ISP和Web公司成立World IPv6 Launch Day已經(jīng)有一年的時間了，Akamai報告稱在IPv6內(nèi)容傳輸平臺上的IPv6流量已經(jīng)增長了250%，每天發(fā)送的請求達(dá)到了100億。盡管這種流量仍然遠(yuǎn)在IPv4之后，但是仍在持續(xù)增長中，與此同時，對于IPv6的的誤解一直影響著此協(xié)議的部署以及企業(yè)網(wǎng)絡(luò)的安全。

在與多位安全和網(wǎng)絡(luò)專家交談過后，Network Computing列出了四個常見的IPv6安全誤區(qū)。

1. 在僅支持IPv4的網(wǎng)絡(luò)不需要提供IPv6防御

第一個與IPv6相關(guān)的誤解其實與IPv4的關(guān)系更勝一籌，與IPv4網(wǎng)絡(luò)有關(guān)的組織或許認(rèn)為他們不會受到基于IPv6的攻擊，但是專家稱情況并非如此，“IPv6已經(jīng)有幾年歷史，最新的操作系統(tǒng)和移動設(shè)備都已經(jīng)準(zhǔn)備好接受IPv6網(wǎng)絡(luò)了，”Tenable Network Security CEO Ron Gula說。“這意味著，如果你要運行或者審核一個IPv4網(wǎng)絡(luò)，就會有很多系統(tǒng)希望通過IPv6跟你對話。這為黑客和惡意軟件提供了很多機會。”

Rapid 7 首席研究師HD Moore稱，每一個現(xiàn)代操作系統(tǒng)—— 包括Windows，Mac OS X，Ubuntu Linux，iOS和安卓——都是默認(rèn)啟用IPv6，“Windows Homegroup的特性專門用TCP做本地網(wǎng)絡(luò)管理。每個啟用了IPv6的系統(tǒng)都有一個本地網(wǎng)絡(luò)的其他機器都可連接的‘link-local’地址”。這樣，入侵者就可以接入本地網(wǎng)絡(luò)——直接訪問或是通過被破壞的IPv4系統(tǒng)連接——這樣就可以接入或攻擊IPv6界面。

Johannes Ullrich說，啟用了IPv6卻沒對其進(jìn)行控制，企業(yè)等于是把自己暴露在威脅之下，他是SANS學(xué)會的研究主任，最近，我一直都在嘗試一種特殊的攻擊，這種攻擊對于使用VPN從受信任網(wǎng)絡(luò)連接企業(yè)資源的的公司系統(tǒng)而言是個頭疼的問題，”Ullrich說。“例如，一名出差的員工從酒店無線網(wǎng)絡(luò)連接互聯(lián)網(wǎng)，并創(chuàng)建一個VPN隧道連接到公司網(wǎng)絡(luò)。這種VPN只會轉(zhuǎn)發(fā)IPv4數(shù)據(jù)流。攻擊者可以在酒店網(wǎng)絡(luò)中創(chuàng)建一個IPv6路由器，為主機指定一個IPv6地址，提供一個支持IPv6協(xié)議的DNS服務(wù)器。這樣一來，攻擊者就能阻止數(shù)據(jù)通過VPN，供其破譯。”

2. 帶強制IPSec的IPv6 比IPv4安全

外界廣泛認(rèn)為IPv6的一個優(yōu)勢是對IPSec支持，但其實它們存在差別。雖然IPv6支持用于傳輸加密的IPSec，但并非強制使用IPSec，而且也不是默認(rèn)設(shè)置，Moore說：“即便是在已經(jīng)啟用的情況下，IPSec也要求確保大量配置的安全，”

3. IPv6可阻止中間人攻擊

由于IPv6不適用ARP(Address Resolution Protocol)協(xié)議，假定它可以阻止中間人攻擊，事實上，IPv6使用ICMPv6來部署Neighbor Discovery協(xié)議，這個協(xié)議可以為本地地址替換ARP，Neighbor Discovery協(xié)議和ARP一樣容易受到中間人攻擊。

Moore表示，“某個被破壞的內(nèi)部節(jié)點可能通過一條簡單的路由公告就把所有本地設(shè)備都暴露到全球IPv6網(wǎng)絡(luò)，”。

4. IPv6沒有IPv4安全

一些人誤以為IPv6非常安全的同時，還有些人認(rèn)為IPv6因為缺乏NAT，所以比IPv4的安全性能要弱，“網(wǎng)絡(luò)地址轉(zhuǎn)換(RFC 1918)是一種可以讓各個組織把私有，不可路由的IPv4地址分配到各個設(shè)備，然后通過公共IPv4地址的有限數(shù)字為這些設(shè)備提供網(wǎng)絡(luò)連接，”Neohapsis聯(lián)合安全顧問說。

“盡管如此，私有選址被誤認(rèn)為是一項安全特性，而它的遺漏也常被視為不部署IPv6的原因，”他補充道。“IPv6擴展的地址庫解決了NAT解決的問題。NAT部署真正的安全性是同時使用對內(nèi)流量的靜態(tài)檢測。只要訪問控制做得好，那么相對于 NAT而言，IPv6的安全防護性能其實變化不大。”