除了IPv6協(xié)議組自身的安全性能外，有許多因素——技術的和非技術的——大大地影響著新興的IPv6部署的安全性。本文確定了這些因素，討論了它們可能對企業(yè)IPv6部署造成的影響，并提出了用來減輕這些安全隱患的可采取的行動。

 

    IPv6，互聯網協(xié)議的新版本，預期是與其長期使用的前身IPv4共存并最終取代IPv4。IPv6會提供更多的地址空間來促進互聯網的成長。從安全的角度看，有許多因素使得IPv6協(xié)議組變得更復雜，并且這些因素很可能會影響到新興IPv6部署的安全性。下面，讓我們來一個一個地考查每個因素。

 

    缺乏訓練有素的人員

 

    據評估，全世界大概有2千萬工程師需要IPv6培訓。他們當中有些工程師具有一些IPv6知識，與IPv4相比，他們通常對IPv6協(xié)議更沒有信心，因為IPv4出現的時間更長。

 

    在他們對這個協(xié)議的信心趕得上對IPv4的信心之前，這些工程師很有可能會被要求部署IPv6，這個過程中，安全問題可能被不知不覺地忽略了。這意味著，除了這個協(xié)議自身的安全性能之外，新興的IPv6部署的安全性將會落后于現有的同類IPv4產品。

 

    很顯然，無論一個企業(yè)在將來是否計劃部署IPv6，IT高管和經理們必須促進對技術員工的IPv6培訓，尤其是考慮到安全性，同時在部署前應該鼓勵在他們的環(huán)境中對IPv6進行試驗，從而使他們在在產品環(huán)境中部署IPv6前獲得必要的實踐知識。

 

    雖然近幾年，一些針對IPv6安全配置的最佳實踐已經得到了發(fā)展，但這個問題應該（在一定程度上）仍被視為一個“進展中的工作”，技術人員應該做好準備去適應針對IPv6部署的新興的最佳做法，無論它們是由諸如互聯網工程任務組（IETF）等標準組織，還是由諸如NIST或CPNI等政府組織所制定的。

 

    不成熟的實施

 

    IPv6的實施在總體上不是安全性研究社區(qū)的一個焦點。迄今為止，只有幾十個關于IPv6漏洞的報告被公布，但這不意味著IPv6的實施比IPv4更加安全，這反而表示了在IPv6的實施中仍有許多漏洞尚未被發(fā)現，這個協(xié)議應該成為更重大研究的焦點。

 

    顯然，在短期內，就協(xié)議實施的安全性而言，IPv6很可能成為“這個鏈條中最薄弱的環(huán)節(jié)”，而且當把雙堆疊站點作為目標時，它很可能會被攻擊者利用。

 

    讓安全研究人員和供應商們發(fā)現并糾正IPv6漏洞，使IPv6實施的成熟度可以比得上IPv4的成熟度，還需要一段時間。

 

    缺乏IPv6安全性評估工具

 

    與IPv6有限的安全研究密切相關的是，缺乏公開可用的IPv6測試工具來評估IPv6實施和部署的安全性。 只有一些很少的公開可用的用于IPv6協(xié)議組（諸如THC的IPv6攻擊組和scapy6）的攻擊/評估工具，與之形成反差的是過剩的用于IPv4協(xié)議組的工具。這樣一來，使得網絡和安全管理員缺乏工具，來評估它們想要執(zhí)行的網絡安全控制的有效性，從而可能導致一個錯誤的安全意識。最近的一個關于RA-Guard evasion的工作應該被視為對這個問題的警告。

 

    很可能會這樣：隨著IPv6部署的增加，IPv6安全評估工具的生產也會增加。然而，這只不過是關于當前IPv6安全工具的缺乏該如何解決，以及需要更多工具的推測。

 

    在安全設備中有限的IPv6支持

 

    諸如防火墻和網絡偵察系統(tǒng)等安全設備，與IPv4相比，它們通常對IPv6協(xié)議提供的支持很少。這可能會在功能或性能方面反映出來。比如，一個安全設備可能為IPv4提供深度包檢測支持，但是不為IPv6提供；它可能支持IPv4和IPv6的一些功能，但是對IPv4的支持是通過硬件實現的，而對IPv6的支持是通過軟件實現的。顯然，IPv4和 IPv6安全功能對等性的缺乏會導致IPv6網絡中的安全性降低，并可能在新興的IPv6部署中阻礙當前對IPv4有效的安全策略的執(zhí)行。

 

    在選購新設備或者升級現有設備時，網絡和安全管理員應該考慮到IPv6支持性。在評估安全性產品的性能時，一些一致性和互用性測試程序（比如IPv6 Ready LogoProgram）可能會有所幫助。

 

    缺乏關于IPv6過渡/共存技術的意識

 

    因為IPv6不是對IPv4向后兼容的，許多過渡/共存技術已經被研發(fā)出來促進IPv6的部署。然而，這些技術會導致由此產生的流量中的復雜性增加，攻擊者可以利用它來掩蓋他或她的繞過網絡安全控制的企圖。NATs是很多網絡用來抵御來自互聯網入侵攻擊的第一道防線，一些技術（特別是Teredo）已經被研發(fā)出來繞過諸如網絡地址轉換器（NATs）等設備，從而潛在地增加了主機暴露在外部攻擊下的風險。

 

    因此，過渡/共存技術的安全問題應該被所有網絡和安全管理員了解，因為這些技術甚至可能在僅支持IPv4的網絡上引起安全問題。另外，安全設備應該“意識到”這些技術，并能夠執(zhí)行它們在原生的IPv4和IPv6流量中執(zhí)行的同樣的安全策略。