早在多年前,IPv6就在日本普及了,今年通过IPv6日的活动,更加促进了国内对于IPv6应用的认识。然而,IPv6的安全性却给人亦正亦邪的感觉。为什么在IPv6的周围会围绕着这么多的原罪?这里就有一个典型的例子,上星期,一位同事发了一封邮件,映入眼帘的就是:IPv6让创建垃圾邮件过滤策略成为噩梦。
黑名单技术过时?
在浏览过其它信息后,我发现大家似乎都同意:“新的IPv6协议会让垃圾邮件过滤工作变得更加复杂”以及“IPv6会让黑名单技术变得过时?”的观点,这真是一条爆炸性的新闻。真相就是IPv6拥有的可用地址空间过于巨大,我估计可能导致黑名单技术无法有效工作。
我不得不选择投入这一浪潮中。我马上行动起来,向认识的专家们发送了询问邮件,请他们对这一观点进行分析:
由于IPv6拥有的地址空间非常巨大,所以将会导致黑名单技术变得过时了?
阿努普·戈什(Invincea):对于垃圾邮件发送者和恶意站点来说,包含大量网络地址的IPv6空间确实提供了更多可以存放的位置。但是,现有的黑名单技术已知的垃圾邮件发送者和恶意站点不会受到影响。黑名单技术的实际效果与网络地址空间的大小没有直接关系。
在被确认属于恶意网站时,相关网络IP地址就会被加入到黑名单中。只有在域名被加入到黑名单中,而对应的网络IP地址又已经改变,才会出现问题。
乔治·毛内(NoScript):从理论上来看,黑名单技术一直是安全保护领域中最弱小的环节。更多的地址空间只是让这一问题的固有缺陷变得愈发明显。但这算不上新闻。举例来说,在这篇古老的社论中防火墙之父马克·拉努姆就进行过说明。
在目前,我认为利用统计学方法来识别垃圾电子邮件,举例来说,贝叶斯过滤器,才是唯一真正可行的解决方案。
乔·克莱因(IPv6安全研究员):对于IPv6协议来说,在很早以前与垃圾邮件列表相关的问题就获得了解决。在IPv4下,目前很多非IPv6模式的黑名单服务商的做法是直接阻止一个单独的网络IP地址。而在IPv6网络中,每一位家庭用户都可以获得一个单独的/64地址;在地址中的前64位描述了用户所在的特定网络,而后面的部分就是用户使用的本地网络。对于黑名单来说,所有要做的事情就是阻止网络或者地址中的前64位。
在我举办的IPv6黑客论坛中,这一信息已经被讲述了超过一年的时间。
约翰尼斯·乌尔里克(美国系统网络安全协会互联网风暴中心):在部署IPv6的时间,黑名单问题也需要被考虑到。在IPv4中,大部分黑名单技术都是采用了阻止单个网络IP地址的方式。在IPv6中,这样的做法没有什么实际效果。
在IPv6中,地址被分为两部分:第一部分也就是前半段描述的是所在子网的情况。第二部分也就是后半段记录的是子网中单独主机(接口)的情况。使用者可以选择子网内的任意地址,而某些操作系统在重新启动时为了保证隐私安全,会随机选择对应的接口身份标识。
这里的“第二部分”长度为64位,可以容许出现40亿种组合(整个IPv4互联网地址才有32位长或者说40亿的地址数量)。
因此,我认为黑名单技术将需要选择阻止子网。这样的话,不论垃圾邮件发送者怎么变换使用的网络IP地址,也逃不出黑名单的掌心。对于IPv6来说,幸运的是可以控制子网规模(/64类属于规模最小的,而通常会分配给公司机构使用的是/42类)。这可能会带来一些附带伤害,但也许是让黑名单技术继续发挥作用的唯一解决方案。
另一方面来看:在IPv4网络中,黑名单技术的真正作用也不大。也许最终我们将会觉得清除垃圾邮件发送者比使用黑名单更容易实现。
卡梅伦·施毛赫(EdgeWave):在我看来,在几年前黑名单和白名单技术就已经过时了。之所以说它们没有什么效果,是因为与垃圾邮件发送者进行枪打出头鸟模式的战斗是非常困难的;并且列表还经常会出现误报(FP)的情况,实在是没有什么值得继续利用的理由。
红色神鹰开发的EdgeWave并没有采用来自第三方的黑名单或者其它任何补充信息。我们就是部署了可以找出由垃圾邮件发送者使用的网络IP地址的技术。对网络IP地址进行阻止的效果非常好,效率也很高,但如果降低误报率是首要任务的话,它就不属于关键技术了。
在我们的记录中(可以追溯到五年前),大约22%%的分类信息是与网络IP地址规则匹配的(不一定是唯一来源)。但在过去的一年里,这一数字已经下降到6%。使用率下降得如此之大的主要原因是垃圾邮件发送者已经变得善于盗用他人的资源和声誉,可以利用这种更有效的办法来完成他们的肮脏工作。
如果普通邮件也使用这些路径的话,就不可能阻止伪装在其中的垃圾邮件。因为,在很多情况下。仅仅依靠单一参数不可能获得足够的信息;所以,为了确保作出的判定更加有效,就必须使用更先进的技术。
卡斯勒:由于垃圾邮件和恶意软件过滤属于EdgeWave业务的重要组成部分,我决定向卡梅伦多问几个问题。
我们现在是否需要担心这一问题?
简短的答复:我个人是不担心这一问题。我们公司已经基本放弃了类似的名单技术。看起来担忧中的很大一部分似乎针对的是新地址空间的极限规模。不过,从我看到的针对这一问题的报道感觉,很多人心照不宣地认为垃圾邮件发送者会以某种方式在地址空间内随机进出的。
当然,证明这一过程的实际极限比确认垃圾邮件发送者对信息进行分发的过程还困难。如同其它的所有事情一样,垃圾邮件发送者也遵循阻力最小原则。
并且,这也不是什么新把戏。各种各样的垃圾邮件发送者对于地址空间的使用已经驾轻就熟了,他们不仅会降低发送频率,并且会采用我称之为“网络IP地址轮换”的技术来防止同一地址的频繁使用,从而消除很容易变成黑名单关注对象之类情况的出现。
对于垃圾邮件来说,最有效的处理方法不是关注它的实际来源,而是针对其短时间内的高频率进行控制。
另一件事情就是IPv6的部署将要持续很多年。从“先阻止再提问”的邮件管理员那里,我没有看到在迁移到IPv6连接时出现过什么问题。这可能和目前已经投入使用的IPv6连接对于未知资源有力的管理方式,或者只有获得认可才容许连接的情况有关。
对于早期应用来说,这是我可以想到的最佳解决方案。在提供的解决方案中,我们相信可以安全可靠地过滤到不需要的电子邮件而不带来附带损害的最佳做法就是采用包括多层防御、行为分析、多尺度系统以及人机操纵环的实时分析在内的整体处理模式。仅仅使用网络IP地址黑名单作为主要过滤解决方案已经属于过时的情况了。
你认为在IPv6部署中还会出现什么问题?
我个人认为,在部署过程中域名系统、路由和不同种类的安全系统将有可能出现一些问题。但这些问题都是意料之中的。
我觉得,更有趣的影响可能将会是所有一切都开始在线。这么大的地址空间加上嵌入式计算的普及以及带宽价格的持续降低将是整个过渡进程中更为有趣的部分。
最后的思考
好了,文章结束的地方和我预想的不一样。看来IPv6的黑名单话题仅仅是一场炒作。更加确切的说法就是,它已经过时了。我的专家朋友又一次击破了谣言。