中国IDC圈12月7日报道:IPv6是40年来互联网历史上最大的进步,富有前瞻性的运营商和企业因为IP地址(IPv4)的短缺而开始部署IPv6.构成现今互联网技术基石的IPv4的相关标准制定主要由国际上几个大厂家主导,而IPv6的相关标准也得到世界各国和全球产业界的广泛参与,大大改变相关标准由几个大厂家主导的情况,成为下一代互联网商业部署的助燃剂。
IPv6安全问题制约其发展
现今看来,IPv6策略不得不推迟执行。因为IPv6的安全问题是首先需要解决的问题。如果企业计划同时部署IPv4和IPv6两个协议,那么安全问题是企业无法摆脱的现实问题。而如果仍旧坚守IPv4的话,那么在当今网络世界中很难有立足之本。现今的企业中的操作系统(包括Windows Vista、Windows 7、Mac OS/X、Linux以及BSD)已经启用了IPv6协议。这导致启用的IPv6设备都面临很大的安全威胁。
众所周知,IPv4配置需要DHCP,而IPv6则不同,其无需手动进行配置。Cisco工程师以及《IPv6 Security》作者Eric Vyncke表示IPv6自动配置功能意味着开启Ipv6的设备会通过路由器广播信号在网络中自动被标识。同时他告诫仅支持IPv4的路由器和交换机无法识别IPv6的设备,但是一个恶意IPv6路由器却可以发送和解析此流量。
无状态自动配置允许任何启用IPv6的设备与在同一LAN上的其他支持IPv6的设备和服务进行通信。通过IPv6 NDP(Neighbor Discovery Protocol)可在网络中告知自己的存在以及位置。但如果不加以管理,NDP(Neighbor Discovery Protocol)可能会将邻近的计算机设备暴露给那些想收集有网络内部信息和想要进行攻击的人。更严重的是将设备本身被接管或将设备变成“僵尸”
Vyncke警告说这不是危言耸听,而是真实存在的。他表示通过对全球范围的观察,僵尸计算机更多的在使用IPv6在一个隐秘的通道与其他的僵尸计算机进行通信。在众多的伪装中,启用IPv6的恶意软件可以采取载荷封装恶意信息的形式在一个或多个IPv4中。而如果没有诸如深层数据包检测等IPv6安全措施,这种类型的载荷通过IPv4传输时DMZ无法发现。
Vyncke表示,大多常见的IPv6的安全风险都是终端用户的设备在网络创建配置不当引起的,而正确的配置和IPv6安全措施可有效消除类似的安全风险。这类问题的最好解决办法是部署原生的IPv6以保护同一级别的IPv6信息,同种的威胁已经在IPv4成功的解决。
IPSec并非安全神话
大家普遍认为IPv6要比IPv4更安全,因为IPv6强制性支持IPSec.但这个理由似乎并不是那么可靠。Vyncke表示。他指出,除了大规模实施IPSec带来的实际挑战以外,设备无法检测到IPSec封装的信息内容(路由器/交换机/防火墙)。从而严重妨碍了安全功能。出于这个原因IETF的活跃成员和《RFC 3585》文档的作者Vyncke表示IETF工作组正在考虑将IPv6实现IPSec变为“建议”而不是“要求”。
虽然Vyncke指出了IPv6的安全上的不足,但他反对禁用IPv6,他认为这是一个非常糟糕的想法。首先微软曾表示在Windows 2008上不支持禁用IPv6的设置,尝试禁用IPv6就好象鸵鸟策略一样。不过安全问题会导致IPv6的部署时间推迟。另外无论IT企业愿意与否,IPv6的设备已经在网络大量出现。
SEND (SEcure Neighbor Discovery)是IETF为了应对位于IPv6第二层的恶意RA和NDP欺骗等的解决方案。这类威胁类似IPv4中的恶意DHCP和ARP欺骗。一些操作系统供应商已经对SEND进行支持。但Microsoft、苹果等大巨头还未予支持。Cisco和IETF都在制定IPv6安全机制,就像当年对IPv4制定安全机制的情形类似。IETF建立了SAVI(Source Address Validation)小组,而Cisco于2010年开始分为第三阶段的IOS升级举措正在实施,预计在2012年全面执行,但具体时间还要取决于交换机的类型。
IPv6未来发展
除去安全带来的威胁,IPv6越来越多的部署在企业的业务案例中。许多国际客户已选择不再支持IPv4,这导致银行等金融企业正面临无法与国际客户的网络通信的威胁。像T-Mobile和Telefonica这样的公司已经大量部署了IPv6,特别是像其位于欧洲的公司。美国政府也一直在稳步的向IPv6迁移,并呼吁供应商提供更多的产品和服务。
Brocade通讯系统应用交付产品总监Keith Stewart表示:“你永远不希望你处在一个无法与客户进行交互的境地。”同时网络供应商也普遍的认为应迁移到IPv6.
Stewart表示在互联网大规模的升级IPv6既不实际也不可行,客户需要的是平稳的,切实可行的解决方案。他同时指出服务提供商比其他企业更快的消耗网络地址。首先升级IPv6的企业包括像Google和Facebook等,而终端用户的升级显然还需要很长时间,现今家用路由器99%是基于IPv4的。
Brocade在向IPv6迁移时同时利用现有的负载均衡器并打开IPv6的转换功能以提供公共服务,而在内部网络连接上继续保持使用IPv4连接。Stewart表示当与客户进行基于IPv6的通信交互时可先尝试小规模的业务。同时当构建未来的服务时,同时提供IPv4和IPv6支持的传输是不错的选择,这可保证对IPv4体系结构通信交互,并且商业投资带来的回报可促使你的团队构建IPv6网络,最终无缝的过度到终端用户。
根据Juniper的报告显示,对IPv6服务需求最大的客户一般来自教育和政府部门,特别是大学的研究实验室和政府单位。Juniper预计到2012年IPv6将进入活跃期,特别是服务商供应商之间。Platform的CTO Alain Durand表示对于世界各地的企业来说,IPv4地址耗尽已成为一个棘手的问题。即便如此Durand仍然表示部署IPv6是小范围的,大部分还是在现今的IPv4协议上添加对IPv6的支持。为了解决IPv4地址短缺的问题,客户一般选择增加NAT层。
虽然目前还无法预计IPv4地址何时会真正耗尽,但APNIC的首席科学家Geoff Huston根据IANA和区域互联网注册管理机构的可靠数据分析出到2014年,剩余的IPv4地址将全部分配一空。然而需要注意的是Huston忽略了那些私人机构中保留的IPv4地址,这些地址未来拿出来使用或被出售。例如,Microsoft最近购买了Nortel的60万个IPv4地址。随着IPv4地址的日益短缺,未来成本肯定会水涨船高。
现今没有公认的最佳范例是导致网络管理人员不愿采用IPv6的主要因素。但随着安全威胁日益被关注以及面临和客户无法通信的威胁,迁移IPv6已成为唯一的选择。最值得推荐的方法就是在规划阶段与受信任的可提供体系结构和安全指南的网络供应商建立或重建联系以便在迁移方案中寻找最合适的可扩展的解决方案。