您的位置: 网界网 > 安全 > 正文

IPv6究竟能否对零日攻击开放网络?

2014年03月18日 10:22:39 | 作者:鹿宁宁编译 | 来源:网界网 | 查看本文手机版

摘要:近日,NIST(美国国家标准与技术研究院)警告称,黑客们正准备在IPv6(互联网协议版本6)开启时攻击网络。而IPv4(互联网协议版本4)向IPv6转换的过程中风险重重,这或许能够解释为什么政府机构在其设定的最后实施期限到来之后迟迟还...

标签
零日
攻击
安全
NIST
IPv6
IPv4
赛门铁克

网界网独家译稿】近日,NIST(美国国家标准与技术研究院)警告称,黑客们正准备在IPv6(互联网协议版本6)开启时攻击网络。而IPv4(互联网协议版本4)向IPv6转换的过程中风险重重,这或许能够解释为什么政府机构在其设定的最后实施期限到来之后迟迟还未实施IPv6。

但隐私安全和技术专家指出上述担心有夸大成分,如果采取正确的方法,IPv4向IPv6的转变一样可以很安全。然而,大家均无异议的一点是,IPv4 协议里的43亿地址即将用光。掌握IP地址分配的亚太网络信息中心也曾在2011年宣称,其IPv4网址的数量已经用完。显然,IPv4正逐渐走向末路。

IPv6协议在接下来的日子里将继续维持因特网的正常运转。IPv6协议的地址数量将能够为全球65亿用户每人分配数千个IP地址。但这两个协议并不兼容,导致IPv4向IPv6转变的过程中难免产生一些问题。

美国政府想要在西方国家中主导IPv6,曾获其预算管理办公室授权,所有面向公共的因特网行为都能在2012年9月30日前转换为在新协议下运行。显然,这一计划超期了,而预计今年9月前完成的整个公共网络和政府内部网络设施转换,也很有可能照旧超期。

NIST通过网页、域名系统以及电子邮件对政府互联网协议转型过程进行了追踪研究。一些机构像联邦贸易委员会已经实现了其绝大部分目标,而有些机构则忙于提高目标区域内很小的IPv6使用比例。截至目前,在预定日期1年多后,只有一半的政府机构的系统基于IPv6运行。

NIST不仅仅关注政府机构,同时也在积极尝试帮助其他机构,不断扩展范围,帮助他们向IPv6转换。最终,多家机构成立了工作组,阐述了可能伴随而来的陷阱和风险,并提出了解决办法。“IPv6安全部署指导”也列出了一系列安全问题的处理清单。

NIST公告中所列的问题绝大部分跟安全有关,包括许多同一网络设施中试图运行两个不同协议的问题。公告还指出,大部分安全软件、设备、硬件仅可在IPv4环境下运行。因此,如果同时运行IPv6,有可能会使恶意软件有可乘之机,因为正当的通信量需要扫描时现有的安全技术难以识别。

NIST文档中列出的具体事项包括:

最初只有IPv4网络的政府利用IPv6协议来管理恶意设备有难度;

待网络向零日攻击开启IPv6时,网络攻击将上演;

同时运行IPv4和IPv6协议很困难;

私人安全社区可能没有足够成熟的产品来像今天保护IPv4网络一样来有效地保护IPv6网络;

证据表明攻击者已经找到了一些方法来绕过IPv4和IPv6网络的安全加密。

这种心态或许可以解释为什么很少有机构报告一些部署IPv6的百分比增量。大部分机构的IPv6部署率要么为零,要么就是100%完成。部署率为零的机构很可能还在致力于其安全基础设施,因为该报告还指出成熟的IPv6安全产品是很缺乏的。NIST表示,政府网络应该可以等到安全得到保证时迎头赶上。

赛门铁克安全响应中心主任Kevin Haley不同意这种观点。他认为,像赛门铁克这样的公司有保护大型企业和个人用户运行IPv6的产品。“之前当新标准出来,我们会努力用新的解决方案来保护运行网络。政府没有像其承诺的那样尽快实施IPv6,但我们的产品是可用的,我们只是在等待市场而已。”

Haley认为,总是要学习新的课程,但总的来说它跟旧的方案是几乎相同的。就像现在,坏人总想出新的方法来利用网络。但是我们正在努力阻止他们,并发现新的攻击。转换到IPv6也不会改变这种现状。

黑客们已做好准备

事实上,黑客正在比任何一个机构或组织都更加积极地研究IPv6,而NIST认为这意味着另一个巨大的威胁。具体来说,潜在的攻击者可能比试图部署IPv6的机构和组织对IPv6有更多的专业知识。报告建议应培训更多的技术人员,让其掌握如何在不同环境中安全地使用IPv6,而非操之过急地部署IPv6。

微软安全设备销售中心主任Sean Siler认为,IPv6现在已经足够成熟部署,不必担心莫须有的麻烦。Siler比大多数人更了解IPv6,因为从2007年到2010年,他一直是Windows IPv6核心技术的项目经理。在这个职位上,他带领Windows团队使用IPv6,并表示已经做好充分的准备。

“第一次Microsoft Windows开始着手IPv6工作是早在Windows XP时期,” Siler说,“当时只是投入了研发团队的一部分,但进展得很好,我们测试了IPv6在各种环境中的状态。”

自那时起来,Siler说(+本站微信networkworldweixin),Windows产品就被带入完美同步的新协议,现在Windows操作系统完全可以在IPv6网络起作用,并不会引入任何额外的安全漏洞。

NIST担心安全加密链路

然而,NIST认为情况并非如此乐观。报告指出,目前可能存在恶意软件利用IPv6协议,但尚未横行,因为大多数网络只允许IPv4协议。如果这些网络突然开始允许IPv6协议,他们就会受到攻击。为了预防此类风险,NIST建议在正式部署时间表出台和必要安全协议到位前应立即阻止所有IPv6网络协议,包括输入和输出协议。

在同一网络中运行IPv4和IPv6会导致一个特定的新风险,但它却很容易解决。“我们看到的是,在混合网络下从IPv4转向IPv6,就会有被攻击的风险,如此可以掩盖攻击者向服务器发送命令的事实”,NIST技术工程师Harey认为,“但你所要做的是阻止此通道,然后就可以同时运行IPv4和IPv6,上述类型的攻击也不会发生。”

阻止安全加密链路解决方案,实际上并不妨碍网络,因为几乎没有必要的理由去加密到另一个地址。IPv4流量和IPv6流量各得其所。然而,唯一的缺点是,当管理员在IPv4环境下远程操作的特殊情况下,若想固定在IPv6区域,安全加密链路就会失效。但这种情况更多会仅仅当作一个漏洞,所以大多数网络可以在安全加密失效的情况下运行。

至于100%关闭所有IPv6网络流量,Harey认为从安全的角度来看,没有必要。“很明显,在同一时间运行两个协议将更加复杂,”他说,“但是,如果你对此有保护措施和消除安全加密链路,那就不会有任何问题。”

NIST指出,即使全面部署IPv6后,问题也不可能全部解决。同时还指出,若干年后,企业组织仍需要IPv6与IPv4共存。所以即使在部署完毕之后很长时间,若想要最终能够克服IPv6的安装缺陷,尽管没有时刻需要警惕的直接威胁,其道路依然曲折。

[责任编辑:鹿宁宁 lu_ningning]