在從IPV4向IPV6過(guò)渡的過(guò)程中，企業(yè)面臨著很多信息安全調(diào)整，安全專家表示。讓情況更糟糕的是，一些攻擊者已經(jīng)開(kāi)始使用IPV6地址空間來(lái)偷偷向IPV4網(wǎng)絡(luò)發(fā)起攻擊。

Sophos公司的技術(shù)策略主管James Lyne表示，眾所周知，企業(yè)間從IPV4向IPV6過(guò)渡過(guò)程非常緩慢，而很多網(wǎng)絡(luò)罪犯就鉆了這個(gè)空子，很多攻擊者在IPV6基礎(chǔ)設(shè)施散步垃圾郵件并且利用了錯(cuò)誤配置的防火墻的缺點(diǎn)。

很多現(xiàn)代防火墻在默認(rèn)配置下都是讓IPV6流量自行通過(guò)的，Lyne表示。那些對(duì)IPV6流量不感興趣的企業(yè)就會(huì)設(shè)立明確的規(guī)則來(lái)嚴(yán)格阻止IPV6數(shù)據(jù)包，IT管理人員需要“知道如何與IPV6對(duì)話”，這樣他們就可以編寫相應(yīng)的規(guī)則來(lái)處理該協(xié)議。

“從行業(yè)的角度來(lái)看，現(xiàn)在銷售IPV6的方式是錯(cuò)誤的，”Lyne表示，他指出關(guān)于該協(xié)議的內(nèi)置功能如何幫助提高隱私性方面的問(wèn)題很少有人探討。相反的，對(duì)IPV6難以部署的普遍觀念讓企業(yè)很容易受到潛在攻擊。

從一般規(guī)則來(lái)看，IPV4和IPV6網(wǎng)絡(luò)是并行運(yùn)行的。具有傳統(tǒng)IPV4地址的計(jì)算機(jī)不能訪問(wèn)在IPV6地址空間運(yùn)行的服務(wù)器和網(wǎng)站。隨著IPV4地址“逐漸衰敗”，業(yè)內(nèi)都鼓勵(lì)企業(yè)轉(zhuǎn)換到IPV6或者無(wú)法獲取新IP地址。負(fù)責(zé)向亞太地區(qū)分配IP地址的亞太網(wǎng)絡(luò)信息中心近日宣布所有新的地址申請(qǐng)將被分配IPV6地址。

一位安全研究人員近日發(fā)現(xiàn)攻擊者可能通過(guò)IPV6網(wǎng)站發(fā)動(dòng)中間人攻擊。InfoSec研究所安全研究人員Alec Waters表示，攻擊者可以覆蓋到目標(biāo)IPV4網(wǎng)絡(luò)上的“寄生”IPV6網(wǎng)絡(luò)來(lái)攔截互聯(lián)網(wǎng)流量，他的概念證明攻擊只考慮了windows 7系統(tǒng)，但是同樣也可能發(fā)生在Vista、Windows 2008 Server和其他默認(rèn)情況下開(kāi)啟了IPV6的操作系統(tǒng)上。

為成功發(fā)動(dòng)攻擊，攻擊者需要獲取對(duì)目標(biāo)網(wǎng)絡(luò)的物理訪問(wèn)，并且時(shí)間足以連接到IPV6路由器。在企業(yè)網(wǎng)絡(luò)的環(huán)境中，攻擊者將需要連接IPV6路由器到現(xiàn)有的IP4樞紐，但是對(duì)于公眾無(wú)線熱點(diǎn)，就非常簡(jiǎn)單了，只需要用IPV6路由器就能發(fā)動(dòng)攻擊。

攻擊者的IPV6路由器將會(huì)使用假的路由器廣告來(lái)為網(wǎng)絡(luò)中啟用了IPV6的機(jī)器自動(dòng)創(chuàng)建新的IPV6地址。

路由器廣告的作用就像是IPV6地址的DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)，它提供了一個(gè)地址池供主機(jī)來(lái)選擇，根據(jù)SANS研究所首席研究官Johannes Ullrich表示。在用戶或者IT管理人員不知情的情況下，他們的機(jī)器已經(jīng)變成IPV6獵物。

雖然系統(tǒng)已經(jīng)有一個(gè)企業(yè)分配的IPV4地址，但是因?yàn)椴僮飨到y(tǒng)處理IPV6的方式，系統(tǒng)會(huì)被打亂到IPV6網(wǎng)絡(luò)?，F(xiàn)代操作系統(tǒng)將IPV6默認(rèn)為首選連接(如果系統(tǒng)同時(shí)被分配了IPV6和IPV4地址的話)。

由于IPV6系統(tǒng)無(wú)法與企業(yè)真正的IPV4路由器進(jìn)行連接，系統(tǒng)必須通過(guò)惡意路由器進(jìn)行路由，Waters表示，攻擊者然后可以使用一個(gè)通道來(lái)將IPV6地址轉(zhuǎn)換到IPV4地址，例如NAT-PT，這是一個(gè)實(shí)驗(yàn)性IPV4到IPV6轉(zhuǎn)換機(jī)制，但是因?yàn)榇嬖诤芏鄦?wèn)題，該機(jī)制并沒(méi)有獲得廣泛支持。

“但并不意味著它沒(méi)有作用，”Waters表示。

通過(guò)NAT-PT，具有IPV6地址的機(jī)器就可以通過(guò)惡意路由器訪問(wèn)IPV4網(wǎng)絡(luò)，使攻擊者對(duì)他們的互聯(lián)網(wǎng)活動(dòng)有了全面了解。,

這種攻擊的嚴(yán)重程度還存在爭(zhēng)議，InfoSec研究所安全計(jì)劃經(jīng)理Jack Koziol表示。根據(jù)常見(jiàn)漏洞清單，“IPV6符合RFC 3484(IPV6協(xié)議)，以及試圖確定RA的合法性目標(biāo)仍位于主機(jī)操作系統(tǒng)推薦行為的范圍外仍然存在爭(zhēng)議。”

不需要使用IPV6或者沒(méi)有完成過(guò)渡的企業(yè)應(yīng)該關(guān)閉所有系統(tǒng)上的IPV6，或者，企業(yè)應(yīng)該“像IPV4一樣對(duì)攻擊進(jìn)行監(jiān)控和抵御”。 

【編輯推薦】

1. 用默認(rèn)設(shè)置下的IPv6漏洞攻擊Windows系統(tǒng)
2. 當(dāng)IPV6網(wǎng)絡(luò)協(xié)議遇到網(wǎng)絡(luò)監(jiān)控
3. IPv6或誘發(fā)垃圾郵件和病毒爆發(fā)
4. 微軟發(fā)布12月補(bǔ)丁 徹底修復(fù)“超級(jí)工廠”攻擊漏洞
5. 聯(lián)想網(wǎng)御全力保障IPv6網(wǎng)絡(luò)安全