎng)絡(luò)管理員需要查看進入網(wǎng)絡(luò)的信息。他們需要讓這些隱藏的信息現(xiàn)身。如果他們看到了IPv6信息，他們需要發(fā)現(xiàn)這些IPv6信息來自哪個主機或?qū)⒁ナ裁吹胤?，然后將這些信息關(guān)閉?！?/P>

不過，這些專家承認，由于越來越多的客戶和商業(yè)伙伴開始支持IPv6，因此阻止IPv6信息是一個臨時的解決方案。

LeMaster指出：“如果你還沒有為IPv6做好準備，那么謹慎的方法是不允許這些IPv6信息進入你的網(wǎng)絡(luò)。不過，在未來五年里，你不應(yīng)當阻止所在的IPv6信息。你在制定出對策和搞清楚威脅之前面，你唯一能做的就是阻止這些IPv6信息?！?/P>

專家指出，從長遠來看，最佳的解決方案是開始運行IPv6，這樣你就可以讓你的IPv6信息變?yōu)榭梢姞顟B(tài)，并且為新協(xié)議積累經(jīng)驗。

命令信息團體的先進技術(shù)解決方案副總裁Lisa Donnan稱：“我們不推薦阻止IPv6信息。我們建議網(wǎng)絡(luò)管理員們審查和查找自己網(wǎng)絡(luò)中有多少IPv6設(shè)備和程序。如果你在自己的網(wǎng)絡(luò)中發(fā)現(xiàn)了IPv6信息，那么你應(yīng)當為此制定一個計劃，訓(xùn)練和執(zhí)行IPv6。”

思科推薦他們的客戶對IPv6采用與IPv4相同的安全策略。這些安全策略將使用一個分層解決方案。West稱：“設(shè)置管理、設(shè)置控制和策略對于目前網(wǎng)絡(luò)中所有的IPv6設(shè)備來說都十分關(guān)鍵。設(shè)置管理是IPv6問題中的一個最大威脅?！?/P>

Frankel指出，目前公司應(yīng)當開始著手訓(xùn)練自己的雇員，讓雇員們熟悉并掌握IPv6，這樣一來這些雇員才能保護自己不受基于IPv6的攻擊。

他稱：“公司在IPv6方面至少應(yīng)當有最低限度的專家指導(dǎo)意見，這些意見可以讓公司避免受到基于IPv6的攻擊。另一方面，這些公司還應(yīng)當管理好自己的對外服務(wù)器，讓IPv6在這些服務(wù)器上運行，因為這些對外服務(wù)器相當于公司的防火墻。這樣一來，已經(jīng)使用IPv6地址的亞洲客戶能夠訪問這些服務(wù)器，他們自己的雇員也會在IPv6方面獲得專家的指導(dǎo)意見，而這將成為整個進程中的第一步?！?/P>

此外，F(xiàn)rankel指出：“IPv6已經(jīng)來臨。最好的辦法是提前做好面對它的準備，然后確定自己如何以最安全的方式應(yīng)對它。”

【編輯推薦】

1. 中印部署新一代互聯(lián)網(wǎng)協(xié)議IPv6 美國將喪失優(yōu)勢
2. 專題：IPv6協(xié)議拓展網(wǎng)絡(luò)無限空間