除了IPv6協(xié)議組自身的安全性能外，有許多因素——技術(shù)的和非技術(shù)的——大大地影響著新興的IPv6部署的安全性。本文確定了這些因素，討論了它們可能對(duì)企業(yè)IPv6部署造成的影響，并提出了用來(lái)減輕這些安全隱患的可采取的行動(dòng)。

 

    IPv6，互聯(lián)網(wǎng)協(xié)議的新版本，預(yù)期是與其長(zhǎng)期使用的前身IPv4共存并最終取代IPv4。IPv6會(huì)提供更多的地址空間來(lái)促進(jìn)互聯(lián)網(wǎng)的成長(zhǎng)。從安全的角度看，有許多因素使得IPv6協(xié)議組變得更復(fù)雜，并且這些因素很可能會(huì)影響到新興IPv6部署的安全性。下面，讓我們來(lái)一個(gè)一個(gè)地考查每個(gè)因素。

 

    缺乏訓(xùn)練有素的人員

 

    據(jù)評(píng)估，全世界大概有2千萬(wàn)工程師需要IPv6培訓(xùn)。他們當(dāng)中有些工程師具有一些IPv6知識(shí)，與IPv4相比，他們通常對(duì)IPv6協(xié)議更沒(méi)有信心，因?yàn)镮Pv4出現(xiàn)的時(shí)間更長(zhǎng)。

 

    在他們對(duì)這個(gè)協(xié)議的信心趕得上對(duì)IPv4的信心之前，這些工程師很有可能會(huì)被要求部署IPv6，這個(gè)過(guò)程中，安全問(wèn)題可能被不知不覺(jué)地忽略了。這意味著，除了這個(gè)協(xié)議自身的安全性能之外，新興的IPv6部署的安全性將會(huì)落后于現(xiàn)有的同類(lèi)IPv4產(chǎn)品。

 

    很顯然，無(wú)論一個(gè)企業(yè)在將來(lái)是否計(jì)劃部署IPv6，IT高管和經(jīng)理們必須促進(jìn)對(duì)技術(shù)員工的IPv6培訓(xùn)，尤其是考慮到安全性，同時(shí)在部署前應(yīng)該鼓勵(lì)在他們的環(huán)境中對(duì)IPv6進(jìn)行試驗(yàn)，從而使他們?cè)谠诋a(chǎn)品環(huán)境中部署IPv6前獲得必要的實(shí)踐知識(shí)。

 

    雖然近幾年，一些針對(duì)IPv6安全配置的最佳實(shí)踐已經(jīng)得到了發(fā)展，但這個(gè)問(wèn)題應(yīng)該（在一定程度上）仍被視為一個(gè)“進(jìn)展中的工作”，技術(shù)人員應(yīng)該做好準(zhǔn)備去適應(yīng)針對(duì)IPv6部署的新興的最佳做法，無(wú)論它們是由諸如互聯(lián)網(wǎng)工程任務(wù)組（IETF）等標(biāo)準(zhǔn)組織，還是由諸如NIST或CPNI等政府組織所制定的。

 

    不成熟的實(shí)施

 

    IPv6的實(shí)施在總體上不是安全性研究社區(qū)的一個(gè)焦點(diǎn)。迄今為止，只有幾十個(gè)關(guān)于IPv6漏洞的報(bào)告被公布，但這不意味著IPv6的實(shí)施比IPv4更加安全，這反而表示了在IPv6的實(shí)施中仍有許多漏洞尚未被發(fā)現(xiàn)，這個(gè)協(xié)議應(yīng)該成為更重大研究的焦點(diǎn)。

 

    顯然，在短期內(nèi)，就協(xié)議實(shí)施的安全性而言，IPv6很可能成為“這個(gè)鏈條中最薄弱的環(huán)節(jié)”，而且當(dāng)把雙堆疊站點(diǎn)作為目標(biāo)時(shí)，它很可能會(huì)被攻擊者利用。

 

    讓安全研究人員和供應(yīng)商們發(fā)現(xiàn)并糾正IPv6漏洞，使IPv6實(shí)施的成熟度可以比得上IPv4的成熟度，還需要一段時(shí)間。

 

    缺乏IPv6安全性評(píng)估工具

 

    與IPv6有限的安全研究密切相關(guān)的是，缺乏公開(kāi)可用的IPv6測(cè)試工具來(lái)評(píng)估IPv6實(shí)施和部署的安全性。 只有一些很少的公開(kāi)可用的用于IPv6協(xié)議組（諸如THC的IPv6攻擊組和scapy6）的攻擊/評(píng)估工具，與之形成反差的是過(guò)剩的用于IPv4協(xié)議組的工具。這樣一來(lái)，使得網(wǎng)絡(luò)和安全管理員缺乏工具，來(lái)評(píng)估它們想要執(zhí)行的網(wǎng)絡(luò)安全控制的有效性，從而可能導(dǎo)致一個(gè)錯(cuò)誤的安全意識(shí)。最近的一個(gè)關(guān)于RA-Guard evasion的工作應(yīng)該被視為對(duì)這個(gè)問(wèn)題的警告。

 

    很可能會(huì)這樣：隨著IPv6部署的增加，IPv6安全評(píng)估工具的生產(chǎn)也會(huì)增加。然而，這只不過(guò)是關(guān)于當(dāng)前IPv6安全工具的缺乏該如何解決，以及需要更多工具的推測(cè)。

 

    在安全設(shè)備中有限的IPv6支持

 

    諸如防火墻和網(wǎng)絡(luò)偵察系統(tǒng)等安全設(shè)備，與IPv4相比，它們通常對(duì)IPv6協(xié)議提供的支持很少。這可能會(huì)在功能或性能方面反映出來(lái)。比如，一個(gè)安全設(shè)備可能為IPv4提供深度包檢測(cè)支持，但是不為IPv6提供；它可能支持IPv4和IPv6的一些功能，但是對(duì)IPv4的支持是通過(guò)硬件實(shí)現(xiàn)的，而對(duì)IPv6的支持是通過(guò)軟件實(shí)現(xiàn)的。顯然，IPv4和 IPv6安全功能對(duì)等性的缺乏會(huì)導(dǎo)致IPv6網(wǎng)絡(luò)中的安全性降低，并可能在新興的IPv6部署中阻礙當(dāng)前對(duì)IPv4有效的安全策略的執(zhí)行。

 

    在選購(gòu)新設(shè)備或者升級(jí)現(xiàn)有設(shè)備時(shí)，網(wǎng)絡(luò)和安全管理員應(yīng)該考慮到IPv6支持性。在評(píng)估安全性產(chǎn)品的性能時(shí)，一些一致性和互用性測(cè)試程序（比如IPv6 Ready LogoProgram）可能會(huì)有所幫助。

 

    缺乏關(guān)于IPv6過(guò)渡/共存技術(shù)的意識(shí)

 

    因?yàn)镮Pv6不是對(duì)IPv4向后兼容的，許多過(guò)渡/共存技術(shù)已經(jīng)被研發(fā)出來(lái)促進(jìn)IPv6的部署。然而，這些技術(shù)會(huì)導(dǎo)致由此產(chǎn)生的流量中的復(fù)雜性增加，攻擊者可以利用它來(lái)掩蓋他或她的繞過(guò)網(wǎng)絡(luò)安全控制的企圖。NATs是很多網(wǎng)絡(luò)用來(lái)抵御來(lái)自互聯(lián)網(wǎng)入侵攻擊的第一道防線，一些技術(shù)（特別是Teredo）已經(jīng)被研發(fā)出來(lái)繞過(guò)諸如網(wǎng)絡(luò)地址轉(zhuǎn)換器（NATs）等設(shè)備，從而潛在地增加了主機(jī)暴露在外部攻擊下的風(fēng)險(xiǎn)。

 

    因此，過(guò)渡/共存技術(shù)的安全問(wèn)題應(yīng)該被所有網(wǎng)絡(luò)和安全管理員了解，因?yàn)檫@些技術(shù)甚至可能在僅支持IPv4的網(wǎng)絡(luò)上引起安全問(wèn)題。另外，安全設(shè)備應(yīng)該“意識(shí)到”這些技術(shù)，并能夠執(zhí)行它們?cè)谠�生的IPv4和IPv6流量中執(zhí)行的同樣的安全策略。