专家表示,许多美国机构的网络中都隐藏着正在运行的IPv6信息,而且只有少数网络管理员装备有可察看、管理或阻止这些IPv6信息的设备。这种IPv6流氓信息中慢慢地开始包括了僵尸网络命令与控制等攻击信息。
Juniper联盟的系统工程主管Tim LeMaster称:“如果你无法监控自己网络中的IPv6信息,那么IPv6将成为一个攻击途径。许多网络管理员都不知道他们能够允许一个用户在主机上运行IPv6,并且部分用户还可以在他们不知情的情况下向该主机发送恶意信息。”
由于缺乏IPv6防火墙、入侵侦测系统和网络管理工具,多数美国网络管理员都无法察觉到这些IPv6流氓信息。除非这些机构部署了能够监测隧道信息的安全机制,否则IPv6信息可能通过隧道与IPv4连接,并伪装成正常的IPv4数据包。
北美IPv6工作组技术主管和惠普知名技术专家Yanick Pouffary称:“至少有一半的美国公司首席信息官不知道他们的网络中有IPv6信息,但是黑客们却对此了如指掌。你不能忽视这些IPv6信息,你需要采取行动保护你的网络。你不仅需要部署能够监测IPv4和IPv6信息的防火墙,还需要能够分析IPv4和IPv6信息的网络管理工具。”
思科的公共部门集团系统工程主管Dave West称:“尽管《财富》500强中的多数公司并不考虑部署IPv6,但是他们的网络中却一直存在着IPv6信息。在今天,你可能不会将IPv6看做一个商业驱动力。但是无论与否,你的网络中都在运行着IPv6。”
IPv6是互联网主要通信协议IPv4的升级协议。与IPv4相比,IPv6有着更多的地址空间,具有针对流媒体和P2P程序的内嵌式安全与支援特性。通过十年的推广,IPv6已经逐渐在美国被接受。目前已拥挤不堪的IPv4地址预计将在2011年补耗尽。在未来几年内,美国国内的运营商和公司部署IPv6的压力将逐渐增大。
如今,尽管基于IPv6的威胁并没有得到充分的关注,但是这个威胁正在日益突显。比如说,基于IPv6的攻击已经在今年6月份召开的美国国家安全电信咨询委员会会议上被提了出来。美国国家安全电信咨询委员会是一个在网络安全方面向白宫提供建议的高级行业团体。
Verizon公司高级互联网工程师Jason Schiller称:“我们已经发现大量基于IPv6的命令与控制信息。黑客们正在试图用IPv6来突破监控。我们还发现大量的网络中存在着基于IPv6的命令与控制信息。此外,我们还发现了能够让IPv6信息通过P2P传输的非法文件共享。”
IPv6流氓信息对于网络管理员来说是一种新出现的威胁。对于机构来说,最大的风险是由于没有看到升级至IPv6的商业驱动力,因此决定推迟部署IPv6。这种想法普遍存在于许多美国公司之中。
由于众多美国联邦机构已经在他们的骨干网络上部署了IPv6,因此这些联邦机构能够较好地抵御基于IPv6的威胁。目前许多美国联邦机构正在持续推进将IPv6与企业架构和资本投资进行整合的计划。
美国标准与技术研究院计算机安全部门的计算机专家Sheila Frankel称:“IPv6流氓信息是一个非常现实的威胁。许多公司的网络中正在运行着IPv6信息,而这些公司并不知情。许多电脑和其它设备中在出厂时就已经带有了激活的IPv6,如果你没有做好防范IPv6攻击的必要准备,那么这些IPv6信息将会给你的网络中的所有设备制造麻烦。你不仅需要在网络中做好防范IPv6攻击的准备,还应当阻止这些IPv6流氓信息进出你的网络。”
Frankel建议那些不想运行IPv6的机构购买能够阻止自带的和通过隧道传输IPv6信息的防火墙和入侵防范系统。他称:“你不仅要阻止纯IPv6信息,还要阻止那些打包在其它信息中的IPv6信息。网络管理员应当意识到IPv6不仅可以通过IPv4信息建立隧道进行传输,而且可以通过其它不同类型的传输机制进行传输。这些网络管理员还应当熟知阻止这些不同等级信息进行传输的必要措施。”#p#
IPv6流氓信息源自何处?
由于微软VISTA、Windows Server 2008、Mac OS X、Linux和Solaris等许多操作系统在出厂时就已经默认激活了IPv6,因此这些IPv6信息可以进入你的网络中。网络管理员需要关闭网络中每台设备中的IPv6设置或让这些设备无法接收和发送IPv6信息。
IPv6咨询机构命令信息团体中的IPv6安全主管Joe Klein称:“默认激活IPv6设置的系统大约有3亿多个,这是一个很大的风险。”
专家指出,许多网络管理员经常会忘记将网络中的计算机、服务器和移动设备的IPv6默认设置关闭。与此同时,许多机构虽然安装了基于IPv4的防火墙和网络管理工具,但是这些防护工具不能自动阻止进入网络的IPv6信息。
Klein称:“我们目前发现最常见的IPv6攻击环境是当你的网络设备具有双堆栈时,这意味着这些设备可以运行IPv4和IPv6。如果你仅安装了IPv4防火墙,那么在你和攻击者之间可以运行IPv6。攻击者可以通过IPv6穿过防火墙,因为这时你的防火墙无法监测IPv6。”
另一个常见问题是IPv6信息可以通过Teredo或站点内部自动隧道寻址协议(ISATAP)等技术联通IPv4。
Klein称:“典型的IPv4安全设备无法监测IPv6隧道。这些安全设备对IPv6的防护非常弱。”他指出,网络管理员在网络中发现IPv6设备的唯一手段是运行IPv6。即便如此,网络管理员也很难发现IPv6隧道。Klein称:“你或许能够发现3个最大的主要隧道,但是你根本无法发现全部的次要隧道。”
为了对付这些威胁,命令信息团体提供了一个名为Assure6的软件。该软件可以与深度信息包监测系统联合工作,从而识别通过IPv4传输的IPv6信息。与此同时,McAfee也提供了一个可以对所有IPv6信息和隧道进行监控的网络安全平台。思科和Juniper则提供了激活IPv6的路由器、防火墙和一些允许网络管理员设备IPv6安全策略的系统。
Klein称,他每个月内都可以接到了一到两个反映遭到IPv6流氓信息攻击的求助电话。他称:“我们设置的一个蜜罐(注:该技术会虚拟一台有“缺陷”的电脑,等着恶意攻击者上钩)已经发现了仅使用IPv6攻击的僵尸网络。通过我们的路由器时,这些IPv6攻击会将自己伪装成IPv4。这些IPv6恶意信息会将通过位于远东的僵尸网络发动攻击或发布恶意指令和控制信息。”
LeMaster指出,虽然目前IPv6攻击还为数不多,但是已经出现了增长趋势。他称:“由于激活了IPv6的人并不算多,因此这类攻击的目标并不像IPv4那么丰富。”
Frankel称,基于IPv6的威胁目前已经非常普遍,每个网络管理员都应当制定一个防范IPv6攻击的计划,以减少IPv6攻击。他称:“目前已经没有人敢声称他们没有遇到病毒和垃圾邮件的攻击。如果我们忽视了IPv6攻击,那么这类攻击很快就会落到我们头上。”#p#
阻止还是不阻止IPv6?
对于网络管理员阻止IPv6信息或让IPv6信息能够接受监控是不是最好的办法,专家们的意见并不一致。
许多专家认为如果机构不准备支持IPv6的话,那么他们应当通过激活IPv6设置的路由器、防火墙、入侵阻止系统和入侵侦测系统阻止IPv6信息进出网络。
LeMaster称:“网络管理员应当制定一些对策来探测IPv6信息,看看这些IPv6信息是否隐藏在其它信息包中。通过安全事件管理解决方案,网络管理员需要查看进入网络的信息。他们需要让这些隐藏的信息现身。如果他们看到了IPv6信息,他们需要发现这些IPv6信息来自哪个主机或将要去什么地方,然后将这些信息关闭。”
不过,这些专家承认,由于越来越多的客户和商业伙伴开始支持IPv6,因此阻止IPv6信息是一个临时的解决方案。
LeMaster指出:“如果你还没有为IPv6做好准备,那么谨慎的方法是不允许这些IPv6信息进入你的网络。不过,在未来五年里,你不应当阻止所在的IPv6信息。你在制定出对策和搞清楚威胁之前面,你唯一能做的就是阻止这些IPv6信息。”
专家指出,从长远来看,最佳的解决方案是开始运行IPv6,这样你就可以让你的IPv6信息变为可见状态,并且为新协议积累经验。
命令信息团体的先进技术解决方案副总裁Lisa Donnan称:“我们不推荐阻止IPv6信息。我们建议网络管理员们审查和查找自己网络中有多少IPv6设备和程序。如果你在自己的网络中发现了IPv6信息,那么你应当为此制定一个计划,训练和执行IPv6。”
思科推荐他们的客户对IPv6采用与IPv4相同的安全策略。这些安全策略将使用一个分层解决方案。West称:“设置管理、设置控制和策略对于目前网络中所有的IPv6设备来说都十分关键。设置管理是IPv6问题中的一个最大威胁。”
Frankel指出,目前公司应当开始着手训练自己的雇员,让雇员们熟悉并掌握IPv6,这样一来这些雇员才能保护自己不受基于IPv6的攻击。
他称:“公司在IPv6方面至少应当有最低限度的专家指导意见,这些意见可以让公司避免受到基于IPv6的攻击。另一方面,这些公司还应当管理好自己的对外服务器,让IPv6在这些服务器上运行,因为这些对外服务器相当于公司的防火墙。这样一来,已经使用IPv6地址的亚洲客户能够访问这些服务器,他们自己的雇员也会在IPv6方面获得专家的指导意见,而这将成为整个进程中的第一步。”
此外,Frankel指出:“IPv6已经来临。最好的办法是提前做好面对它的准备,然后确定自己如何以最安全的方式应对它。”
【编辑推荐】
