2011年2月3日無聲無息的過去了,這一天對於互聯網業界來說,卻非比尋常,同時亦是一個里程碑。那天,互聯網數字分配機構 (IANA) 把最後可用的IPv4地址分配殆盡。雖然某些地區的互聯網註冊管理機構 (RIR) 還有夠一兩年使用的庫存,但全新IPv4地址分配的時代已基本成為歷史。
既然IPv4已經用盡,那麼是時候認真考慮採用下一代互聯網協議IPv6了。目前,每小時就會增加一百萬台新設備,而IPv6具有128位元的地址空間 (IPv4只有32位元空間),可以適應互聯網當前及未來的發展需求。實際上,與IPv4的43億個IP地址相比,IPv6可以再增加340萬億萬億萬億 (3.4 x 1038 ) 地址,足以滿足可預見未來的全球互聯網需求。
可是,企業部署IPv6方案時,卻有6大保安考慮,假若有所忽視,則有可能帶來無法彌補的損失。
首先,從IPv4轉換為IPv6的過程中,交易處理 (Transaction) 可能更容易受到攻擊。由於IPv4與IPv6並非完全兼容,因此協議轉換就成為最廣泛的部署形式。從IPv4到IPv6的轉換中,當轉換流通過網絡時,必然產生需要協調交易處理。試想像一個郵局的郵差,他必須打開每個IPv4信封,再將每封信裝入一個IPv6信封中,以確保它能投遞到正確的位址,此時要修改內容,從而使之與新的IPv6信封外的資訊相符。每做一次這個操作都給有可能產生或觸發一個潛在的漏洞。通常情況下,資訊科技管理人員應注意所有轉換與交易處理機制 (包括隧道) 的保安問題,只有經過了徹底評估以後,才可啟用這些機制。
其次,企業應注意,大型網絡分段既有優點也有缺點。IPv6的網絡段規模要遠遠大於我們現有的網絡分段,雖然這能夠實現幾乎無限制的LAN長度,但這一巨大的規模也帶來了保安的挑戰。例如,掃描一個IPv6網絡的漏洞要花數年時間,而掃描一個IPv4子網只需花幾秒鐘。既然不可能做完整的掃描,那麼比較好的辦法或許是縮小要掃描IP的區間範圍,或者明確地分配掉所有地址,並且暗中拒絕餘下的所有地址,從而達至精細的IP管理。
在IPv4過渡至IPv6技術期間,使用「6to4」IP地址轉換模式及協助ISP快速部署IPv6的6RD均無需配置專用的隧道,就能使IPv6封包在IPv4基建上傳送。但是,部署IPv6代理伺服器可能會使代理營運商帶來不少頭痛問題,包括發現式攻擊、網絡詐騙,以及反射式攻擊,而代理營運商本身更有可能被利用,成為一個攻擊和濫用的「源頭」。
現有的保安修補軟件可能只支援IPv4,而使用新的IPv6棧後,肯定會逐步顯現潛在的應用或系統漏洞。同時,在過渡週期內長期存在兩個棧,以及路由器、最終系統與網絡服務 (如DNS) 之間的相互依存,顯然會為犯罪分子提供充分發揮的空間。
另一方面,被大型網絡位址轉譯協定 (NAT-PT) 設備所隱藏的使用者,可能會廢除一些有用功能 (如地理定位) 或工具,間接助長惡意網絡行為,並且讓基於信譽的號碼與命名空間的保安控制更難以執行。
IPSec能夠對發送者作出認證,提供完全的保護,並且可選採用加密的IP分組封包以保護傳輸的數據。IPSec在IPv4中是一個選擇性功能,而在IPv6中是強制使用。在隧道模式下 (即是建立一個網絡間、主機至網絡,以主機間通訊的VPN),整個封包被封裝在一個新的IP封包內。可是,當我們與一個沒法控制的外部網絡建立VPN連接時,則可能引發保安問題或導致數據外洩。
2月3日這個里程碑的日子已成歷史,我們將別無選擇地去發展和傳播一些最佳實踐,從而使下一代IP位址更加穩定、可靠和安全,而這個開始需要依靠網絡與資訊保安人員的認知與知識
沒有留言:
張貼留言