由于北美市场的可用IPv4地址已经在2015年9月耗尽,企业越来越迫切需要支持IPv6连接,至少在连接互联网的服务上要支持。
美国互联网网络号码注册中心主席及CEO John Curran从1993年开始参与新版互联网协议IPv6的设计与部署工作。
Curran反对Paul Vixie的观点“现在安装IPv6没有任何好处”。根据Curran的观点,虽然IPv6并不一定会直接带来安全好处,但是IPv6连接能够解决它设计之初要解决的问题:IPv4地址空间业已耗尽。
你在过去曾经说过“IPv6比IPv4更安全”,这就像是在说“小汽车比卡车安全,又或者相反。”那么IPv6连接到底对于企业安全性有什么重要影响呢?
John Curran:现在要清楚最重要的一个问题是,IPv6确实可能比IPv4更安全,但是注意只是可能。协议只是工具,因此结果如何取决于使用工具的方法。
在这个问题上,IPv6确实有一定的优势,IPv6标准已经在IPv6配置上规定了加密和验证头信息。因此,只要没有专门去改写它,而且供应商没有添加一个改写的配置,IPsec功能就是默认开启的。最终你可以获得更安全的通信方式,因为有可能另一端支持比IPsec协议更高级的加密方式。
因此,尽管你已经获得这个功能了,但我并不会对人说‘部署IPv6会更安全,’因为这并不是发明IPv6的初衷。IPv6的出现并不是为了解决这一问题的。它要解决的问题是IPv4地址已经耗尽,同时全球互联网仍在增长。因此,IPv6解决的是这个问题,同时也希望它不会加剧安全问题,同时如果人们部署得当,它还有可能实现更好的安全性。
你已经通过IPsec实现了加密和验证,但它们只是可选设置。这让我想起了SSL和TLS的问题,这些协议支持向后兼容,可以降级到安全性没那么高的安全协议,如RC4。但是,这会不会成为采用IPv6的一个问题呢,因为IPsec在IPv6中是可选的?
Curran:当然。它具有相同的挑战和风险。很难有一种方法使网络本身变得更安全,因为你可以指定一种协议,但最终是其他人去部署这个协议。有一些供应商会自己修改协议的特性,这种情况已经发生过很多次了。即使标准要求安全性,但这并不意味着实际实现就一定是符合标准的。
我认为,任何人都不应该相信启用IPv6就能够让它们本身变得更加安全。我认为,启用IPv6能够让它们保持技术和解决最重要的问题。此外,我认为启用IPv6在很多时候都能够提高网络性能,但是很多人还没有认识到这一点。
如果企业决定直接不提供其服务器和网站的IPv6连接,跟踪用户及流量的功能会受到怎样的影响?
Curran:目前有一些公开网站仍然有在使用IPv4连接的用户,他们没有IPv6。因此,你有一个网站,网站对应一个域名,它有IPv4地址和IPv4连接,但并没有IPv6地址或IPv6连接。
对于互联网而言,你只能通过IPv4访问,但是有一些移动网络已转为IPv6。它们已经完成迁移。为了访问你的网络,即使本地基站是IPv6,且手机使用IPv6连接基站,同时你的网站也在同一个城市,甚至有可能在同一个网络,当我尝试访问你的IPv4网站时,我还是必须先连接到另一个城市,因为你的IPv4网络对我而言是不可见的,需要先转换为IPv6才能访问。因为你并没有转换到IPv6,所以要由运营商来转换,我访问你的域名将返回一个IPv6地址,因为尽管你的网络不支持IPv6,运营商的网络是只支持IPv6的。
我将会连接到一个数据中心,由它将我的IPv6 HTTP请求映射到IPv4,然后再返回结果。这个过程可能经过了很长距离:甚至可能到了另一个国家。因此,如果你不修改,其他人也会将网络修改为IPv6,然后你必然发现它会对性能产生重大影响。
这个问题现在就已经在发生着:我有一些朋友在Facebook和LinkedIn工作,他们都告诉我公司的服务在IPv6上要比IPv4快,其中一个原因是因为运营商网络已经在移动端迁移至IPv6。
有时候好像我们必须在一些互联网角落一直保留IPv4,就像有人仍然在使用Windows 95一样。
Curran:Peter,你现在还在用着IPX(互联网数据包交换)、DECnet或SNA(系统网络架构)吗?是这样,我敢肯定世界上某个角落一定还运行着这些东西。那么,世界某个角落是否还运行着IPv4呢?肯定的。它会不会成为讨论焦点呢?按道理说,肯定不会的。
我们聊一下网络地址转换(NAT)和IPv6。IPv6链路本地寻址是否会替代NAT的功能。NAT的未来发展是怎么样的?
Curran:首先,现在确实有很多地方部署着用于转换地址的NAT。因此,如果你的设备只支持IPv6,那么显然你一定要通过NAT才能连接IPv4,因为这里需要用到地址转换。
另外,肯定也有IPv4到IPv4的转换,因为如果你在一个包含私有地址的大型网络中,然后又需要连接互联网,那么这时就要用到IPv4到IPv4的NAT,许多家庭宽带网络就是这种情况。人们使用NAT是因为他们只有一个地址,然后他们又有200个人要连网。
那么,我们要知道NAT的特性。我甚至认为要有一个NAT IPv6标准,但我承认我自己并没有花很多时间去研究这个问题。
这里有一个问题:NAT并不包含安全功能。
它可能带来一些方便的管理特性;它不一定对性能有影响,还要取决于它的实现方式和负载;但是只要我们知道NAT不包含安全功能,那么所有答案都一样:它不支持IPv4安全性,也不支持IPv6安全性。它可能会让人觉得方便一些,但实际上让人方便并不等于保证安全。
最后,你仍然需要一个防火墙。你需要用一个防火墙检查协议和数据包,再决定是否允许数据包进入。如果使用了NAT,仍然需要一个防火墙。没有人会说有NAT之后不需要防火墙也能够保护网络。
马匹蒙上眼睛之后会跑得更快,但是它们看不见路。NAT就是这样的东西:它让人感觉良好,但是它不一定能够改变问题。
如果有人仍然想要使用IPv4地址空间,然后在办公网络之外访问内部资源,又会怎么样?
Curran:我想说的是,实际上现在还有非常非常多活跃的IPv4地址市场。我们有几百个地址块在不同的合作伙伴之间流转。
现在还有地址劫持问题,我们不久前还就这个问题进行过一次讨论,Leslie Nobile(ARIN全球注册知识高级主管)在NANOG(北美网络运营商小组)上作了一个简短的报告。这不是说有人在卖一个地址块或者使用其他方法寻址;而是说有人拿到一个合同上未更新的旧地址块,然后意图将它据为已有和卖给别人。这并不是一种创新——也有人曾经卖过不属于自己的桥梁或土地。有人在卖一些不属于他们的IP地址。
最重要的是人们需要知道有一个网络地址市场专门负责销售网络地址。
如果你确实需要更多的IPv4地址,那么几十个组织(ARIN将它们称为服务商)能帮你寻找到地址空间。而且,我们保证如果你和我们做生意,那么给你提供地址的机构一定是真正有权使用这些地址的机构。然后,我们负责转移地址。
实际上这种方式很成功。我们有很大且仍在不断增长的转移市场,因为有许多组织需要更多的过渡时间。如果你需要更多的时间,然后有一些人有不需要的地址空间,那么转移市场就能够完美地充当中间角色。
思科最近发布了一份关于IPv6漏洞的报告,其中包括一个用友邻发现创建的数据包用于执行拒绝服务攻击。你以前说过,IPv4已经在全球部署了20年时间,因此我们有很多使用经验,它的很多Bug也已经被处理掉。如果大型企业担心IPv6还有一些未发现的实现与部署问题,是否会影响他们部署IPv6连接的决定呢?
Curran:回想一下过去2~3年时间所发布的关于协议问题的报告数量。我们现在有了一个关于IPv6的严重问题报告。但是,IPv4上一样有很严重的问题报告。
你可以打开CERT,然后查看其中的报告——几乎每个月都有一个重大报告。这一份报告是关于IPv6的;其他的报告一直以来都是关于IPv4或特定协议的,而且数量很多。因此,我认为,一份关于IPv6的报告并不是大事,或者说它的份量也不会超过关于其他协议的那些报告。
现在还处于一个过渡时期,但是即使有一个过渡时期也不会对部署协议有多大帮助。在IPv4中,我们仍然能发现问题。我们确实通常不会在底层IPv4协议中找到问题——现在底层协议出现问题的概率已经很小了,但是其他相关的部分有很多问题。例如,你可能在TCP或ARP实现中发现问题,也可能在路由协议上发现问题。
我们仍然在寻找Bug,且我们一定还会这样做。似乎IPv4的Bug已经变少了,这个现象很好。但是,你仍然需要注意其他协议的警报,所以如果部署了IPv6,你只是多了一个需要关注的方面而已。