在我們興奮地使用IPv6網(wǎng)絡(luò)的時(shí)候，卻突然聽(tīng)說(shuō)IPv4和IPv6協(xié)議一樣存在著安全漏洞。這似乎讓我們的網(wǎng)絡(luò)推進(jìn)陷入了尷尬的境地。那么到底是不是真的有安全問(wèn)題呢？從下面我們來(lái)詳細(xì)的分析一下。

我們都知道在IPv4中圍繞ARP的問(wèn)題很多，其中它可以惡意地重定向流量。IPv6也存在非常類(lèi)似的問(wèn)題，只是名稱(chēng)有所改變：NDP（Neighbor Discovery Protocol)中毒，而不是ARP中毒。這里可以使用相同的減緩技術(shù)。此外，SEcure Neighbor Discovery (SEND)甚至通過(guò)加密來(lái)保護(hù)NDP，唯一需要說(shuō)明的是它仍然未在Microsoft Windows 或者 Mac OS/X上實(shí)現(xiàn)。

總的來(lái)說(shuō)，IPv4和IPv6協(xié)議對(duì)于安全性是幾乎相同的。唯一的問(wèn)題是大多數(shù)網(wǎng)絡(luò)和安全架構(gòu)師和員工都不知道IPv6，并且他們目前缺乏這個(gè)新協(xié)議的操作技能。這幾個(gè)月是相當(dāng)危險(xiǎn)的，只有所有的人都接受了培訓(xùn)和具備了經(jīng)驗(yàn)才可以有效規(guī)避風(fēng)險(xiǎn)。

◆Internet Protocol版本6存在安全漏洞嗎？如果有，那么該如何修訂IPv6來(lái)提高網(wǎng)絡(luò)安全性呢？

IPv6的報(bào)頭（擴(kuò)展/選項(xiàng)頭）在處理方式上會(huì)有一些漏洞。同時(shí)，Neighbor Discovery Protocol (NDP)也存在漏洞。實(shí)際上沒(méi)有任何方式可以修訂IPv6 協(xié)議本身，但是你可以選擇性地過(guò)濾網(wǎng)絡(luò)允許的消息。消息可以在網(wǎng)絡(luò)的邊緣和內(nèi)部進(jìn)行過(guò)濾以便幫助防范這些類(lèi)型的攻擊。

由于IPv4和IPv6協(xié)議相比，只是一個(gè)很小的升級(jí)，因此，協(xié)議本身并沒(méi)有任何不同，也沒(méi)有重大的漏洞。當(dāng)然，大多數(shù)供應(yīng)商的實(shí)現(xiàn)中會(huì)存在一些漏洞，但是現(xiàn)在他們幾乎都可以自己處理。

IETF（Internet的標(biāo)準(zhǔn)主體）已經(jīng)標(biāo)準(zhǔn)化了兩個(gè)小的IPv6升級(jí)：

Secure Neighbor Discovery，依靠加密技術(shù)來(lái)保護(hù)IPv6地址到Ethernet MAC地址映射的動(dòng)態(tài)信息。

去除臭名昭著的Routing Header Type 0，它會(huì)導(dǎo)致某些拒絕服務(wù)攻擊(DoS)。

◆如果聯(lián)邦政府已經(jīng)移植到IPv6（由于它已經(jīng)確定的2008年期限），那么將對(duì)企業(yè)發(fā)生什么影響呢？

U.S.政府已經(jīng)做了遷移到IPv6的前期工程，但是完全遷移還需要一段時(shí)間。很多聯(lián)邦組織只是簡(jiǎn)單地開(kāi)啟IPv6功能來(lái)滿(mǎn)足2008年6月的截止日期要求，然后又馬上關(guān)閉IPv6連接來(lái)避免攻擊。他們并沒(méi)有完全部署IPv6和擁有完全的DNS雙重協(xié)議記錄或者任何應(yīng)用內(nèi)容。衷心希望，這本書(shū)將為這些組織演示他們?cè)撊绾我院侠淼陌踩?jí)別部署IPv6來(lái)減少風(fēng)險(xiǎn)。他們不需要懼怕IPv6和任何“未知的”漏洞存在。他們可以很自信地使用這本書(shū)上所描述的技術(shù)來(lái)部署最初的雙重堆棧功能。

只要企業(yè)與聯(lián)邦政府之間沒(méi)有任何關(guān)系，那么他們就不會(huì)擔(dān)憂(yōu)截止時(shí)間。

◆同時(shí)運(yùn)行IPv4和IPv6會(huì)引發(fā)特別的安全問(wèn)題嗎？

是的——由于你運(yùn)行兩個(gè)協(xié)議，因此，你的組織同時(shí)受到這兩個(gè)協(xié)議問(wèn)題的攻擊。同時(shí)還存在一些利用一個(gè)協(xié)議攻擊對(duì)另一個(gè)協(xié)議的問(wèn)題。因此，我們往往都建議你的組織盡量不要使用雙重協(xié)議?，F(xiàn)在的目標(biāo)并不是獲得雙重堆棧而是只要IPv6。

運(yùn)行雙重堆棧環(huán)境并不總是會(huì)造成安全問(wèn)題，但是，用戶(hù)必須注意的是計(jì)算機(jī)目前是同時(shí)暴露于IPv4和IPv6協(xié)議的攻擊。這并不表示計(jì)算機(jī)會(huì)受到兩倍于之前的攻擊，而是用戶(hù)必須在個(gè)人防火墻和其它安全產(chǎn)品（如Microsoft Windows）的幫助下同時(shí)保護(hù)計(jì)算機(jī)的IPv4和IPv6協(xié)議。