IPv6協(xié)議：開啟好還是禁止的好?

　　你知道自己的計(jì)算機(jī)是否已經(jīng)開始使用IPV6協(xié)議了嗎?如果答案是否定的話，最好檢查一下，因?yàn)槠茐姆肿雍芸赡芤呀?jīng)知道這一點(diǎn)了。

　　微軟在發(fā)布Vista的時(shí)間，已經(jīng)開始設(shè)置默認(rèn)情況下啟用IPV6協(xié)議了。Windows　Server　2008和即將發(fā)布的Windows 7也將延續(xù)這一策略。蘋果、Linux和Solaris也在它們發(fā)布的最新操作系統(tǒng)中啟用了IPV6協(xié)議。

　　在進(jìn)行進(jìn)一步的分析之前，我需要先說明一些事情。我們都知道IPV6協(xié)議是非常重要的。我甚至在喬·克萊恩(Command Information的IPV6安全總監(jiān))的大力幫助下寫過幾篇文章。因此，就不用說明我的立場(chǎng)了。

　　我的立場(chǎng)是什么

　　我并不了解具體的原因，但現(xiàn)在銷售的計(jì)算機(jī)已經(jīng)啟用了IPV6協(xié)議。我猜測(cè)。這是因?yàn)榇蟛糠植僮飨到y(tǒng)開發(fā)商認(rèn)為IPV6網(wǎng)絡(luò)將開始占據(jù)主導(dǎo)地位?；蛘哒f，啟用IPV6協(xié)議沒有什么壞處，因此，為什么要等待。

　　我知道微軟提供的一項(xiàng)服務(wù)就需要IPV6協(xié)議的支持。它被稱做Windows會(huì)議室。采用的是點(diǎn)對(duì)點(diǎn)架構(gòu)和IPV6協(xié)議，可以自動(dòng)進(jìn)行AdHoc網(wǎng)絡(luò)的設(shè)置

　　我們談?wù)摰臄?shù)字是多大

　　運(yùn)行IPV6協(xié)議計(jì)算機(jī)的數(shù)目是驚人的。根據(jù)卡羅琳·達(dá)菲·馬爾桑在網(wǎng)絡(luò)世界中的一篇文章引用的喬·克萊恩的說法：

　　“我們討論的很可能是大約三億臺(tái)在默認(rèn)狀態(tài)下已經(jīng)啟用IPV6協(xié)議的系統(tǒng)。我們認(rèn)為這是一個(gè)很大的風(fēng)險(xiǎn)?！?/p>

　　我不明白的是，這三億臺(tái)計(jì)算機(jī)的使用者中有多少人明白啟用IPV6協(xié)議意味著什么?

　　為什么需要進(jìn)一步分析討論

　　在一篇類似的文章中，馬爾桑詢問專家，系統(tǒng)同時(shí)運(yùn)行IPV6和IPv4協(xié)議時(shí)，會(huì)出現(xiàn)的最嚴(yán)重問題是什么。專家們的回答是：

　　 惡意的IPV6流量： 攻擊者已經(jīng)認(rèn)識(shí)到，大多數(shù)網(wǎng)絡(luò)管理員都沒有或者不能監(jiān)測(cè)基于IPV6協(xié)議的流量。因?yàn)楝F(xiàn)有的防火墻、入侵檢測(cè)或網(wǎng)絡(luò)管理工具都不支持IPV6協(xié)議。因此，攻擊者可以通過任何一臺(tái)運(yùn)行IPV6協(xié)議的計(jì)算機(jī)發(fā)送惡意流量，并且不會(huì)受到任何限制。

　　IPV6通道： 象Teredo和網(wǎng)站自動(dòng)通道尋址協(xié)議(ISATAP)之類的協(xié)議可以將IPV6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包中。這樣的話，轉(zhuǎn)換后的數(shù)據(jù)包可以容易地通過基于IPv4協(xié)議的防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)設(shè)備，默認(rèn)的保護(hù)措施就不會(huì)對(duì)IPV6數(shù)據(jù)包產(chǎn)生作用。

　　 惡意的IPV6設(shè)備： 由于IPV6協(xié)議采用的是自動(dòng)配置模式，因此只要在運(yùn)行IPV6協(xié)議的網(wǎng)絡(luò)內(nèi)放置一臺(tái)惡意設(shè)備，攻擊者就可以獲得相關(guān)計(jì)算機(jī)的控制權(quán)。更糟糕的是，該裝置可以獲得路由器權(quán)限。迫使所有流量都通過它，讓攻擊者可以窺探、修改或丟棄他們不愿意見到的數(shù)據(jù)包。

　　 內(nèi)置的網(wǎng)間控制信息協(xié)議和組播功能： 不同于IPv4協(xié)議，IPV6協(xié)議需要ICMP協(xié)議和組播流量。這一改變將極大地影響系統(tǒng)管理員控制網(wǎng)絡(luò)安全的方法。目前，在運(yùn)行IPv4協(xié)議的網(wǎng)絡(luò)中，阻斷ICMP協(xié)議和組播流量是公認(rèn)的慣例。對(duì)于ICMP協(xié)議和組播數(shù)據(jù)包進(jìn)行控制和過濾將不再屬于安全措施的一方面。

　　是否應(yīng)該關(guān)閉IPV6協(xié)議

　　是否應(yīng)該“啟用或者關(guān)閉”IPV6協(xié)議并不是一個(gè)很容易回答的問題。這就象是一片灰色地帶，充滿了各種各樣的觀點(diǎn)。我想先介紹一下馬爾桑文章中專家們的觀點(diǎn)：

　　瞻博聯(lián)盟的系統(tǒng)工程總監(jiān)，蒂姆·拉馬斯特是這樣認(rèn)為的：

　　“如果你不準(zhǔn)備部署IPV6協(xié)議的話，謹(jǐn)慎的做法就是不容許這樣的設(shè)備進(jìn)入網(wǎng)絡(luò)，”

　　拉馬斯特認(rèn)為?！暗窃诮窈蟮奈迥曛?，你不能夠禁止所有來自IPV6的流量。在制定出對(duì)策和搞清楚威脅之前，你唯一能做的就是阻止這些IPV6信息。”

　　不過，Command Information的先進(jìn)技術(shù)解決方案副總裁麗莎·唐南在此問題上有不同的看法：

　　“我們不支持阻止來自IPV6的流量這種做法。我們的建議是網(wǎng)絡(luò)管理員應(yīng)該對(duì)自己網(wǎng)絡(luò)中IPV6設(shè)備和程序的情況進(jìn)行分析和研究。如果你在自己的網(wǎng)絡(luò)中發(fā)現(xiàn)了來自IPV6協(xié)議的流量的話，就應(yīng)當(dāng)計(jì)劃、培訓(xùn)并部署IPV6協(xié)議?！?/p>

　　來自美國(guó)標(biāo)準(zhǔn)與技術(shù)研究院計(jì)算機(jī)安全部門的計(jì)算機(jī)專家希拉·弗蘭克爾則給出了一個(gè)折中的觀點(diǎn)：

　　“在IPV6方面，公司至少應(yīng)該做的是聽取專家的指導(dǎo)意見，這些意見可以讓公司避免遭受基于IPV6的網(wǎng)絡(luò)攻擊。另一方面，公司還應(yīng)當(dāng)管理好自己的外部服務(wù)器，讓IPV6協(xié)議在這些服務(wù)器上運(yùn)行，因?yàn)檫@些外部服務(wù)器起得就是相當(dāng)于公司的防火墻的作用。這樣一來，已經(jīng)使用IPV6地址的亞洲客戶就可以訪問這些服務(wù)器，他們自己的員工也會(huì)在IPV6方面獲得專家的指導(dǎo)意見。這就是整個(gè)處理過程的第一步?！?/p>

　　弗蘭克爾繼續(xù)分析說：

　　“IPV6的時(shí)代已經(jīng)到來。最好的辦法是提前做好面對(duì)它的準(zhǔn)備，然后確定自己應(yīng)該怎樣選擇最安全的方式來進(jìn)行應(yīng)對(duì)?！?/p>

　　當(dāng)開始使用運(yùn)行了IPV6協(xié)議的計(jì)算機(jī)時(shí)，我的選擇是關(guān)閉它。原因是，我覺得這種設(shè)置是沒有必要的。顯然，這樣的選擇是有價(jià)值的，因?yàn)榭蛻舻挠?jì)算機(jī)不會(huì)受到新型威脅的攻擊了。

　　至少在目前，我認(rèn)為這種做法是可行的。我不會(huì)假裝自己的做法適合每一個(gè)人。從文章前面給出的觀點(diǎn)來看，我更確認(rèn)的只有一件事情，那就是IPV6的普及正在呈現(xiàn)愈來愈快的趨勢(shì)。希望這些信息可以幫助你在網(wǎng)絡(luò)和系統(tǒng)之間獲取最佳的平衡。

　　如何禁用IPV6協(xié)議

　　值得慶幸的是，禁用IPV6協(xié)議是非常方便的。如果你希望這樣做的話，我在下面提供了針對(duì)不同的操作系統(tǒng)如何進(jìn)行操作的網(wǎng)站鏈接：

　　禁用Linux系統(tǒng)中的IPV6協(xié)議

　　禁用Windows　Vista中的IPV6協(xié)議

　　禁用蘋果OS　X中的IPV6協(xié)議

　　最后的思考

　　總的來說，這無疑是一個(gè)充滿了驚奇的棘手問題。就象每一次未經(jīng)考驗(yàn)的新技術(shù)變革一樣。我會(huì)接受它。但問題的關(guān)鍵是什么時(shí)間接受，才不會(huì)讓安全出現(xiàn)問題。我希望這種情況只是暫時(shí)的。