根據(jù)早期宣傳IPv6的描述,,IPv6當(dāng)時的主要賣點是具備比IPv4更優(yōu)越的安全性,,因為IPv6對帶有IPsec的端到端加密提供強(qiáng)制支持,。但是這僅僅是一個神話,因為IPv4也同樣支持IPsec,。
你可以在不部署任何IPsec加密運算法則的情況下實現(xiàn)IPv6一致性,,而主要的分布式(或遠(yuǎn)程端點驗證)問題仍然和以前一樣棘手,。
為了了解IPv6安全事項,我們不應(yīng)該迷信IPv6的安全神話,,而應(yīng)該考慮更為困難的實踐性問題:較之IPv4,,IPv6具有怎樣的安全優(yōu)勢?
推薦閱讀:
部署IPv6致使僵尸電腦產(chǎn)生更多垃圾郵件和病毒
應(yīng)用IPv6需要考慮的五個安全問題
IPv4和IPv6協(xié)議在結(jié)構(gòu)上具有相似性,。IPv6其實就是在IPv4的基礎(chǔ)上增加了地址長度,,修復(fù)并增加了更為復(fù)雜的標(biāo)頭,而一些額外的協(xié)議(地址解析協(xié)議ARP,,已經(jīng)被ICMP Neighbor Discovery來替代,。)
專家談IPv6安全事項:是神話還是現(xiàn)實?
我們即將在IPv6世界中使用的安全機(jī)制幾乎與我們在IPv4中所使用的一樣,,包括:
端點安全帶有嵌入操作系統(tǒng)的防火墻;
單獨的防火墻執(zhí)行第四層數(shù)據(jù)包過濾或者深層數(shù)據(jù)包檢測;
路由和交換機(jī)上的訪問列表(數(shù)據(jù)包過濾器);
內(nèi)部子網(wǎng)安全機(jī)制(DHCP竊聽);
IPv6不會讓網(wǎng)絡(luò)層發(fā)生任何改變,。TCP和UDP沒有被改變,運行在IPv6上的協(xié)議也和IPv4上的無異,。唯一的區(qū)別是網(wǎng)絡(luò)層和傳輸層之間銜接。
IPv4在第三層標(biāo)頭中含有第四層協(xié)議標(biāo)記符(TCP=6,,UDP=17;對于其他協(xié)議,,需要檢查這個IANA協(xié)議端口對應(yīng)文件)。
IPv6允許一系列的標(biāo)頭擴(kuò)展,,這就間接增加了第四層檢測的難度,。過長的標(biāo)頭擴(kuò)展甚至?xí)p少硬件中部署數(shù)據(jù)包過濾器設(shè)備的運行性能。
以上的討論都是讓我們認(rèn)清一個事實,,即IPv4和IPv6安全之間的區(qū)別主要是部署獨立性,,我們不妨對IPv6安全性的期待放低一些。
IPv6協(xié)議堆積在未被完全測試過的端點托管和網(wǎng)絡(luò)設(shè)備內(nèi)用來替代IPv4,。但愿漏洞不會被覆蓋(或許還會出現(xiàn)零日攻擊利用程序員已知的漏洞),,這樣IPv6被普及的范圍更廣。
網(wǎng)絡(luò)和安全工程師缺乏IPv6的暴露和操作性經(jīng)驗,,因此其部署可能會出現(xiàn)一些阻礙和安全性問題,。
由于存在多種IPv6-over-IPv4隧道技術(shù),對企業(yè)網(wǎng)絡(luò)的無意識連接會引發(fā)與IPv6相關(guān)的入侵和其他安全事故,。我們可以通過多種方式從IPv4轉(zhuǎn)變?yōu)镮Pv6,,而公共的隧道破壞者可以讓我們在幾分鐘內(nèi)就連接到IPv6。除非你的防火墻部署有嚴(yán)格的安全策略,,否則某些大意的用戶就有可能創(chuàng)建IPv6-over-IPv4隧道并且暴露其工位,,甚至是暴露整個子網(wǎng)。
從網(wǎng)絡(luò)供應(yīng)商那里部署的IPv6部署和現(xiàn)在的IPv4完了相比,,仍然缺乏足夠的安全性,。與IPv4一樣,,有很多有名的攻擊可供駭客破壞IPv6。
欺騙路由器的廣告和引誘終端用戶進(jìn)行檢測和修改,。
欺騙性的DHCPv6信息會衍生大量終端站的DNS服務(wù)器地址,。
思科已經(jīng)部署了路由器廣告防守特性來保護(hù)已更改網(wǎng)絡(luò)上的路由器廣告,一些供應(yīng)商會讓你部署安全的Neighbor Discovery(SEND),,它添加了比IPsec簡單的密碼層組來保護(hù)ND機(jī)制,。但是在這些工具中,沒有哪一個方法比我們在IPv4世界中所擁有的ARP檢測和DHCP竊取更簡單,。
只有當(dāng)設(shè)備供應(yīng)商填補(bǔ)了這些空白,,并且在IPv4和IPv6安全性能之間提供真實對等性時,我們才能期望IPv6網(wǎng)絡(luò)更加安全,。這并非是指IPv6不安全,,而是它目前的部署還滯后于IPv4。