【51CTO.COM 獨家翻譯】從IPv4到IPv6的過渡勢必會迫使很多企業(yè)重新思考他們對于網(wǎng)絡(luò)所做的安全措施。其結(jié)果將是，從獲得確定的安全證實之前認定所有進入的信息流量均不安全這種做法，趨向一種"偏執(zhí)的開放性"策略。

這就是Cisco著名的工程師Eric Vyncke的觀點。在上個月于倫敦舉行的RSA大會上，他指出只有當企業(yè)對于流入的信息流量更為開放，他們才能從IPv6中最終獲益。

很多企業(yè)可能會考慮延遲加入下一代IPv6互聯(lián)網(wǎng)協(xié)議的時間，因為第一個吃螃蟹的人總是得不到什么好處。但是，停留于IPv4免費的IP地址中高枕無憂的日子最終還是會走到頭的。屆時，所有人都將步入到IPv6的世界中去，它將提供128位地址（取代IPv4的32位地址），其結(jié)果是驚人的2 ^128 個不同的可用IP地址。這個數(shù)字足以為地球表面的每個原子分配一個唯一的IP地址，更不用說讓每臺連接到網(wǎng)絡(luò)的服務(wù)器、臺式電腦、筆記本、智能手機、網(wǎng)絡(luò)攝像頭和任何其它連接到企業(yè)網(wǎng)絡(luò)中的設(shè)備享受一個單獨的IP地址了。這種點對點的IPv6連接對許多企業(yè)所帶來的巨大好處將不言而喻。

NAPT的安全利益

在考慮它的安全含義以前，讓我們先來看看IPv4中網(wǎng)絡(luò)安全措施的關(guān)鍵部分。通常，一個企業(yè)在它內(nèi)部的局域網(wǎng)（LAN）中會有一系列機器，所有這些機器都設(shè)有本地的IP地址。它們位于防火墻之后，并且共享有限的幾個使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的公共IP地址，或者更準確地說，使用網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NAPT）。這里當然也存在入侵防御系統(tǒng)（IPS）來處理5、6、7層的攻擊，而這種防御措施也可能是一個應(yīng)用防火墻。

NAPT的好處在于它能夠為所有在公司局域網(wǎng)內(nèi)的設(shè)備提供足夠多的私人IP地址，同時能夠保證這些設(shè)備的安全。這是因為在局域網(wǎng)中的設(shè)備的地址都不能被任何防火墻之外的人篡改。此外，由于在防火墻內(nèi)的每臺設(shè)備對于外部攻擊者來說都"不可見"，所以想要襲擊他們并不容易。攻擊者只有通過內(nèi)部網(wǎng)絡(luò)才可以進行網(wǎng)絡(luò)掃描，然后基于其拓撲架構(gòu)和潛在的攻擊弱點形成一個入侵想法。

不論如何，這些都是傳統(tǒng)的思維，但是NAPT真的能夠提供足夠的安全嗎？不可否認，它的確可以阻止來自外部的連接嘗試，但是也無異于一個狀態(tài)性防火墻。任何情況下，都有辦法可以繞過NAPT然后通過私人IP地址登陸機器，例如，像Skype那樣使用反向隧道工具。

就掩藏位于防火墻之后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)而言，類似于計數(shù)ID領(lǐng)域、TCP協(xié)議的時間戳機制或者電子郵件RC 822都可以幫助攻擊者看清你的網(wǎng)絡(luò)設(shè)置，Vyncke補充說。

還有一點值得注意的是，NATP很難進行網(wǎng)絡(luò)取證，讓你不知道哪臺設(shè)備負責何種外部活動。很多類型的攻擊（比如網(wǎng)絡(luò)釣魚）實際上是神不知鬼不覺地始于防火墻內(nèi)部用戶自己進行的惡意軟件下載。NAPT對此則束手無策。一旦電腦遭到惡意軟件的破壞，那么攻擊者就很容易使用網(wǎng)絡(luò)偵查工具（比如Nmap）從內(nèi)部瀏覽你的網(wǎng)絡(luò)了。

為什么IPv6更好？

那么這一切與IP v6的安全性又有什么關(guān)系呢？這也勢必會引發(fā)是否存在某種形式的NAPT形式是可取的這個問題。如果你放棄了NAPT，那么在你的網(wǎng)絡(luò)中的任意設(shè)備和任何外部設(shè)備之間就會有潛在的點對點的受益--因為在IPv6下，每臺設(shè)備都可以擁有自己唯一的IP地址。

所以，在IPv6下不使用NAPT并不會因為攻擊者可以看到你的網(wǎng)絡(luò)拓撲結(jié)構(gòu)而讓它變得更加脆弱。這是因為默認的IPv6子網(wǎng)絡(luò)擁有2^64的IP地址，所以即便是以10Mpps的速度，一個黑客也需要花上五萬年的時間來完成整個網(wǎng)絡(luò)掃描（Nmap甚至可能不能支持IPv6上的掃描）。這并不是說黑客不能對你的網(wǎng)絡(luò)進行偵查--這意味著他們會使用其它手段，比如對入侵計算機進行DNS記錄或者日志和網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)檢查，之后鎖定其它的攻擊目標。

Vyncke的結(jié)論是，由于NAPT幾乎不能在IPv6環(huán)境下提供任何好處，所以為了確保從巨大的新地址空間中獲得最大效益，企業(yè)應(yīng)該學會將之遺棄。因此，他建議對所有的信息流量都使用所謂偏執(zhí)開放政策，而不是阻止所有外部信息流量進入內(nèi)部網(wǎng)絡(luò)（除了少數(shù)幾個特例比如網(wǎng)絡(luò)服務(wù)器流量）。

信息流量檢查需要通過多個系統(tǒng)來實現(xiàn)，Vyncke建議。這些將包括一些類型的IP地址信譽系統(tǒng)來檢查信息流量并阻止任何來自低信譽IP地址的信息和使用動態(tài)簽名更新的入侵防御系統(tǒng)。

未來的安全IPv6網(wǎng)絡(luò)

Vyncke建議，默認的企業(yè)安全策略可以基于以下七個準則，取決于企業(yè)的特殊需求：

1.通過采用單一地址反向傳輸路徑轉(zhuǎn)發(fā)來拒絕所有擁有模糊源地址的數(shù)據(jù)包。

2.阻止一切來自于低信譽IPv6地址的信息流量。

3.檢查出站信息流量，允許返回流量匹配條件，但是僅僅是在它已經(jīng)通過了IPS，以檢測用戶無意間帶入的任何僵尸網(wǎng)絡(luò)流量或者惡意軟件（也可能是由于釣魚攻擊引發(fā)）。

4.允許入站網(wǎng)絡(luò)流量進入在公共DNS中擁有AAAA記錄的地址。

5.如果某個內(nèi)部地址從來沒有發(fā)送過任何來自企業(yè)外部的信息，阻止一切信息流量進入該內(nèi)部地址。這是為了保護內(nèi)部設(shè)備比如打印機不被外部訪問。

6.攔截所有入站SSL/TLS信息流量，用自簽名的證書來對它進行解密，在允許它們進入之前對它們進行檢查。

7.在通過IPS之后，默認允許所有其它入站信息流量，但是要對它們的速率進行限制，以此來避免設(shè)備超載。

對于許多企業(yè)而言，Vyncke的建議可能有些過于激進，在IPv6式的點到點連接的好處被證實之前尤為如此。但是不要忘記，企業(yè)之所以能夠樂意面對將局域網(wǎng)連入互聯(lián)網(wǎng)的風險，唯一的原因就是這么做所帶來的好處值得他們?nèi)ッ斑@個風險。

作者：Paul Rubens

出處：http://www.enterprisenetworkingplanet.com

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】