51CTO編者按：由于前幾天的IPv6日，最近又掀起了一股IPv6測(cè)試的浪潮，各個(gè)廠家以及企業(yè)都關(guān)注于IPv6的部署。由于現(xiàn)階段處在IPv4和IPv6的共存階段，對(duì)于網(wǎng)絡(luò)安全問題又提出了新的挑戰(zhàn)。這段時(shí)間各種黑客攻擊絡(luò)繹不絕，不少重要機(jī)構(gòu)和跨國企業(yè)都遭到了一些網(wǎng)絡(luò)攻擊，全球黑客襲擊進(jìn)入新一輪活躍期，那么在這個(gè)IPv6過渡的關(guān)鍵時(shí)刻，黑客會(huì)不會(huì)趁機(jī)進(jìn)行一些攻擊行為呢？這個(gè)我們還不得而知，然而，在這場(chǎng)攻防戰(zhàn)之中，我們可以在部署IPv6的同時(shí)，做好安全防護(hù)，在這場(chǎng)戰(zhàn)役中，取得先機(jī)。

據(jù)監(jiān)控互聯(lián)網(wǎng)協(xié)議版本6（IPv6）協(xié)議轉(zhuǎn)換的專家稱，企業(yè)過渡到IPv6對(duì)信息安全專家來講是一個(gè)需小心應(yīng)付的局勢(shì)：IPv6配置錯(cuò)誤，軟件漏洞和在安全設(shè)備中不可信的IPv6安全特征都可能讓聰明的攻擊者輕易進(jìn)入敏感系統(tǒng)。

目前為止，IPv6普及的還比較緩慢，同時(shí)IPv6流量只占所有互聯(lián)網(wǎng)流量的10%左右，但是專家預(yù)言IPv6的使用率在接下來的幾年將保持一個(gè)穩(wěn)定的增長(zhǎng)，并且企業(yè)將需要網(wǎng)絡(luò)系統(tǒng)來支持它。這是因?yàn)殡S著IPv4地址空間的用盡，轉(zhuǎn)換的緊迫性日益增加；專家預(yù)測(cè)一些網(wǎng)絡(luò)服務(wù)提供商將在9月就用完它們的IPv4地址。

然而，據(jù)一些人估計(jì)，這個(gè)過渡可能需要長(zhǎng)達(dá)三年多的時(shí)間，專家稱現(xiàn)在正是各個(gè)組織開始計(jì)劃如何過渡到IPv6的時(shí)候。這個(gè)協(xié)議本身比IPv4更復(fù)雜，并且如果沒有經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)專業(yè)人員知識(shí)的話，很多人相信企業(yè)將會(huì)置身于IPv6攻擊之中。

“這些協(xié)議棧很不成熟，當(dāng)有新的東西出現(xiàn)時(shí)，就引起一些早期問題，你可能還會(huì)發(fā)現(xiàn)漏洞。”Silvia Hagen說，她是IPv6核心要件的創(chuàng)始人和瑞士Sunny Connection AG公司的首席執(zhí)行官，在那里她作為高級(jí)顧問和分析師而工作。“將會(huì)有補(bǔ)丁和更新，但是企業(yè)需要避開圍繞這個(gè)話題的炒作。”

這種炒作在上周可能達(dá)到了一個(gè)歷史最高點(diǎn)。6月8日作為世界IPv6日，許多主要站點(diǎn)，網(wǎng)絡(luò)服務(wù)提供商和一些早期的企業(yè)使用者將會(huì)測(cè)試這個(gè)協(xié)議。這個(gè)活動(dòng)由互聯(lián)網(wǎng)協(xié)會(huì)舉辦（這是一個(gè)促進(jìn)互聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)，教育和政策的非盈利性組織）。世界IPv6日將不僅測(cè)試產(chǎn)品系統(tǒng)的IPv6兼容性問題，而且要弄清楚IPv4地址的減少量，它是引導(dǎo)IPv6過渡的主要驅(qū)動(dòng)力。

Andy Champagne是Akamai Technologies公司的工程副總裁，這個(gè)公司是許多大型企業(yè)的網(wǎng)絡(luò)內(nèi)容提供商，他說他不希望在6月8日的協(xié)議測(cè)試中出現(xiàn)任何中斷。相反，Champagne認(rèn)為企業(yè)網(wǎng)絡(luò)專家應(yīng)該利用這一天來教育他們自己并傳播這個(gè)即將到來的過渡。

“你可以推遲IPv6并在將來面對(duì)一個(gè)真正困難的過渡，或者你可以隨著諸如IPv6日等活動(dòng)開始行動(dòng)并通過這些行動(dòng)而擁有一個(gè)良好簡(jiǎn)單的過渡，” Champagne說道，“當(dāng)涉及到安全時(shí)，我認(rèn)為一個(gè)更加審慎的方法是：去嘗試著做這件事，而不是在絕對(duì)必要時(shí)才去做。”

Fernando Gont表示，對(duì)IPv6固有漏洞的研究非常少。Gont是一位已經(jīng)為英國一些政府部門測(cè)試過IPv6配置的網(wǎng)絡(luò)工程師和安全顧問。Gont表示，研究論文的缺乏和鮮有來自早期采用者的最好實(shí)踐導(dǎo)致很多企業(yè)對(duì)這個(gè)過渡持觀望態(tài)度。他表示，隨著時(shí)間的推移，這個(gè)協(xié)議將會(huì)增加安全研究人員對(duì)其的興趣，同時(shí)額外的弱點(diǎn)也會(huì)出現(xiàn)。

“對(duì)于IPv4，我們已經(jīng)擁有超過20年的運(yùn)行和配置這個(gè)協(xié)議的經(jīng)驗(yàn)，而對(duì)于IPv6，我們才僅僅與這個(gè)協(xié)議打了幾年交道，” Gont說，“問題是當(dāng)涉及到制作良好的默認(rèn)配置時(shí)，供應(yīng)商還沒有完成這個(gè)工作，并且所有安全問題還沒有被探究。”

網(wǎng)絡(luò)專家應(yīng)該開始學(xué)習(xí)這個(gè)協(xié)議，而安全專家需要弄明白安全設(shè)備是否可以處理IPv6流量，Gont說道。支持IPv6的設(shè)備——防火墻，入侵防御系統(tǒng)和其他網(wǎng)絡(luò)安全設(shè)備——也面臨著一些審查并可能包含漏洞。另外，操作系統(tǒng)和其它軟件將會(huì)默認(rèn)的支持IPv6，目前，Windows 7是支持IPv6的，這為網(wǎng)絡(luò)犯罪提供了另一個(gè)可能的攻擊向量，他說道。

最終，IPv6可以提高安全性，支持IPsec加密，并為主機(jī)之間的相互驗(yàn)證提供一個(gè)終端到終端的方案。但在短期內(nèi)，Gont表示，IPv6的引入很有可能會(huì)增加重大的網(wǎng)絡(luò)安全威脅，因?yàn)榫W(wǎng)絡(luò)設(shè)備需要支持網(wǎng)絡(luò)協(xié)議的兩個(gè)版本。一些設(shè)備需要被替換掉，而另一些將通過軟件更新來支持v6。當(dāng)建立一個(gè)雙棧網(wǎng)絡(luò)時(shí)，組織需要制定單獨(dú)的安全政策并決定哪些應(yīng)用程序和服務(wù)可以使用v6來訪問。

“相對(duì)于v4來講，我們?cè)趘6方面具有的經(jīng)驗(yàn)更少，而且很可能的是當(dāng)v6被應(yīng)用的時(shí)候，許多IPv6的安全問題被忽視。”Gont說，“在IPv6實(shí)施過程中，在它的成熟度同v4一樣之前，會(huì)有很多漏洞被發(fā)現(xiàn)。”

來自Akamai公司的Champagne表示，網(wǎng)絡(luò)社區(qū)目前對(duì)這個(gè)協(xié)議和如何適當(dāng)?shù)臑樗才虐l(fā)展路線有更好的理解，但是如果出師不利，IPv6的復(fù)雜性可能會(huì)使一些企業(yè)的網(wǎng)絡(luò)很脆弱。比如說，在一些Linux風(fēng)格中，IPv4防火墻和IPv6防火墻是完全不同的系統(tǒng)并且必須單獨(dú)地配置，Champagne說道。他說，在沒有以上認(rèn)識(shí)的情況下啟用IPv6將會(huì)使得通過IPv6的傳輸是完全開放的。

“請(qǐng)確保你正在檢查你的特定系統(tǒng)的文件，以便弄清楚它們是如何處理IPv6流量的。”Champagne說，“你肯定不希望IPv6成為進(jìn)入你企業(yè)的后門。”