關(guān)于IPv4網(wǎng)址何時(shí)最終用盡的預(yù)測，就像關(guān)于世界末日何時(shí)到來的預(yù)測一樣，永無休止。但是一些IT安全專家卻說這樣的擔(dān)憂不值一提。

他們說，更大的問題在于，當(dāng)全世界開始改用IPv6網(wǎng)址時(shí)，很多商業(yè)機(jī)構(gòu)的安全漏洞將隨之顯現(xiàn)。

這是改用IPv6網(wǎng)址后應(yīng)該關(guān)注的重要問題，但是卻淹沒在相關(guān)機(jī)構(gòu)對IPv6的大肆宣傳中。他們宣傳的焦點(diǎn)是：由于網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)服務(wù)的激增，IPv4分配給每個(gè)上網(wǎng)設(shè)備的IP地址將如何消耗殆盡。

IPv6將提供比IPv4多40億倍的IP地址，完全可以解決上述問題，但是解決問題的過程中，網(wǎng)絡(luò)攻擊可能會趁虛而入。因?yàn)楹诳褪褂肐Pv6能輕松越過為IPv4設(shè)計(jì)和構(gòu)建的安全控件和過濾器。

雖然在中國向IPv6的轉(zhuǎn)換可能會在2011年完成，但在美國和其他地方至少要再過兩年才能完成。因此，較之確保網(wǎng)絡(luò)設(shè)施足以支持IPv6，安全威脅就成了更加迫在眉睫的嚴(yán)重問題。

隨著應(yīng)用的普及，IPv6攻擊可能會增加

McAfee公司歐洲、中東、非洲首席技術(shù)官RajSamani說，現(xiàn)在IPv6攻擊的數(shù)量相對較小，但是隨著IPv6的廣泛使用，攻擊數(shù)量和黑客對其的關(guān)注很有可能增加。

安全技術(shù)公司Sophos技術(shù)戰(zhàn)略總監(jiān)JamesLyne說，很多公司紛紛采用IPv6是因?yàn)樗哂懈斓乃俣群透叩男?，但如果沒有對他們的網(wǎng)絡(luò)防護(hù)進(jìn)行相應(yīng)升級，危險(xiǎn)就產(chǎn)生了。

然而更大的危險(xiǎn)可能在于，公司在完全不知道的情況下使用IPv6，因?yàn)榇蟛糠肿钚掳娴木W(wǎng)絡(luò)硬件設(shè)備和操作系統(tǒng)恰巧都是支持IPv6的。

“任何一個(gè)使用WindowsServer2008、Windows7、甚至是MacOSX操作系統(tǒng)和很多應(yīng)用程序(包括Skype在內(nèi))的公司，都可能會在毫不知情的情況下使用IPv6”，JamesLyne說。

安全技術(shù)研究者發(fā)現(xiàn)，基于IPv6且具有指令和控制功能的惡意軟件已經(jīng)開始傳播。由于缺乏對IPv6的關(guān)注，此類軟件完全可以越過現(xiàn)有保護(hù)程序。

IPv6使用一種完全不同的IP地址序列，這就意味著網(wǎng)絡(luò)邊界的概念將不再存在，因?yàn)閮H僅需要一個(gè)IP地址就可以在世界任何地方工作。

Lyne說，層級被重新設(shè)計(jì)，因此危險(xiǎn)在于企業(yè)會用操作IPv4的方法應(yīng)用IPv6。

他說：“公司應(yīng)用IPv6的最大收獲就是解決了IP地址匱乏的問題，但代價(jià)是暴露了一大堆安全隱患，同時(shí)也沒有充分利用IPv6處理大規(guī)模數(shù)據(jù)包的能力并從中獲益。”

Lyne還警告說，由于缺乏認(rèn)真的規(guī)劃，企業(yè)很可能無意間同時(shí)應(yīng)用IPv4和IPv6，這將使他們設(shè)置的安全措施完全失效。

IPv6的安全優(yōu)勢

Lyne對有些IPv6支持者的做法頗有微詞，他們推廣IPv6僅考慮增加的IP地址和良好的表現(xiàn)，卻忽略了其內(nèi)在的安全優(yōu)勢，比如網(wǎng)際安全協(xié)議(IPsec)。該協(xié)議最初是為IPv6開發(fā)的，后來也改版供IPv4使用。

他說：“IPsec(安全協(xié)議)在IPv4系統(tǒng)是可選項(xiàng)，在IPv6系統(tǒng)是必選項(xiàng)，跟系統(tǒng)是一個(gè)整體，它使黑客進(jìn)行的中間人攻擊難以實(shí)現(xiàn)。”

加密也是必選項(xiàng)，它會自動(dòng)進(jìn)行比IPv4更高一級的數(shù)據(jù)保護(hù)。與IPv4不同，IPv6是從零開始全新的創(chuàng)造，所以能夠進(jìn)行端對端加密。

應(yīng)用于現(xiàn)有虛擬網(wǎng)絡(luò)上的加密和整體性檢查在IPv6中是標(biāo)準(zhǔn)組件，供所有連接使用，由所有兼容的設(shè)備和系統(tǒng)支持。

移動(dòng)設(shè)備上網(wǎng)的安全性方面，IPv6也更有優(yōu)勢。Lyne說，因?yàn)槊總€(gè)設(shè)備可以自始至終使用一個(gè)IP地址，這樣企業(yè)就能夠?yàn)槊總€(gè)設(shè)備定義一個(gè)安全政策，并且這一政策適用于該設(shè)備在任何地方的使用。

充足的IP地址可以為企業(yè)提供一個(gè)自己的IP地址專區(qū)，這會帶來另外一個(gè)安全優(yōu)勢。Lyne說，有了這樣受控于本公司的IP專區(qū)，公司能夠?qū)λ邢嚓P(guān)的IP地址運(yùn)用安全政策，并且控制整個(gè)操作過程。

有了全球范圍內(nèi)可用且充足的IPv6地址，企業(yè)就可以為特定使用者(不管是顧客、合作伙伴還是在別處的員工)創(chuàng)造特殊服務(wù)。

BlueCoat公司首席科學(xué)家和高級技術(shù)專家李青說：“每項(xiàng)服務(wù)都有周密的安全措施和準(zhǔn)入政策作保證，這樣就簡化了系統(tǒng)外部的支持和維護(hù)工作。”

IPv6的安全挑戰(zhàn)

從管理的角度來說，擁有相當(dāng)數(shù)量的IP地址對公司很有益，但是也為網(wǎng)絡(luò)犯罪提供了溫床。犯罪分子不僅可以頻繁地轉(zhuǎn)換IP地址——這樣很難追蹤到他們——而且很多現(xiàn)有的安全防控措施都將失效。

Lyne說，他估計(jì)目前各公司使用的網(wǎng)絡(luò)過濾工具90%都依賴黑名單，這確實(shí)是個(gè)問題。一旦全世界改用IPv6，犯罪分子能夠以極快的速度轉(zhuǎn)換IP地址，這會對黑名單、甚至灰名單、白名單的有效性帶來巨大挑戰(zhàn)。

現(xiàn)在不僅老的技術(shù)面臨潛在的安全威脅，老的技術(shù)人員也是。

McAfee的RajSamani說：“需要引起注意的是，大部分安全專家和網(wǎng)絡(luò)工程師對保護(hù)IPv4網(wǎng)絡(luò)更為熟悉，所以當(dāng)我們轉(zhuǎn)換到IPv6以后，真正的風(fēng)險(xiǎn)是缺乏相應(yīng)的技術(shù)人才。”

BlueCoat的李青指出，很多IT經(jīng)理沒有機(jī)會進(jìn)修該技術(shù)的相關(guān)知識，過去也沒有經(jīng)歷過這樣的轉(zhuǎn)變。

他說：“所以轉(zhuǎn)換過程很有可能制造安全漏洞，而最有可能出現(xiàn)的危險(xiǎn)是在為IPv6制定使用和安全政策的時(shí)候。并不是現(xiàn)在應(yīng)用于IPv4環(huán)境下的所有政策和規(guī)則都能簡單地轉(zhuǎn)換到IPv6環(huán)境。相反，它們都需要重寫。缺乏操作層面的專家指導(dǎo)，IT經(jīng)理在編寫新政策時(shí)一不小心就會制造出安全漏洞。”

而且在傳統(tǒng)的IPv4架構(gòu)中，找到一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備很平常，這樣就看不出內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，但在IPv6網(wǎng)絡(luò)中很難找到一個(gè)同樣功能的網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備。

李先生說：“因此，過去IT經(jīng)理管理的私人地址最終都將轉(zhuǎn)換為一個(gè)單一的公共地址。而現(xiàn)在IT工作者面臨的是大規(guī)模的公共地址管理，必須找到防止內(nèi)部使用者建立通向外界的安全渠道，因?yàn)檫@些渠道可能會為公司造成損失。”

如何避免IPv6的安全陷阱

Lyne說向IPv6的轉(zhuǎn)換是一個(gè)重要的機(jī)會，可以規(guī)避在實(shí)施IPv5和SSL過程中出現(xiàn)的錯(cuò)誤。比如，新的IP地址分配程序更加嚴(yán)格，需要申請者證明從事的是合法生意，這種分配方式有助于解決迅速轉(zhuǎn)換IP地址產(chǎn)生的問題。但是，他說，由于缺乏一個(gè)公認(rèn)的網(wǎng)絡(luò)權(quán)威機(jī)構(gòu)，勢必會產(chǎn)生一種風(fēng)險(xiǎn)，就是IPv6的實(shí)施會缺少協(xié)調(diào)和協(xié)作，像IPv4和SSL，完全按照系統(tǒng)操作，缺乏整體思維。而整體思維恰恰又是必要的，有了整體思維才能確保網(wǎng)絡(luò)盡可能安全可靠，盡可能少得給犯罪分子創(chuàng)造有機(jī)可乘的漏洞。

IPv6給安全技術(shù)提供商造成的挑戰(zhàn)之一是他們不得不重寫防火墻，但是，Lyne說，情況同上，由于沒有任何一個(gè)機(jī)構(gòu)制定關(guān)于如何部署IPv6的時(shí)間表，工作的確切方法和要求只能根據(jù)情況隨時(shí)變化。安全技術(shù)提供商不能準(zhǔn)確了解IPv6如何運(yùn)行，很可能會為網(wǎng)絡(luò)罪犯制造更多機(jī)會。

Lyne說，IPv6不歸任何一個(gè)組織所有也是普及較慢的重要原因之一，雖然它的速度、效率和安全性都大大優(yōu)于IPv4。雖然商業(yè)界仍在按兵不動(dòng)，網(wǎng)絡(luò)罪犯卻在積極部署，充分將IPv6的速度、效率等優(yōu)勢應(yīng)用于他們的僵尸網(wǎng)絡(luò)或者已被劫持的電腦網(wǎng)絡(luò)。Lyne說：“幾乎沒有人過濾IPv6或者根本不知道怎么過濾，網(wǎng)絡(luò)罪犯就是鉆了這個(gè)空子。”

IPv6的強(qiáng)制加密是個(gè)好事，它會降低數(shù)據(jù)泄露的可能性。但這是一把雙刃劍，一旦向IPv6的轉(zhuǎn)換完成，政府機(jī)構(gòu)會發(fā)現(xiàn)他們對網(wǎng)絡(luò)的監(jiān)控能力嚴(yán)重降低，這對政府是一個(gè)挑戰(zhàn)。

IPv6用戶的未來之路

在轉(zhuǎn)換階段，Lyne建議公司對IPv6網(wǎng)絡(luò)做好充足的準(zhǔn)備，并且對網(wǎng)絡(luò)中的所有安全過濾器和防控軟件進(jìn)行升級，在此之前需關(guān)閉網(wǎng)絡(luò)。

McAee公司的RajSamani說，針對公司面臨的有關(guān)IPv6攻擊的技術(shù)問題，首席信息官們應(yīng)該注意劣質(zhì)的IPv6設(shè)備，內(nèi)置ICMP和多點(diǎn)廣播等。

Lyne說，轉(zhuǎn)換到新網(wǎng)絡(luò)不會很快，所以部分應(yīng)用需要使用網(wǎng)絡(luò)隧道通過IPv4傳輸IPv6，而這種工作模式可能又會形成混亂、錯(cuò)誤配置和安全漏洞。

很重要的是各公司要了解是否他們的網(wǎng)絡(luò)安全解決方案能夠評估、分析IPv6的內(nèi)容，因?yàn)闆]有這種能力，使用者很容易受到攻擊。

BlueCoat公司的李青說：“IPv6為網(wǎng)絡(luò)攻擊提供了一個(gè)更強(qiáng)大的界面，所以更需要時(shí)時(shí)防護(hù)。在IPv4環(huán)境下，我們已經(jīng)見識到威力很強(qiáng)的惡意攻擊可達(dá)到每天1500次，而且我們預(yù)計(jì)采用IPv6以后這個(gè)趨勢還會加強(qiáng)，數(shù)量還會增加。”

他認(rèn)為用一個(gè)星期甚至僅僅24小時(shí)來分析請求并更新數(shù)據(jù)庫都會給惡意軟件制造可乘之機(jī)。

為了切實(shí)保護(hù)他們的用戶，公司需要一個(gè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，在請求一出現(xiàn)就迅速進(jìn)行分析，一旦發(fā)現(xiàn)新危險(xiǎn)立即采取保護(hù)措施。由于現(xiàn)在各公司的單個(gè)用戶可能會被分配一個(gè)全球的IPv6地址同時(shí)創(chuàng)建加密通道，這就需要IT經(jīng)理能夠想到并能進(jìn)入這個(gè)加密通道并清除安全威脅。

Lyne說，從上世紀(jì)80年代初開始，向IPv6的轉(zhuǎn)換就呈現(xiàn)出不可避免的趨勢，只是大家都忽略了。不久的將來雖然IPv6還不能馬上成為壟斷標(biāo)準(zhǔn)，但是各企業(yè)必須從現(xiàn)在開始規(guī)劃，儲備技術(shù)和硬件，以便保證轉(zhuǎn)換的順利進(jìn)行。

他還說，公司必須對這個(gè)問題有前瞻性，現(xiàn)在就要求網(wǎng)絡(luò)硬件供應(yīng)商為其職能固定IPv6戰(zhàn)略。“公司必須保證現(xiàn)在購買的任何硬件都是與IPv6兼容的，當(dāng)轉(zhuǎn)換時(shí)代真的到來時(shí)就萬事俱備了。”

“我們不得不這樣做，這也讓我們可以利用這次機(jī)會吸取使用IPv4的經(jīng)驗(yàn)教訓(xùn)，在安全方面提前做好細(xì)致的布局”，Lyne說。

向IPv6的轉(zhuǎn)換不是一件容易的事，需要周密的考慮和準(zhǔn)備，因?yàn)槿绻D(zhuǎn)換不正確或者不完全，就會在網(wǎng)絡(luò)中留下安全漏洞。

【編輯推薦】

1. Web應(yīng)用安全成為安全防御的關(guān)鍵一環(huán)
2. WEB應(yīng)用安全離你有多遠(yuǎn)?
3. 六步措施保障Web應(yīng)用安全
4. 使用自動(dòng)化攻擊工具包提升Web應(yīng)用安全