【51CTO.com綜合報(bào)道】2011年6月8日是世界第首個(gè)“IPv6日”。毋庸置疑，這一天被世人矚目，并且已經(jīng)成為互聯(lián)網(wǎng)發(fā)展道路上一個(gè)里程碑。在當(dāng)天，全球網(wǎng)絡(luò)工程師們對諸多系統(tǒng)進(jìn)行了測試，以確保各大互聯(lián)網(wǎng)服務(wù)提供商和內(nèi)容提供商的網(wǎng)絡(luò)及應(yīng)用能夠與下一代IPv6網(wǎng)絡(luò)無縫相連或集成，其目的在于使整個(gè)行業(yè)（即互聯(lián)網(wǎng)服務(wù)提供商、硬件制造商、運(yùn)營系統(tǒng)供應(yīng)商以及互聯(lián)網(wǎng)公司），準(zhǔn)備好其針對IPv6的服務(wù)，并確保當(dāng)IPv4地址庫資源用罄之時(shí)能夠順利過度到IPv6網(wǎng)絡(luò)。

Radware參與了全球企業(yè)級(jí)用戶與運(yùn)營商級(jí)用戶的IPv6測試，并為用戶提供了領(lǐng)先的可用性、可擴(kuò)展性、物理和虛擬化基礎(chǔ)設(shè)施以及其所獲IPv6認(rèn)證的應(yīng)用交付解決方案。作為這些支持IPv6的重要廠商，Radware強(qiáng)調(diào)指出除了網(wǎng)絡(luò)IPv6遵從的必要性之外，還要注意由于IPv6流量與執(zhí)行網(wǎng)絡(luò)安全遵從而帶來的安全威脅。雖然IPv6設(shè)計(jì)之初是為了解決IPv4有限的地址空間問題，并提供身份驗(yàn)證、數(shù)據(jù)保密和保存等諸多內(nèi)置安全特性，但是，它沒有注重服務(wù)的可用性與安全性，這些問題也許會(huì)由于IPv6的內(nèi)在漏洞與缺點(diǎn)而產(chǎn)生，由此招致黑客攻擊。

關(guān)于IPv6的安全認(rèn)識(shí)

雖然借助IPSec (Internet 協(xié)議安全性)， IPv6可提供更好的安全性能并獲得諸多改善，但其中一部分卻被網(wǎng)絡(luò)攻擊者所利用。例如，攻擊者的IPv6路由器將會(huì)使用假的路由器廣告來為網(wǎng)絡(luò)中啟用了IPv6的機(jī)器自動(dòng)創(chuàng)建新的IPv6地址。另外，一些過度機(jī)制使IPv6與IPv4網(wǎng)絡(luò)間更容易相互影響，導(dǎo)致被網(wǎng)絡(luò)攻擊者濫用。過度工具為各種IPv4應(yīng)用創(chuàng)建了一種方式連接到IPv6服務(wù)，而IPv6應(yīng)用也可連接IPv4服務(wù)。

由于像6to4、SIT機(jī)制及基于IPv6的UDP通信（例Teredo、Shipworm）這些標(biāo)準(zhǔn)的過度方式，IPv6流量進(jìn)入互聯(lián)網(wǎng)當(dāng)中，管理員卻不會(huì)發(fā)覺它們的存在。例如，由于許多防火墻允許UDP通過，基于IPv6的UDP通信便可穿越防火墻，而管理員卻不知發(fā)生了什么。攻擊者可利用6to4機(jī)制避開入侵檢測軟件。

注意許多防火墻以及IPS（入侵防御系統(tǒng)）無法支持或過濾IPv6流量是十分重要的。如果企業(yè)沒有部署其他安全或邊界性網(wǎng)關(guān)功能，攻擊者很可能利用這一疏忽借助IPv6數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)。

當(dāng)前，盡管業(yè)內(nèi)非常關(guān)心向IPv6過渡的各種事宜，但是網(wǎng)絡(luò)安全有時(shí)卻會(huì)被忽略。Radware指出如下幾種主要的IPv6威脅，提醒業(yè)內(nèi)人士在向IPv6過度之前務(wù)必仔細(xì)考慮、謹(jǐn)慎待之。

IPv6主要威脅

1、無遵從安全設(shè)備

目前，大多數(shù)廠商宣稱自己具備通過IPv6認(rèn)證的安全產(chǎn)品。是這樣嗎？許多廠商提供的是一個(gè)特別的版本，它能支持IPv6或依靠某個(gè)許可證運(yùn)行。但即便支持IPv6可行，人們還是應(yīng)該仔細(xì)學(xué)習(xí)他們是如何運(yùn)行的。例如：

s防火墻也許能使未經(jīng)檢查的IPv6流量輕松通過（而不是將其視為非IPv6應(yīng)用版加以攔截、檢查）；

sIPv6流量也許可繞過多個(gè)作為深層數(shù)據(jù)包引擎的硬件組件，它們也許不支持IPv6流量，從而避免各種攻擊；

sIPv6地址長度是IPv4的4倍，可顯著放慢流量處理速度。

2、對管理員來說，IPv6是復(fù)雜的

您是否見過IPv6地址？您是否有過依靠防火墻設(shè)置來允許或阻止IPv6流量的經(jīng)驗(yàn)？您如何看待將IPv6流量轉(zhuǎn)換成IPv4流量？您知道Internet控制報(bào)文協(xié)議(ICMP)現(xiàn)在已被納入IPv6協(xié)議當(dāng)中了嗎？這些只是幾個(gè)能夠決定一個(gè)公司是否具備有效保護(hù)其網(wǎng)絡(luò)服務(wù)器能力的問題。

3、IPv6漏洞

IPv6網(wǎng)絡(luò)管理員必須意識(shí)到協(xié)議的一些漏洞。IPv6的設(shè)計(jì)者們認(rèn)為需要網(wǎng)絡(luò)安全，包括基本協(xié)議規(guī)定中的強(qiáng)制IPSec。然而，近來發(fā)生的網(wǎng)絡(luò)攻擊事件顯示：IPSec并不能夠處理IPv6網(wǎng)絡(luò)中的所有漏洞問題。Bug的設(shè)計(jì)初衷在于不斷產(chǎn)生各種弱點(diǎn)，這對比IPv4復(fù)雜得多的IPv6來說是發(fā)生在其內(nèi)部的。應(yīng)用提供商們還要經(jīng)過一段時(shí)間的運(yùn)行才能清楚、修補(bǔ)各種IPv6漏洞，因此，人們需要一個(gè)IPS提供商，它不僅能夠促進(jìn)IPv4向IPv6的發(fā)展，還包括諸多特征狀態(tài)以修補(bǔ)各種基于IPv6的系統(tǒng)。

4、IPv6協(xié)議機(jī)制

利用Teredo, 6to4, ISATAP等協(xié)議機(jī)制，IPv6流量可跨過IPv4。攻擊者可以利用各種IPv6協(xié)議機(jī)制偽裝各種進(jìn)攻，他們知道允許通過的信息包看上去跟正常的IPv4流量毫無差別。我們需要通過防火墻和IPS提供商們準(zhǔn)確核實(shí)，這些提供商們可通過深度包檢測技術(shù)（DPI）對IPv6流量進(jìn)行內(nèi)容檢測。在能夠支持IPv6并可真正執(zhí)行IPv6 DPI的IPS與諸多防火墻間存在著巨大缺口。

5、各種“不聽話”的IPv6設(shè)備

各種無狀態(tài)的自動(dòng)配置性能是IPv6內(nèi)在固有的，這些性能方便了攻擊者確定行為失常的設(shè)備，該設(shè)備能夠?yàn)槠渌性O(shè)備分配網(wǎng)絡(luò)IP地址。聰明的攻擊者可以建一個(gè)行為失常的網(wǎng)絡(luò)設(shè)備，它可以像IPv6路由器一樣修改或降低流量，甚至不會(huì)讓系統(tǒng)管理員發(fā)覺。

6、IPv6加密

與SSL加密相同，IPv6具備內(nèi)部加密機(jī)制。盡管設(shè)計(jì)加密是為用戶與服務(wù)器之間的交流提供身份驗(yàn)證與保密性功能，但該功能也使攻擊者們利用加密機(jī)制，繞過了防火墻和IPS檢查，直接向服務(wù)器發(fā)起攻擊，原因在于防火墻和IPS無法檢測加密內(nèi)容。

7、DDoS攻擊

DDoS攻擊就是為了利用流量容量淹沒，致使網(wǎng)絡(luò)設(shè)備和服務(wù)器癱瘓，且讓人無法應(yīng)對。IPv6地址長度是IPv4的4倍。基于IPv6的流量過濾增加了CPU安全設(shè)備的使用；基于IPv6的流量增加提高了CPU聯(lián)網(wǎng)設(shè)備的使用率，由此導(dǎo)致能夠充滿網(wǎng)絡(luò)的較低的流量容量。

總之，相對于IPv4來講，業(yè)界在IPv6方面的經(jīng)驗(yàn)確實(shí)不足。與此同時(shí)，短期內(nèi)，由于網(wǎng)絡(luò)設(shè)備需要支持網(wǎng)絡(luò)協(xié)議的兩個(gè)版本，IPv6的引入很有可能會(huì)增加重大的網(wǎng)絡(luò)安全威脅。但是，作為互聯(lián)網(wǎng)協(xié)議新版本的IPv6，將與其長期使用的前身IPv4共存并最終取代IPv4，它也會(huì)提供更多的地址空間促進(jìn)互聯(lián)網(wǎng)的成長。隨著IPv6的發(fā)展與普及，在其成熟度同IPv4一樣之前，Radware再次提醒您還是應(yīng)當(dāng)警惕各種網(wǎng)絡(luò)安全威脅。