2011年2月3日星期四,它的到来和离去都没有许多炫耀,但是,它是互联网利益相关者的一个里程碑,无论这些人是否知道这件事。在那个星期四,互联网编号分配机构(IANA)分配了最后的可用IPv4地址。虽然一些地区性互联网注册机构(RIGs)还有可维持一、两年的合理的IP地址库存,但是,“新的”IPv4地址分配的日子基本上过去了。
现在,我们的IPv4地址分配已经用完,是认真考虑应用下一代互联网协议IPv6的时候了。采用128位地址空间(相比之下IPv4是32位地址),IPv6能够容纳互联网目前的增长和成倍的增长。目前,互联网每个小时增加大约100万个新设备。事实上,与IPv4允许的43亿IP地址相比,IPv6将增加340万亿万亿万亿个地址,足以满足在可以预见的未来的全球互联网需求。
伴随着DNS安全扩展(DNSSEC)不断地应用,IPv6最终将为未来的互联网提供稳定的和安全的基地。但是,为了成功地从IPv4向IPv6过渡,丛基础设施运营商和服务提供商到应用程序开发商和用户的每一个人都必须在广泛的活动方面进行合作。这些合作包括:
·支持和开发IPv6功能并且建立起作用的IPv4对等功能;
·排除新的仅用于IPv6的软件和应用程序的故障;
·完善与IPv4的配合工作和过渡性的共存。
这项努力的至关重要的部分是安全。IPv6对于大多数互联网利益相关者来说是一个新的领域。IPv6的推出会带来一些独特的安全难题。虽然下面这个列表还不是很全面,但是,它指出了这个行业在继续应用IPv6的时候需要考虑的8个安全问题。由于我们仍处在早期阶段,某些风险的解决方案只有在现实世界中应用之后才能证明是非常好的的做法。
1.从IPv4翻译至IPv6,这个处理过程也许会成为安全漏洞。因为IPv4和IPv6不是完全兼容的,协议翻译被看作是扩大部署和应用的一个途径。把IPv4通讯翻译为IPv6通讯将不可避免地导致这些通讯在网络上通过的时候调解处理过程。想想一个邮局传送设施中的邮件分类装置,这个邮件分类装置打开每一个IPv4信封,在每一个信封中放入IPv6信封中的信以保证这封信发送到正确的地址,在此过程中要不时地修改信封内文件的内容以便使文件内容与新的IPv6外部信封的信息一致。每一次做这样的事情的时候,都会出现利用潜在的安全漏洞的机会。此外,这种做法引进必须包含处理状态的中间设备将破坏端对端的原则,使网络更加复杂。总的来说,安全人员应该关注所有的翻译和转变机制(包括建立隧道)的安全方面,只在进行全面评估之后才明确使用这种机制。
2.大型网段即是好的也是坏的。IPv6引进了比我们现在所看到的更大的网段。当前建议的IPv6子网的前缀是/64(264),能够在一个网段容纳大约18 quintillion(百万的三次方)个主机地址!虽然这能够实现局域网的无限增长,但是,它的规模也带来了难题。例如,扫描一个IPv6 /64网段的安全漏洞会需要几年的时间,而扫描一个/24 IPv4子网28这需要几秒钟。由于全面扫描是不可能的,一个较好的方法是仅利用第一个/118的地址(与IPV4的一个/22网段的主机数量相同)以便缩小需要扫描的IP地址范围,或者明确地分配所有的地址,完全拒绝其它的地址。这将使认真的IP地址管理和监视比现在更加重要。人们预计还将看到攻击者使用被动域名系统分析和其它侦查技术取代传统的扫描。
3.邻居发现协议和邻居请求能够暴露网络问题。IPv6的邻居发现协议使用五个不同类型ICMPv6(互联网控制消息协议第6版)信息用于若干目的,如确定在附加链路上的邻居的链路层地址、清除非法的缓存值和发现愿意代表他们发送数据包的邻居。虽然邻居发现协议提供了许多有用的功能(包括重复地址检测),但是,它还给攻击者带来了机会。IPv6中的攻击很可能取代ARP(地址解析协议)欺骗攻击等IPv4中的攻击。总的来说,关闭明确配置的以外的其它端口、采用链路层访问控制和安全机制、保证在不使用的时候完全关闭IPv6是一个好主意。
4.阻塞大型扩展标头(header) 、防火墙和安全网关可能成为分布式拒绝服务攻击的目标。在IPv6中,IP地址选择功能已经从主标头中删除,取而代之的是采用名为扩展标头的一套额外的标头,这些扩展标头将指定目的地选择、逐个跳点的选择、身份识别和其它许多选择。这些扩展标头在IPv6主标头后面并且连接在一起创建一个IPv6数据包(固定标头+扩展标头+负载)。IPv6主标头固定为40字节。有大量扩展标头的IPv6通讯可能淹没防火墙和安全网关或者甚至降低路由器转发性能,从而成为分布式拒绝服务攻击和其它攻击潜在的目标。关闭路由器上的IPv6源路由对于防御分布式拒绝服务攻击的威胁也许是必要的。明确规定支持哪些扩展标头并且检查网络设备是否正确安装是非常重要的。总的来说,IPv6增加了更多的需要过滤的组件或者需要广泛传播的组件,如一些扩展标头、多播地址和增加的ICMP(网际消息控制协议)的应用。
5. 6to4和6RD代理服务器也许会鼓励攻击和滥用。 6to4以及互联网服务提供商迅速部署6RD会允许IPv6数据包跳出IPv4的壕沟,不用配置专用的隧道。但是,使用IPv6代理服务器也许会给代理服务器运营商带来许多麻烦,如发现攻击、欺骗和反射攻击。代理服务器运营商本身可能被利用为攻击和滥用的“源”。
6.支持IPv6服务可能会暴露现有的IPv4应用或者系统。一个限制是现有的安全补丁也许仅适用于IPv4技术支持。因此,在iPv4之前,在进行DNS查询已经更快部署IPv6的时候,大多数内核将喜欢IPv6接口。确实,IPv6与IPv4之间的相互作用方式可能导致每一个DNS查询的通讯量增加一倍。这将导致大量的不必要的DNS通讯量以便优化用户的体验。操作系统和内容厂商频繁地组织非法访问以缓解和优化这种行为。这种行为将增加系统负荷和状态。此外,随着可以访问新的IPv6栈,新的安全漏洞肯定会出现。在长期过渡的共存期间的双堆栈以及路由器、最终系统和DNS等网络服务之间的相互依赖肯定会成为攻击者的肥沃的土地。
7.许多用户被隐蔽在固定的一套地址后面。把用户隐蔽在大型网络地址转换协议转换((NAT-PT)设备后面会破坏一些有用的功能,如地理位置或者查找恶意网络行为根源的工具,使基于号码和名称空间声誉的安全控制出现更多的问题。
8.当建立通向其它网络的隧道的时候,甚至IP安全也会出现问题。IP安全可能对发送者进行身份识别,提供完整性保护,加密数据包以提供传输数据的保密性。IP安全对于IPv4来说是一个可选择的功能,但是,它是IPv6强制规定的功能。在隧道模式中(它实际上可以创建一个网络至网络、主机至网络和主机至主机之间通讯的虚拟专用网),整个数据包封装在一个新的IP数据包中并且给予一个新的IT标头。但是,虚拟专用网与一个超出原来创作者的控制的网络的连接可能导致安全问题或者被用来窃取数据。由于IP安全的安全保护和管理以及相关的密钥是由其它协议管理的并且增加了复杂性,IP安全不能像最初用于IPv4那样更广泛地支持IPv5。
IPv6的全球部署和IPv4设备开始下降还需要一些时间。在那个时候到来之前,我们都将在实现互联网第一个40亿设备的协议的基础上工作。
现在,2月3日已经到来和过去了,我们很快将没有选择只能开发和传播一些非常好的的做法。这些非常好的做法将使下一代IP地址更稳定、可靠和安全。网络和安全人员要首先熟悉和掌握这个知识。(