你可以按照自己的意愿推遲IPv6策略的部署，但是你必須應(yīng)當(dāng)馬上著手解決IPv6存在的安全隱患。

如果你計(jì)劃將IPv6與IPv4進(jìn)行雙堆棧配置，那么在安全方面你不能掉以輕心。如果你考慮全面轉(zhuǎn)向IPv6，這也并不代表你就可以高枕無憂。

最大的潛在安全威脅在于企業(yè)網(wǎng)絡(luò)上已經(jīng)接入了大量具備IPv6功能的設(shè)備，包括所有運(yùn)行WindowsVista、Windows7、MacOS/X、Linux和BSD設(shè)備。

與以前IPv4需要DHCP不同，IPv6不需要人工配置。思科杰出系統(tǒng)工程師，《IPv6安全》一書的合著者EricVyncke稱，這種無狀態(tài)的自動(dòng)配置特點(diǎn)意味著“支持IPv6的設(shè)備只需單一的路由通告即可識(shí)別自己在網(wǎng)絡(luò)上的身份”。

他提醒稱：“僅支持IPv4的路由器和交換機(jī)無法對(duì)IPv6設(shè)備通告進(jìn)行識(shí)別或做出回應(yīng)，但是一個(gè)流氓IPv6路由器能夠發(fā)送并解譯這種信息。”

無狀態(tài)自動(dòng)配置允許支持IPv6的設(shè)備與其它的IPv6網(wǎng)絡(luò)設(shè)備和在同一LAN中的服務(wù)進(jìn)行通信。通過這一程序，設(shè)備能夠通告自己的位置，并可通過IPv6鄰居發(fā)現(xiàn)協(xié)議(NDP)被定位。

但是如果不加管理，NDP可能會(huì)將鄰近的設(shè)備暴露給那些急于收集網(wǎng)絡(luò)內(nèi)部信息的黑客，甚至允許這些設(shè)備被接管并變成“僵尸”。

Vyncke警告這種威脅是真實(shí)存在的。他稱：“我們?cè)谌蚍秶鷥?nèi)進(jìn)行了觀察，這些僵尸機(jī)器正在越來越多的使用IPv6作為與僵尸主控機(jī)進(jìn)行通信的隱蔽渠道。”在許多偽裝中，支持IPv6的惡意軟件能夠在一個(gè)或多個(gè)IPv4信息中封裝惡意負(fù)載。如果沒有數(shù)據(jù)包深度探測(cè)等符合IPv6規(guī)范的安全措施，這類負(fù)載通過穿透IPv4邊界，而DMZ防御卻無法探測(cè)出來。

安全鄰居發(fā)現(xiàn)協(xié)議(SEND)為IETF針對(duì)流氓RA和NDP欺騙等Layer-2層IPv6威脅所開發(fā)的解決方案，這些威脅相當(dāng)于IPv4威脅中的流氓DHCP和ARP欺騙。盡管微軟和蘋果等知名廠商并不支持SEND，但是一些操作系統(tǒng)廠商已經(jīng)開始對(duì)SEND提供支持。

思科和IETF正在為IPv6制定安全措施，這些措施與目前在用的保護(hù)IPv4免受這類威脅侵害的措施相似。

IETF已經(jīng)成立了一個(gè)SAVI(源地址認(rèn)證)工作小組。思科始于2010年的IOS升級(jí)計(jì)劃目前也已經(jīng)進(jìn)入到了第三階段，預(yù)計(jì)將在2012年開始全面實(shí)施。

Vyncke強(qiáng)調(diào)，許多常見的IPv6安全風(fēng)險(xiǎn)是由于終端用戶設(shè)備在網(wǎng)絡(luò)中配置不當(dāng)產(chǎn)生的，正確的配置和IPv6安全措施能夠消除許多這類風(fēng)險(xiǎn)。他解釋稱：“這類問題的解決辦法是部署原生IPv6，以在同一水平上保護(hù)IPv6信息，應(yīng)對(duì)你已經(jīng)在IPv4上成功防御過的同類威脅。”

IPSec安全神話

目前普遍認(rèn)為，IPv6天生就比IPv4要安全，因?yàn)樵贗Pv6中IPSec支持是強(qiáng)制性的。Vyncke稱：“這個(gè)神話需要被揭穿。”

他指出，除去大范圍部署IPSec所面臨的實(shí)際挑戰(zhàn)之外，由于(路由器/交換機(jī)/防火墻)設(shè)備無法看到IPSec封裝的信息內(nèi)容，導(dǎo)致它們的重要安全功能受到了影響。

出于這一原因，作為IETF活躍成員和《RFC3585》一書作者的Vyncke稱，一個(gè)IETF工作小組正在考慮在IPv6部署中將IPSec支持由“必須”調(diào)整為“推薦”。

關(guān)于禁止IPv6，Vyncke認(rèn)為這是一個(gè)非常糟糕的主意，其原因有兩個(gè)。首先，微軟表示在Windows2008中禁止IPv6是因?yàn)榕渲貌恢С帧yncke稱，禁止IPv6的做法是一個(gè)不切明智的策略，這將導(dǎo)致IPv6的部署不可避免的出現(xiàn)拖延。其次，無論IT部門愿意與否，支持IPv6的設(shè)備已經(jīng)開始在網(wǎng)絡(luò)中大量出現(xiàn)，這將導(dǎo)致安全形勢(shì)出現(xiàn)惡化。

發(fā)展動(dòng)力

除去威脅以外，IPv6的商業(yè)部署案例正在越來越多，IPv6已經(jīng)無法繼續(xù)被忽視。由于許多國(guó)際客戶的網(wǎng)絡(luò)已經(jīng)不再支持IPv4，銀行和在線券商正在失去與這些客戶的聯(lián)系，為此銀行和在線券商已經(jīng)開始正視這一挑戰(zhàn)。

西班牙電信和T-Mobile等公司已經(jīng)開始大規(guī)模部署IPv6，尤其是在歐洲地區(qū)。美國(guó)政府目前也已經(jīng)開始向IPv6過渡，同時(shí)他們還呼吁提供商和廠商提供更多的IPv6產(chǎn)品和服務(wù)。

博科通訊系統(tǒng)公司產(chǎn)品管理總監(jiān)KeithStewart稱：“你永遠(yuǎn)不希望自己處于無法與客戶互動(dòng)的困境之中。”通過與網(wǎng)絡(luò)廠商分享觀點(diǎn)，Stewart發(fā)現(xiàn)向IPv6過渡已經(jīng)成為了一個(gè)大趨勢(shì)。

Stewart稱：“在互聯(lián)網(wǎng)中整體升級(jí)為IPv6既不現(xiàn)實(shí)也無法辦到?？蛻粜枨笠粋€(gè)平衡的、實(shí)際的解決方案”。他指出，由于服務(wù)提供商消耗地址的速度最快，因此他們是首批升級(jí)至IPv6的團(tuán)體，其次是谷歌和臉譜等內(nèi)容服務(wù)商，最后才是終端用戶，因?yàn)檫@些終端用戶的家庭路由器有99%是基于IPv4協(xié)議研發(fā)的。

在向IPv6過渡的同時(shí)，博科也在部署負(fù)載平衡器，向?qū)?wù)提供IPv6翻譯，在內(nèi)部網(wǎng)絡(luò)中保留IPv4連接。

瞻博網(wǎng)絡(luò)公司稱，迄今為止，在申請(qǐng)IPv6服務(wù)的客戶中，大部分來自教育和政府部門，尤其是需要遵守聯(lián)邦I(lǐng)Pv6命令的大學(xué)研究實(shí)驗(yàn)室和政府機(jī)構(gòu)。

瞻博網(wǎng)絡(luò)公司預(yù)測(cè)，2012年IPv6將更為活躍，特別是在服務(wù)提供商中。該公司軟件工程總監(jiān)AlainDurand稱：“對(duì)于我們?cè)谌虻目蛻魜碚f，IPv4地址枯竭日益成為一個(gè)非常嚴(yán)重的問題。”Durand預(yù)測(cè)，大部分IPv6部署都將是一些小項(xiàng)目，它們?cè)诂F(xiàn)有的IPv4對(duì)公服務(wù)中采用雙堆棧解決方案以增加IPv6功能。他稱：“為了解決IPv4地址短缺問題，客戶經(jīng)常會(huì)選擇增加一個(gè)NAT層。”

盡管目前還無法準(zhǔn)確預(yù)測(cè)IPv4地址將于何時(shí)枯竭，但是亞太互聯(lián)網(wǎng)絡(luò)信息中心(APNIC)首席科學(xué)家GeoffHuston根據(jù)IANA和區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)公布的數(shù)據(jù)分析，剩余的IPv4地址將在2014年被徹底用完。

不過，需要注意的是Huston的分析忽略了那些私營(yíng)公司手中保留的地址，這些地址未來可能會(huì)被拿出來使用或被出售。比如，微軟在近期收購(gòu)北電資產(chǎn)的過程獲得了超過60萬個(gè)IPv4地址。在近期的評(píng)估當(dāng)中，這部分IPv4地址沒有被考慮在內(nèi)，許多業(yè)內(nèi)人員預(yù)測(cè)隨著IPv4地址供應(yīng)短缺，升級(jí)成本將會(huì)上漲。

由于沒有可供借鑒的最佳IPv6轉(zhuǎn)型實(shí)踐，許多網(wǎng)絡(luò)經(jīng)理并不愿意主動(dòng)采取行動(dòng)。盡管安全問題以及擔(dān)心無法與已向僅支持IPv6系統(tǒng)過渡的客戶通信的問題日益突出，但是保持觀望并等待他人探路可能并不是一個(gè)明智的態(tài)度。

明智的做法是在規(guī)劃階段與能夠提供架構(gòu)和安全指導(dǎo)的值得信賴的網(wǎng)絡(luò)廠商建立或重新建立聯(lián)系，共同在眾多的IPv6過渡方案中找到一個(gè)切實(shí)可行的方案。

【編輯推薦】

1. 如何實(shí)現(xiàn)IPv6和IPv4的協(xié)同工作？
2. 從IPv4到IPv6 過渡之路尚待戮力攻堅(jiān)
3. 解決兼容性：IPv4與IPv6之間的翻譯策略
4. IPv4向IPv6過渡技術(shù)標(biāo)準(zhǔn)綜述