作者:威瑞信公司首席安全官 Danny McPherson
2011年2月3日悄无声息的到来又逝去,这一天看似普通,但对互联网人士来说,却非比寻常,无论他们是否知晓,这一天却是一个里程碑。在那个周四,互联网数字分配机构(IANA)将最后可用的IPv4地址分配殆尽。虽然某些地区的互联网注册管理机构(RIR)还有够一两年使用的库存,但全新IPv4地址分配的时代已基本成为历史。
既然IPv4已经用尽,那么是时候认真考虑采用下一代互联网协议IPv6了。当前,每小时就会增加一百万台新设备,而IPv6具有128位的地址空间(IPv4具有32 位空间),可以适应互联网当前及未来的发展需求。实际上,与IPv4的43亿个IP地址相比,IPv6可以再增加340万亿万亿万亿地址,足以满足可预见未来的全球互联网需求。
随着DNS安全扩展协议(DNSSEC)的持续部署,IPv6将为未来互联网提供稳定而安全的基础。但是,要实现从IPv4向IPv6的成功过渡,无论是基础架构运营商、服务提供商,还是应用开发人员与用户,所有人都必须在一系列工作中团结合作,这些工作包括:
· 支持并开发IPv6能力,并建立与IPv4相当的功能
·调试并修正那些仅使用IPv6的新软件与应用程序中的问题
·改善与IPv4的交互工作与过渡共存问题
安全性将成为这一工作的关键。IPv6为大多数互联网参与者展示了新的疆界,它的出现也将带来一些独特的安全挑战。虽然下述内容并不完全,但它给出了八个需要注意的问题领域,业界需要在采用IPv6的过程中,不断地解决这些问题。要知道我们仍然处于采用的初级阶段,所以某些风险的解决方案只能来自于被实际应用所证明的最佳实践。
* 从IPv4向IPv6的转换过程中,事务处理(Transaction)可能更容易受到攻击。由于IPv4与IPv6并非“逐位 (bits on the wire)”地兼容,因此协议转换就成为更广泛的部署与采纳的一种途径。从IPv4到IPv6的转换中,当转换流通过网络时,必然产生需要协调事务处理。设想一个邮局的信件分拣员,他必须打开每个IPv4信封,再将每封信装入一个IPv6信封中,以确保它能投递到正确的地址,此时要修改文件包含的内容,从而使之与新的IPv6信封外的信息相符。每做一次这个操作,都给执行不善和执行不力者提供了一个机会,从而产生或触发一个潜在的漏洞。另外,这种方法引入了必须维护事务处理状态的中间环节(middle boxes),使网络复杂化,从而危及了端到端的原则。通常情况下,安全人员应注意所有转换与事务处理机制(包括隧道)的安全问题,只有经过了彻底评估以后,才能明确地启用这些机制。
* 大网络段既有优点也有缺点。IPv6的网络段规模要远远大于我们现有的网络段。现在,为一个IPv6子网络推荐使用的前缀长度为/64 (264),它可以在一个网络段中容纳约18 x 1018个主机!虽然这能够实现几乎无限制的LAN长度,但这一规模也带来了挑战。例如,扫描一个IPv6/64块网络的漏洞要花数年时间,而扫描一个/24的IPv4子网(28)只需花几秒钟。既然不可能做完整的扫描,那么比较好的办法或许是只使用地址的前/118(与一个/22的IPv4中主机数量相同),缩小要扫描IP的区间范围,或者明确地分配掉所有地址,并且暗中拒绝余下的所有地址。这样便可以做到细致的IP管理,以及较今天而言更为严格的监控。另外还可以预测到,攻击者可能将采用被动式域名系统(DNS)分析以及其它侦测技术来代替传统的扫描方法。
