微软在发布Vista的时间,已经开始设置默认情况下启用IPV6协议了。Windows Server 2008和即将发布的Windows 7也将延续这一策略。苹果、Linux和Solaris也在它们发布的最新操作系统中启用了IPV6协议。 在进行进一步的分析之前,我需要先说明一些事情。我们都知道IPV6协议是非常重要的。我甚至在乔·克莱恩(Command Information的IPV6安全总监)的大力帮助下写过几篇文章。因此,就不用说明我的立场了。 我的立场是什么 我并不了解具体的原因,但现在销售的计算机已经启用了IPV6协议。我猜测。这是因为大部分操作系统开发商认为IPV6网络将开始占据主导地位。或者说,启用IPV6协议没有什么坏处,因此,为什么要等待。 我知道微软提供的一项服务就需要IPV6协议的支持。它被称做Windows会议室。采用的是点对点架构和IPV6协议,可以自动进行AdHoc网络的设置。 我们谈论的数字是多大 运行IPV6协议计算机的数目是惊人的。根据卡罗琳·达菲·马尔桑在网络世界中的一篇文章引用的乔·克莱恩的说法: “我们讨论的很可能是大约三亿台在默认状态下已经启用IPV6协议的系统。我们认为这是一个很大的风险。” 我不明白的是,这三亿台计算机的使用者中有多少人明白启用IPV6协议意味着什么? 为什么需要进一步分析讨论 在一篇类似的文章中,马尔桑询问专家,系统同时运行IPV6和IPv4协议时,会出现的最严重问题是什么。专家们的回答是: · 恶意的IPV6流量:攻击者已经认识到,大多数网络管理员都没有或者不能监测基于IPV6协议的流量。因为现有的防火墙、入侵检测或网络管理工具都不支持IPV6协议。因此,攻击者可以通过任何一台运行IPV6协议的计算机发送恶意流量,并且不会受到任何限制。 · IPV6通道:象Teredo和网站自动通道寻址协议(ISATAP)之类的协议可以将IPV6数据包封装在IPv4数据包中。这样的话,转换后的数据包可以容易地通过基于IPv4协议的防火墙和网络地址转换(NAT)设备,默认的保护措施就不会对IPV6数据包产生作用。 · 恶意的IPV6设备:由于IPV6协议采用的是自动配置模式,因此只要在运行IPV6协议的网络内放置一台恶意设备,攻击者就可以获得相关计算机的控制权。更糟糕的是,该装置可以获得路由器权限。迫使所有流量都通过它,让攻击者可以窥探、修改或丢弃他们不愿意见到的数据包。 · 内置的网间控制信息协议和组播功能:不同于IPv4协议,IPV6协议需要ICMP协议和组播流量。这一改变将极大地影响系统管理员控制网络安全的方法。目前,在运行IPv4协议的网络中,阻断ICMP协议和组播流量是公认的惯例。对于ICMP协议和组播数据包进行控制和过滤将不再属于安全措施的一方面。 |
