在我们兴奋地使用IPv6网络的时候,却突然听说IPv4和IPv6协议一样存在着安全漏洞。这似乎让我们的网络推进陷入了尴尬的境地。那么到底是不是真的有安全问题呢?从下面我们来详细的分析一下。
我们都知道在IPv4中围绕ARP的问题很多,其中它可以恶意地重定向流量。IPv6也存在非常类似的问题,只是名称有所改变:NDP(Neighbor Discovery Protocol)中毒,而不是ARP中毒。这里可以使用相同的减缓技术。此外,SEcure Neighbor Discovery (SEND)甚至通过加密来保护NDP,唯一需要说明的是它仍然未在Microsoft Windows 或者 Mac OS/X上实现。
总的来说,IPv4和IPv6协议对于安全性是几乎相同的。唯一的问题是大多数网络和安全架构师和员工都不知道IPv6,并且他们目前缺乏这个新协议的操作技能。这几个月是相当危险的,只有所有的人都接受了培训和具备了经验才可以有效规避风险。
◆Internet Protocol版本6存在安全漏洞吗?如果有,那么该如何修订IPv6来提高网络安全性呢?
IPv6的报头(扩展/选项头)在处理方式上会有一些漏洞。同时,Neighbor Discovery Protocol (NDP)也存在漏洞。实际上没有任何方式可以修订IPv6 协议本身,但是你可以选择性地过滤网络允许的消息。消息可以在网络的边缘和内部进行过滤以便帮助防范这些类型的攻击。
由于IPv4和IPv6协议相比,只是一个很小的升级,因此,协议本身并没有任何不同,也没有重大的漏洞。当然,大多数供应商的实现中会存在一些漏洞,但是现在他们几乎都可以自己处理。
IETF(Internet的标准主体)已经标准化了两个小的IPv6升级:
Secure Neighbor Discovery,依靠加密技术来保护IPv6地址到Ethernet MAC地址映射的动态信息。
去除臭名昭著的Routing Header Type 0,它会导致某些拒绝服务攻击(DoS)。
◆如果联邦政府已经移植到IPv6(由于它已经确定的2008年期限),那么将对企业发生什么影响呢?
U.S.政府已经做了迁移到IPv6的前期工程,但是完全迁移还需要一段时间。很多联邦组织只是简单地开启IPv6功能来满足2008年6月的截止日期要求,然后又马上关闭IPv6连接来避免攻击。他们并没有完全部署IPv6和拥有完全的DNS双重协议记录或者任何应用内容。衷心希望,这本书将为这些组织演示他们该如何以合理的安全级别部署IPv6来减少风险。他们不需要惧怕IPv6和任何“未知的”漏洞存在。他们可以很自信地使用这本书上所描述的技术来部署最初的双重堆栈功能。
只要企业与联邦政府之间没有任何关系,那么他们就不会担忧截止时间。
◆同时运行IPv4和IPv6会引发特别的安全问题吗?
是的——由于你运行两个协议,因此,你的组织同时受到这两个协议问题的攻击。同时还存在一些利用一个协议攻击对另一个协议的问题。因此,我们往往都建议你的组织尽量不要使用双重协议。现在的目标并不是获得双重堆栈而是只要IPv6。
运行双重堆栈环境并不总是会造成安全问题,但是,用户必须注意的是计算机目前是同时暴露于IPv4和IPv6协议的攻击。这并不表示计算机会受到两倍于之前的攻击,而是用户必须在个人防火墙和其它安全产品(如Microsoft Windows)的帮助下同时保护计算机的IPv4和IPv6协议。