IPv6协议:开启好还是禁止的好?

你知道自己的计算机是否已经开始使用IPV6协议了吗?如果答案是否定的话,最好检查一下,因为破坏分子很可能已经知道这一点了。-----------------------------------------------------------------------------------

微软在发布Vista的时间,已经开始设置默认情况下启用IPV6协议了。Windows Server 2008和即将发布的Windows 7也将延续这一策略。苹果、Linux和Solaris也在它们发布的最新操作系统中启用了IPV6协议。

在进行进一步的分析之前,我需要先说明一些事情。我们都知道IPV6协议是非常重要的。我甚至在乔·克莱恩(Command Information的IPV6安全总监)的大力帮助下写过几篇文章。因此,就不用说明我的立场了。

我的立场是什么

我并不了解具体的原因,但现在销售的计算机已经启用了IPV6协议。我猜测。这是因为大部分操作系统开发商认为IPV6网络将开始占据主导地位。或者说,启用IPV6协议没有什么坏处,因此,为什么要等待。

我知道微软提供的一项服务就需要IPV6协议的支持。它被称做Windows会议室。采用的是点对点架构和IPV6协议,可以自动进行AdHoc网络的设置

我们谈论的数字是多大

运行IPV6协议计算机的数目是惊人的。根据卡罗琳·达菲·马尔桑在网络世界中的一篇文章引用的乔·克莱恩的说法:

“我们讨论的很可能是大约三亿台在默认状态下已经启用IPV6协议的系统。我们认为这是一个很大的风险。”

我不明白的是,这三亿台计算机的使用者中有多少人明白启用IPV6协议意味着什么?

为什么需要进一步分析讨论

在一篇类似的文章中,马尔桑询问专家,系统同时运行IPV6和IPv4协议时,会出现的最严重问题是什么。专家们的回答是:

· 恶意的IPV6流量:攻击者已经认识到,大多数网络管理员都没有或者不能监测基于IPV6协议的流量。因为现有的防火墙、入侵检测或网络管理工具都不支持IPV6协议。因此,攻击者可以通过任何一台运行IPV6协议的计算机发送恶意流量,并且不会受到任何限制。

· IPV6通道:象Teredo和网站自动通道寻址协议(ISATAP)之类的协议可以将IPV6数据包封装在IPv4数据包中。这样的话,转换后的数据包可以容易地通过基于IPv4协议的防火墙和网络地址转换(NAT)设备,默认的保护措施就不会对IPV6数据包产生作用。

· 恶意的IPV6设备:由于IPV6协议采用的是自动配置模式,因此只要在运行IPV6协议的网络内放置一台恶意设备,攻击者就可以获得相关计算机的控制权。更糟糕的是,该装置可以获得路由器权限。迫使所有流量都通过它,让攻击者可以窥探、修改或丢弃他们不愿意见到的数据包。

· 内置的网间控制信息协议和组播功能:不同于IPv4协议,IPV6协议需要ICMP协议和组播流量。这一改变将极大地影响系统管理员控制网络安全的方法。目前,在运行IPv4协议的网络中,阻断ICMP协议和组播流量是公认的惯例。对于ICMP协议和组播数据包进行控制和过滤将不再属于安全措施的一方面。

是否应该关闭IPV6协议

是否应该“启用或者关闭”IPV6协议并不是一个很容易回答的问题。这就象是一片灰色地带,充满了各种各样的观点。我想先介绍一下马尔桑文章中专家们的观点:

瞻博联盟的系统工程总监,蒂姆·拉马斯特是这样认为的:

“如果你不准备部署IPV6协议的话,谨慎的做法就是不容许这样的设备进入网络,”

拉马斯特认为。“但是在今后的五年中,你不能够禁止所有来自IPV6的流量。在制定出对策和搞清楚威胁之前,你唯一能做的就是阻止这些IPV6信息。”

不过,Command Information的先进技术解决方案副总裁丽莎·唐南在此问题上有不同的看法:

“我们不支持阻止来自IPV6的流量这种做法。我们的建议是网络管理员应该对自己网络中IPV6设备和程序的情况进行分析和研究。如果你在自己的网络中发现了来自IPV6协议的流量的话,就应当计划、培训并部署IPV6协议。”

来自美国标准与技术研究院计算机安全部门的计算机专家希拉·弗兰克尔则给出了一个折中的观点:

“在IPV6方面,公司至少应该做的是听取专家的指导意见,这些意见可以让公司避免遭受基于IPV6的网络攻击。另一方面,公司还应当管理好自己的外部服务器,让IPV6协议在这些服务器上运行,因为这些外部服务器起得就是相当于公司的防火墙的作用。这样一来,已经使用IPV6地址的亚洲客户就可以访问这些服务器,他们自己的员工也会在IPV6方面获得专家的指导意见。这就是整个处理过程的第一步。”

弗兰克尔继续分析说:

“IPV6的时代已经到来。最好的办法是提前做好面对它的准备,然后确定自己应该怎样选择最安全的方式来进行应对。”

当开始使用运行了IPV6协议的计算机时,我的选择是关闭它。原因是,我觉得这种设置是没有必要的。显然,这样的选择是有价值的,因为客户的计算机不会受到新型威胁的攻击了。

至少在目前,我认为这种做法是可行的。我不会假装自己的做法适合每一个人。从文章前面给出的观点来看,我更确认的只有一件事情,那就是IPV6的普及正在呈现愈来愈快的趋势。希望这些信息可以帮助你在网络和系统之间获取最佳的平衡。

如何禁用IPV6协议

值得庆幸的是,禁用IPV6协议是非常方便的。如果你希望这样做的话,我在下面提供了针对不同的操作系统如何进行操作的网站链接:

禁用Linux系统中的IPV6协议

禁用Windows Vista中的IPV6协议

禁用苹果OS X中的IPV6协议

最后的思考

总的来说,这无疑是一个充满了惊奇的棘手问题。就象每一次未经考验的新技术变革一样。我会接受它。但问题的关键是什么时间接受,才不会让安全出现问题。我希望这种情况只是暂时的。