企业升级IP 必须知道的4个IPv6谬论

2022-04-20 IT知识

网络技术是从1990年代中期发展起来的新技术，它把互联网上分散的资源融为有机整体，实现资源的全面共享和有机协作，使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。当前的互联网只限于信息共享，网络则被认为是互联网发展的第三阶段。ISP和Web公司成立World IPv6 LaunchDay已经有一年的时间了，Akamai报告称在IPv6内容传输平台上的IPv6流量已经增长了250%，每天发送的请求达到了100亿。尽管这种流量仍然远在IPv4之后，但是仍在持续增长中，与此同时，对于IPv6的的误解一直影响着此协议的部署以及企业网络的安全。
在与多位安全和网络专家交谈过后，Network Computing列出了四个常见的IPv6安全误区。
1. 在仅支持IPv4的网络不需要提供IPv6防御
第一个与IPv6相关的误解其实与IPv4的关系更胜一筹，与IPv4网络有关的组织或许认为他们不会受到基于IPv6的攻击，但是专家称情况并非如此，“IPv6已经有几年历史，最新的操作系统和移动设备都已经准备好接受IPv6网络了，”TenableNetwork Security CEO RonGula说。“这意味着，如果你要运行或者审核一个IPv4网络，就会有很多系统希望通过IPv6跟你对话。这为黑客和恶意软件提供了很多机会。”
Rapid 7 首席研究师HD Moore称，每一个现代操作系统—— 包括Windows，Mac OS X，UbuntuLinux，iOS和安卓——都是默认启用IPv6，“WindowsHomegroup的特性专门用TCP做本地网络管理。每个启用了IPv6的系统都有一个本地网络的其他机器都可连接的‘link-local’地址” 。这样，入侵者就可以接入本地网络——直接访问或是通过被破坏的IPv4系统连接——这样就可以接入或攻击IPv6界面。
JohannesUllrich说，启用了IPv6却没对其进行控制，企业等于是把自己暴露在威胁之下，他是SANS学会的研究主任，最近，我一直都在尝试一种特殊的攻击，这种攻击对于使用VPN从受信任网络连接企业资源的的公司系统而言是个头疼的问题，”Ullrich说。“例如，一名出差的员工从酒店无线网络连接互联网，并创建一个VPN隧道连接到公司网络。这种VPN只会转发IPv4数据流。攻击者可以在酒店网络中创建一个IPv6路由器，为主机指定一个IPv6地址，提供一个支持IPv6协议的DNS服务器。这样一来，攻击者就能阻止数据通过VPN，供其破译。”
2. 带强制IPSec的IPv6 比IPv4安全
外界广泛认为IPv6的一个优势是对IPSec支持，但其实它们存在差别。虽然IPv6支持用于传输加密的IPSec，但并非强制使用IPSec，而且也不是默认设置，Moore说：“即便是在已经启用的情况下，IPSec也要求确保大量配置的安全，”
3. IPv6可阻止中间人攻击
由于IPv6不适用ARP(Address ResolutionProtocol)协议，假定它可以阻止中间人攻击，事实上，IPv6使用ICMPv6来部署NeighborDiscovery协议，这个协议可以为本地地址替换ARP，Neighbor Discovery协议和ARP一样容易受到中间人攻击。
Moore表示，“某个被破坏的内部节点可能通过一条简单的路由公告就把所有本地设备都暴露到全球IPv6网络，” 。
4. IPv6没有IPv4安全
一些人误以为IPv6非常安全的同时，还有些人认为IPv6因为缺乏NAT，所以比IPv4的安全性能要弱，“网络地址转换(RFC1918)是一种可以让各个组织把私有，不可路由的IPv4地址分配到各个设备，然后通过公共IPv4地址的有限数字为这些设备提供网络连接，”Neohapsis联合安全顾问说。
【企业升级IP 必须知道的4个IPv6谬论】“尽管如此，私有选址被误认为是一项安全特性，而它的遗漏也常被视为不部署IPv6的原因，”他补充道。“IPv6扩展的地址库解决了NAT解决的问题。NAT部署真正的安全性是同时使用对内流量的静态检测。只要访问控制做得好，那么相对于NAT而言，IPv6的安全防护性能其实变化不大。”

推荐阅读

上一篇：如何提高802.11ac覆盖范围？

下一篇：为啥一起需要IP地址与MAC地址