IPv4 向 IPv6 過渡安全問題不可小覷

隨著IPv4地址告罄，IPv6幾乎無限的IP地址資源滿足了全球互聯網的需求。但是任何事物都是具有兩面性的，有利也有弊。在滿足互聯網IP地址 需求的同時，一系列安全問題也隨之而至。IPv6與IPv4相比，在設計之初，就對安全問題做出了更多的考慮。借助 IPSec(Internet 協議安全性)，IPv6的安全性能確實得以改善。但是，近來發生的網絡攻擊事件顯示，IPSec并不能處理IPv6網絡中的所有漏洞問題。而對比 IPv4，新的網絡環境要更為復雜，所產生的網絡漏洞也更難預料。

而且，盡管IPv6的內部加密機制是為用戶與服務器之間的交流提供身份認證與保密功能的，但是它令攻擊者得以利用加密機制繞過防火墻和IPS檢 查，直接向服務器發起攻擊，原因正在于這些安全設備無法檢測加密內容。除此之外，IPv6重定向協議中存在的安全隱患也非常值得人們關注。

企業從IPv4到IPv6安全問題須知

隨著支持IPv6終端的數量增長，IPv6流量在許多企業計劃過渡之前就已經出現在企業IPv4網絡上了。員工可以隨意的在這些新的未監控的網絡里共享文件，下載視頻，而這些漏洞會被黑客入侵。

在已有的IPv4網絡，IPv6的潛在威脅會給企業帶來一連串危險和帶寬問題。像BYOD自帶設備辦公的趨勢加重了這些問題，許多終端和設備現在都支持IPv6，由于用于工作的外來設備愈來愈多，企業IPv4網絡的風險也越來越大。

在IPv4企業網絡中出現的IPv6流量即"陰影網絡"是個開放的地方，當使用IPv4網絡的用戶發現應用程序運行在IPv6陰影網絡，這時就繞過了網絡安全措施，將造成大量帶寬被消耗。

在過渡的過程中，企業將面臨更多的對信息安全問題以及對信息安全體系的重新理解和調整。

首先，為了實現IPv4與IPv6的無縫兼容，很多IPv6設備都內置了各種無狀態的自動配置功能，而這樣的網絡設備對網絡管理員而言卻成了不 可控的設備。管理員將難以察覺哪些網絡設備是失控的，而攻擊者卻可以利用這種情況下手。其次，在企業迎接IPv6的同時，IT管理的難度也會隨之增加。同 時，目前業內對于IPv6協議的內置功能如何幫助用戶提高隱私保護方面的問題的探討寥寥無幾，而是更多的把目光聚焦于如何更快捷地部署IPv6，這讓很多 不安全的協議、標準、技術被不計后果的廣泛采用，企業在這樣的過渡環境中很容易受到攻擊。

相對于人們在IPv4上積累的安全經驗來說，業界在IPv6安全方面的經驗還有所不足。在逐漸引入IPv6的日子里，所有的網絡設備都不得不支 持兩個版本的網絡協議，因此增加的網絡安全風險很可能導致巨大的損失。在看清IPv6之前，人們的警惕與熱情顯然需要并存。不需要使用IPV6或者沒有完 成過渡的企業應該關閉所有系統上的IPV6，或者，企業應該"像IPV4一樣對攻擊進行監控和抵御"。

細說IPv6安全八大問題

IPv6對于大多數互聯網利益相關者來說是一個新的領域，IPv6的推出會帶來一些獨特的安全難題，下面將討論行業在繼續應用IPv6的時候需要考慮的8個安全問題。

1.從IPv4翻譯至IPv6處理過程的安全漏洞

IPv4和IPv6不是完全兼容，這是眾所周知的問題。此時就需要從IPv4翻譯至IPv6，于是協議翻譯被看作是擴大部署和應用的一個途徑。 在把IPv4通訊翻譯為IPv6通訊時，將不可避免地導致這些通訊，在網絡上通過的時候調解處理過程。此時將會出現利用潛在的安全漏洞的機會。

此外，這種做法引進必須包含處理狀態的中間設備將破壞端對端的原則，使網絡更加復雜。總的來說，安全人員應該關注所有的翻譯和轉變機制(包括建立隧道)的安全方面，只在進行全面評估之后才明確使用這種機制。

2.大型網段有利有弊

當前建議的IPv6子網的前綴是/64(264)，能夠在一個網段容納大約18 quintillion(百萬的三次方)個主機地址。雖然這能夠實現局域網的無限增長，但是它的規模也帶來了難題。

例如，掃描一個IPv6/64網段的安全漏洞會需要幾年的時間，而掃描一個/24 IPv4子網28這需要幾秒鐘。由于全面掃描是不可能的，一個較好的方法是僅利用第一個/118的地址(與IPV4的一個/22網段的主機數量相同)以便 縮小需要掃描的IP地址范圍，或者明確地分配所有的地址，完全拒絕其它的地址。這將使認真的IP地址管理和監視比現在更加重要。人們預計還將看到攻擊者使 用被動域名系統分析和其它偵查技術取代傳統的掃描。

3.鄰居發現協議和鄰居請求能夠暴露網絡問題

IPv6的鄰居發現協議使用五個不同類型ICMPv6(互聯網控制消息協議第6版)信息用于若干目的。雖然鄰居發現協議提供了許多有用的功能(，但是它還給攻擊者帶來了機會。IPv6中的攻擊很可能取代ARP(地址解析協議)欺騙攻擊等IPv4中的攻擊。

4.阻塞大型擴展標頭(header) 、防火墻和安全網關可能成為分布式拒絕服務攻擊的目標

IPv6采用名為擴展標頭的一套額外的標頭，這些擴展標頭將指定目的地選擇、逐個跳點的選擇、身份識別和其它許多選擇。這些擴展標頭在IPv6主標頭后面并且連接在一起創建一個IPv6數據包(固定標頭+擴展標頭+負載)，IPv6主標頭固定為40字節。

有大量擴展標頭的IPv6通訊可能淹沒防火墻和安全網關或者甚至降低路由器轉發性能，從而成為分布式拒絕服務攻擊和其它攻擊潛在的目標。關閉路 由器上的IPv6源路由對于防御分布式拒絕服務攻擊的威脅也許是必要的。明確規定支持哪些擴展標頭并且檢查網絡設備是否正確安裝是非常重要的。總的來 說，IPv6增加了更多的需要過濾的組件或者需要廣泛傳播的組件。

5. 6to4和6RD代理服務器也許會鼓勵攻擊和濫用

6to4以及互聯網服務提供商迅速部署6RD會允許IPv6數據包跳出IPv4的壕溝，不用配置專用的隧道。但是，使用IPv6代理服務器也許會給代理服務器運營商帶來許多麻煩，如發現攻擊、欺騙和反射攻擊。代理服務器運營商本身可能被利用為攻擊和濫用的"源"。

6.支持IPv6服務可能會暴露現有的IPv4應用或者系統

一個限制是現有的安全補丁也許僅適用于IPv4技術支持。因此，在iPv4之前，在進行DNS查詢已經更快部署IPv6的時候，大多數內核將喜 歡IPv6接口。確實，IPv6與IPv4之間的相互作用方式可能導致每一個DNS查詢的通訊量增加一倍。這將導致大量的不必要的DNS通訊量以便優化用 戶的體驗。

操作系統和內容廠商頻繁地組織非法訪問以緩解和優化這種行為，這種行為將增加系統負荷和狀態。此外，隨著可以訪問新的IPv6棧，新的安全漏洞 肯定會出現。在長期過渡的共存期間的雙堆棧以及路由器、最終系統和DNS等網絡服務之間的相互依賴肯定會成為攻擊者的肥沃的土地。

7.許多用戶被隱蔽在固定的一套地址后面

把用戶隱蔽在大型網絡地址轉換協議轉換((NAT-PT)設備后面會破壞一些有用的功能，如地理位置或者查找惡意網絡行為根源的工具，使基于號碼和名稱空間聲譽的安全控制出現更多的問題。

8.當建立通向其它網絡的隧道時的IP安全問題

IP安全可能對發送者進行身份識別，提供完整性保護，加密數據包以提供傳輸數據的保密性。IP安全對于IPv4來說是一個可選擇的功能，但是，它是IPv6強制規定的功能。

在隧道模式中(它實際上可以創建一個網絡至網絡、主機至網絡和主機至主機之間通訊的虛擬專用網)，整個數據包封裝在一個新的IP數據包中并且給予一個新的IT標頭。

但是，虛擬專用網與一個超出原來創作者的控制的網絡的連接可能導致安全問題或者被用來竊取數據。由于IP安全的安全保護和管理以及相關的密鑰是由其它協議管理的并且增加了復雜性，IP安全不能像最初用于IPv4那樣更廣泛地支持IPv6。

本文轉載自: 51CTO