警惕隱藏的IPv6流量

　　CTI論壇(ctiforum)9月14日消息（記者凡易)： 6月6日,全球IPv6網(wǎng)絡(luò )正式啟動(dòng)（World IPv6 Launch）。當天，主要的內容和網(wǎng)絡(luò )服務(wù)供應商開(kāi)始永久啟用IPv6支持, 創(chuàng )造了本地IPv6流量高峰，同時(shí)也采用6in4和Teredo等鏈路協(xié)議。從促進(jìn)IPv6使用的目的來(lái)看，大會(huì )是非常成功的。但是當IPv6發(fā)布日已經(jīng)過(guò)去，如何處理IPv6流量的安全問(wèn)題卻還沒(méi)有解決。
 
　　首要的安全問(wèn)題是黑客可利用IPv6鏈路技術(shù)隱藏在IPv4流量中，產(chǎn)生了一條沒(méi)有防護的進(jìn)出企業(yè)網(wǎng)絡(luò )的通道。關(guān)閉這些通道需要了解IPv6轉換機制的運作及其可視性。
 
　　要理解機構需要實(shí)施IPv6的原因是很容易的。簡(jiǎn)單來(lái)說(shuō)，就是第一個(gè)互聯(lián)網(wǎng)協(xié)議版本IPv4空間耗盡。每個(gè)與網(wǎng)絡(luò )相連的設備都有固定的IP地址，IPv4協(xié)議允許32位的IP地址，也就是2³² 個(gè)的可能地址，而IPv6則將IP地址數量增加到2¹²⁸。雖然目前IPv4運行良好，但持續增長(cháng)的網(wǎng)絡(luò )連接設備終會(huì )將其空間消耗殆盡。IPv6也在其他方面對IPv4進(jìn)行了優(yōu)化，比如說(shuō)，簡(jiǎn)化地址分配。
 
　　但是啟用IPv6對網(wǎng)絡(luò )運營(yíng)者還許多其他的影響。過(guò)去，企業(yè)一直重點(diǎn)保護IPv4網(wǎng)絡(luò )，現在他們必須投入相同的力度在IPv6的運行上。安全管理員需要學(xué)習IPv6新協(xié)議的基本內容，以應對變化帶來(lái)的挑戰。在這方面，網(wǎng)上公布的最佳實(shí)踐是美國國家標準和技術(shù)研究所(National Institute of Standards and Technology)的綱要。
 
　　如果安全設備支持IPv6，現在就是啟用它的時(shí)候。一些操作系統，諸如Windows Vista和Windows 7 中IPv6轉換機制是默認設置。這意味著(zhù)IT部門(mén)并不知道正在運行IPv6，最終讓使用戶(hù)繞開(kāi)防火墻和網(wǎng)絡(luò )入侵防御系統（IPS）。
 
　　這些鏈路通過(guò)啟用IPv6主機和路由器，在IPv4互聯(lián)網(wǎng)上與其他IPv6設備連接來(lái)運行。鏈路的問(wèn)題在于，它們可以穿過(guò)防火墻——攻擊者或許能逃出企業(yè)安全控制并連接到企業(yè)網(wǎng)絡(luò )內部資源。因此，使用如6 to 4的鏈路協(xié)議支持轉換到IPv6需要慎重考慮，盡可能保持在最低限度。
 
　　事實(shí)情況是，IPv6可能在企業(yè)不知情的情況下，已經(jīng)在網(wǎng)絡(luò )中運行，且可能被僵尸網(wǎng)絡(luò )和黑客用作隱蔽通道。雖然企業(yè)可能不會(huì )主動(dòng)在網(wǎng)絡(luò )中運行IPv6，但是，他們的安全基礎設置應具備檢測IPv6的流量的功能。畢竟，你不能阻止你無(wú)法看到的。
 
　　談及保護IPv6部署，最重要的是可視性。企業(yè)需要部署支持IPv6并使IPv6運作的安全產(chǎn)品。在某些情況下，這可能需要升級，例如，傳統的入侵防御系統（IPS）和防火墻，就可能已經(jīng)無(wú)法檢測到IPv6流量。可喜的是，在過(guò)去的幾年中，許多主要的防火墻和網(wǎng)絡(luò )安全廠(chǎng)商已經(jīng)增加了對IPv6的支持。盡管如此，企業(yè)仍應向供應商反應，以確保產(chǎn)品提供了他們所需的所有功能，并且開(kāi)始在他們的環(huán)境中應用。被認可的IPv6測試方案有NIST的USGv6 Profile和測試計劃。
 
　　 隨著(zhù)越來(lái)越多的企業(yè)部署IPv6，管理員需要特別注意轉換機制和設備配置，以避免向網(wǎng)絡(luò )開(kāi)放未經(jīng)授權的途徑。保護網(wǎng)絡(luò )安全首要關(guān)鍵是監控所有網(wǎng)絡(luò )的流量，如果管理員發(fā)現未經(jīng)授權的鏈路，那么他們要立即關(guān)閉這些鏈路避免被利用為攻擊流量。IPv6的必然性意味著(zhù)企業(yè)需要現在便開(kāi)始采取措施來(lái)支持其安全使用。
 
　　Check Point認為，對于很多企業(yè)和全球服務(wù)提供商來(lái)說(shuō)，過(guò)渡至IPv6并部署可以同時(shí)為IPv6和IPv4提供保護的網(wǎng)絡(luò )安全解決方案至關(guān)重要。企業(yè)應該清楚地認識到這次遷移所帶來(lái)的安全挑戰。客戶(hù)想要彌補協(xié)議轉換帶來(lái)的安全缺口，最直接的方法就是采用獲得IPv6標識認證的安全產(chǎn)品。
 
　　在向IPv6過(guò)渡的浪潮中，安全廠(chǎng)商也在一直在尋求不斷滿(mǎn)足客戶(hù)實(shí)施需求的解決方案。例如，Check Point R75.40軟件刀片和GAiA 統一的操作系統（OS）就通過(guò)了UNH互操作性實(shí)驗室(UNH Interoperability Laboratory)的評測，并獲得了IPv6論壇授予的第二階段（金）標識（Phase Two (Gold) Logo）。這表示此兩款產(chǎn)品包含所有強制的IPv6核心協(xié)議，并且能夠與其他IPv6 和IPv4實(shí)施方案互相操作，滿(mǎn)足IPv6標識認證委員會(huì )的所有技術(shù)要求。Check Point R75.40，GAiA和新型安全設備能夠輕松與新版本的網(wǎng)絡(luò )協(xié)議實(shí)現互相操作，讓客戶(hù)無(wú)縫且安全地過(guò)渡到IPv6時(shí)代。