隨著IPv4地址告罄，IPv6幾乎無限的IP地址資源滿足了全球互聯(lián)網(wǎng)的需求。但是任何事物都是具有兩面性的，有利也有弊。在滿足互聯(lián)網(wǎng)IP地址需求的同時，一系列安全問題也隨之而至。

IPv6并非比IPv4更安全

IPv6與IPv4相比，在設計之初，就對安全問題做出了更多的考慮。借助 IPSec(Internet 協(xié)議安全性)，IPv6的安全性能確實得以改善。但是，近來發(fā)生的網(wǎng)絡攻擊事件顯示，IPSec并不能處理IPv6網(wǎng)絡中的所有漏洞問題。而對比IPv4，新的網(wǎng)絡環(huán)境要更為復雜，所產(chǎn)生的網(wǎng)絡漏洞也更難預料。

而且，盡管IPv6的內部加密機制是為用戶與服務器之間的交流提供身份認證與保密功能的，但是它令攻擊者得以利用加密機制繞過防火墻和IPS檢查，直接向服務器發(fā)起攻擊，原因正在于這些安全設備無法檢測加密內容。除此之外，IPv6重定向協(xié)議中存在的安全隱患也非常值得人們關注。

企業(yè)從IPv4到IPv6安全問題須知

隨著支持IPv6終端的數(shù)量增長，IPv6流量在許多企業(yè)計劃過渡之前就已經(jīng)出現(xiàn)在企業(yè)IPv4網(wǎng)絡上了。員工可以隨意的在這些新的未監(jiān)控的網(wǎng)絡里共享文件，下載視頻，而這些漏洞會被黑客入侵。

在已有的IPv4網(wǎng)絡，IPv6的潛在威脅會給企業(yè)帶來一連串危險和帶寬問題。像BYOD自帶設備辦公的趨勢加重了這些問題，許多終端和設備現(xiàn)在都支持IPv6，由于用于工作的外來設備愈來愈多，企業(yè)IPv4網(wǎng)絡的風險也越來越大。

在IPv4企業(yè)網(wǎng)絡中出現(xiàn)的IPv6流量即"陰影網(wǎng)絡"是個開放的地方，當使用IPv4網(wǎng)絡的用戶發(fā)現(xiàn)應用程序運行在IPv6陰影網(wǎng)絡，這時就繞過了網(wǎng)絡安全措施，將造成大量帶寬被消耗。

在過渡的過程中，企業(yè)將面臨更多的對信息安全問題以及對信息安全體系的重新理解和調整。

首先，為了實現(xiàn)IPv4與IPv6的無縫兼容，很多IPv6設備都內置了各種無狀態(tài)的自動配置功能，而這樣的網(wǎng)絡設備對網(wǎng)絡管理員而言卻成了不可控的設備。管理員將難以察覺哪些網(wǎng)絡設備是失控的，而攻擊者卻可以利用這種情況下手。其次，在企業(yè)迎接IPv6的同時，IT管理的難度也會隨之增加。同時，目前業(yè)內對于IPv6協(xié)議的內置功能如何幫助用戶提高隱私保護方面的問題的探討寥寥無幾，而是更多的把目光聚焦于如何更快捷地部署IPv6，這讓很多不安全的協(xié)議、標準、技術被不計后果的廣泛采用，企業(yè)在這樣的過渡環(huán)境中很容易受到攻擊。

相對于人們在IPv4上積累的安全經(jīng)驗來說，業(yè)界在IPv6安全方面的經(jīng)驗還有所不足。在逐漸引入IPv6的日子里，所有的網(wǎng)絡設備都不得不支持兩個版本的網(wǎng)絡協(xié)議，因此增加的網(wǎng)絡安全風險很可能導致巨大的損失。在看清IPv6之前，人們的警惕與熱情顯然需要并存。不需要使用IPV6或者沒有完成過渡的企業(yè)應該關閉所有系統(tǒng)上的IPV6，或者，企業(yè)應該"像IPV4一樣對攻擊進行監(jiān)控和抵御"。#p#

細說IPv6安全八大問題

IPv6對于大多數(shù)互聯(lián)網(wǎng)利益相關者來說是一個新的領域，IPv6的推出會帶來一些獨特的安全難題，下面將討論行業(yè)在繼續(xù)應用IPv6的時候需要考慮的8個安全問題。

1.從IPv4翻譯至IPv6處理過程的安全漏洞

IPv4和IPv6不是完全兼容，這是眾所周知的問題。此時就需要從IPv4翻譯至IPv6，于是協(xié)議翻譯被看作是擴大部署和應用的一個途徑。在把IPv4通訊翻譯為IPv6通訊時，將不可避免地導致這些通訊，在網(wǎng)絡上通過的時候調解處理過程。此時將會出現(xiàn)利用潛在的安全漏洞的機會。

此外，這種做法引進必須包含處理狀態(tài)的中間設備將破壞端對端的原則，使網(wǎng)絡更加復雜?？偟膩碚f，安全人員應該關注所有的翻譯和轉變機制(包括建立隧道)的安全方面，只在進行全面評估之后才明確使用這種機制。

2.大型網(wǎng)段有利有弊

當前建議的IPv6子網(wǎng)的前綴是/64(264)，能夠在一個網(wǎng)段容納大約18 quintillion(百萬的三次方)個主機地址。雖然這能夠實現(xiàn)局域網(wǎng)的無限增長，但是它的規(guī)模也帶來了難題。

例如，掃描一個IPv6/64網(wǎng)段的安全漏洞會需要幾年的時間，而掃描一個/24 IPv4子網(wǎng)28這需要幾秒鐘。由于全面掃描是不可能的，一個較好的方法是僅利用第一個/118的地址(與IPV4的一個/22網(wǎng)段的主機數(shù)量相同)以便縮小需要掃描的IP地址范圍，或者明確地分配所有的地址，完全拒絕其它的地址。這將使認真的IP地址管理和監(jiān)視比現(xiàn)在更加重要。人們預計還將看到攻擊者使用被動域名系統(tǒng)分析和其它偵查技術取代傳統(tǒng)的掃描。

3.鄰居發(fā)現(xiàn)協(xié)議和鄰居請求能夠暴露網(wǎng)絡問題

IPv6的鄰居發(fā)現(xiàn)協(xié)議使用五個不同類型ICMPv6(互聯(lián)網(wǎng)控制消息協(xié)議第6版)信息用于若干目的。雖然鄰居發(fā)現(xiàn)協(xié)議提供了許多有用的功能(，但是它還給攻擊者帶來了機會。IPv6中的攻擊很可能取代ARP(地址解析協(xié)議)欺騙攻擊等IPv4中的攻擊。

4.阻塞大型擴展標頭(header) 、防火墻和安全網(wǎng)關可能成為分布式拒絕服務攻擊的目標

IPv6采用名為擴展標頭的一套額外的標頭，這些擴展標頭將指定目的地選擇、逐個跳點的選擇、身份識別和其它許多選擇。這些擴展標頭在IPv6主標頭后面并且連接在一起創(chuàng)建一個IPv6數(shù)據(jù)包(固定標頭+擴展標頭+負載)，IPv6主標頭固定為40字節(jié)。

有大量擴展標頭的IPv6通訊可能淹沒防火墻和安全網(wǎng)關或者甚至降低路由器轉發(fā)性能，從而成為分布式拒絕服務攻擊和其它攻擊潛在的目標。關閉路由器上的IPv6源路由對于防御分布式拒絕服務攻擊的威脅也許是必要的。明確規(guī)定支持哪些擴展標頭并且檢查網(wǎng)絡設備是否正確安裝是非常重要的?？偟膩碚f，IPv6增加了更多的需要過濾的組件或者需要廣泛傳播的組件。

5. 6to4和6RD代理服務器也許會鼓勵攻擊和濫用

6to4以及互聯(lián)網(wǎng)服務提供商迅速部署6RD會允許IPv6數(shù)據(jù)包跳出IPv4的壕溝，不用配置專用的隧道。但是，使用IPv6代理服務器也許會給代理服務器運營商帶來許多麻煩，如發(fā)現(xiàn)攻擊、欺騙和反射攻擊。代理服務器運營商本身可能被利用為攻擊和濫用的"源"。

6.支持IPv6服務可能會暴露現(xiàn)有的IPv4應用或者系統(tǒng)

一個限制是現(xiàn)有的安全補丁也許僅適用于IPv4技術支持。因此，在iPv4之前，在進行DNS查詢已經(jīng)更快部署IPv6的時候，大多數(shù)內核將喜歡IPv6接口。確實，IPv6與IPv4之間的相互作用方式可能導致每一個DNS查詢的通訊量增加一倍。這將導致大量的不必要的DNS通訊量以便優(yōu)化用戶的體驗。

操作系統(tǒng)和內容廠商頻繁地組織非法訪問以緩解和優(yōu)化這種行為，這種行為將增加系統(tǒng)負荷和狀態(tài)。此外，隨著可以訪問新的IPv6棧，新的安全漏洞肯定會出現(xiàn)。在長期過渡的共存期間的雙堆棧以及路由器、最終系統(tǒng)和DNS等網(wǎng)絡服務之間的相互依賴肯定會成為攻擊者的肥沃的土地。

7.許多用戶被隱蔽在固定的一套地址后面

把用戶隱蔽在大型網(wǎng)絡地址轉換協(xié)議轉換((NAT-PT)設備后面會破壞一些有用的功能，如地理位置或者查找惡意網(wǎng)絡行為根源的工具，使基于號碼和名稱空間聲譽的安全控制出現(xiàn)更多的問題。

8.當建立通向其它網(wǎng)絡的隧道時的IP安全問題

IP安全可能對發(fā)送者進行身份識別，提供完整性保護，加密數(shù)據(jù)包以提供傳輸數(shù)據(jù)的保密性。IP安全對于IPv4來說是一個可選擇的功能，但是，它是IPv6強制規(guī)定的功能。

在隧道模式中(它實際上可以創(chuàng)建一個網(wǎng)絡至網(wǎng)絡、主機至網(wǎng)絡和主機至主機之間通訊的虛擬專用網(wǎng))，整個數(shù)據(jù)包封裝在一個新的IP數(shù)據(jù)包中并且給予一個新的IT標頭。

但是，虛擬專用網(wǎng)與一個超出原來創(chuàng)作者的控制的網(wǎng)絡的連接可能導致安全問題或者被用來竊取數(shù)據(jù)。由于IP安全的安全保護和管理以及相關的密鑰是由其它協(xié)議管理的并且增加了復雜性，IP安全不能像最初用于IPv4那樣更廣泛地支持IPv6。