IPv6協議：開啟好還是禁止的好？

IPv6協議：開啟好還是禁止的好？

你知道自己的計算機是否已經開始使用IPV6協議了嗎?如果答案是否定的話，最好檢查一下，因為破壞分子很可能已經知道這一點了。
-----------------------------------------------------------------------------------

　　微軟在發布Vista的時間，已經開始設置默認情況下啟用IPV6協議了。Windows　Server　2008和即將發布的Windows 7也將延續這一策略。蘋果、Linux和Solaris也在它們發布的最新操作系統中啟用了IPV6協議。

　　在進行進一步的分析之前，我需要先說明一些事情。我們都知道IPV6協議是非常重要的。我甚至在喬·克萊恩(Command Information的IPV6安全總監)的大力幫助下寫過幾篇文章。因此，就不用說明我的立場了。

　　我的立場是什么

　　我并不了解具體的原因，但現在銷售的計算機已經啟用了IPV6協議。我猜測。這是因為大部分操作系統開發商認為IPV6網絡將開始占據主導地位?；蛘哒f，啟用IPV6協議沒有什么壞處，因此，為什么要等待。

　　我知道微軟提供的一項服務就需要IPV6協議的支持。它被稱做Windows會議室。采用的是點對點架構和IPV6協議，可以自動進行AdHoc網絡的設置

　　我們談論的數字是多大

　　運行IPV6協議計算機的數目是驚人的。根據卡羅琳·達菲·馬爾桑在網絡世界中的一篇文章引用的喬·克萊恩的說法：

　　“我們討論的很可能是大約三億臺在默認狀態下已經啟用IPV6協議的系統。我們認為這是一個很大的風險?！?/P>

　　我不明白的是，這三億臺計算機的使用者中有多少人明白啟用IPV6協議意味著什么?

　　為什么需要進一步分析討論

　　在一篇類似的文章中，馬爾桑詢問專家，系統同時運行IPV6和IPv4協議時，會出現的最嚴重問題是什么。專家們的回答是：

　　· 惡意的IPV6流量：攻擊者已經認識到，大多數網絡管理員都沒有或者不能監測基于IPV6協議的流量。因為現有的防火墻、入侵檢測或網絡管理工具都不支持IPV6協議。因此，攻擊者可以通過任何一臺運行IPV6協議的計算機發送惡意流量，并且不會受到任何限制。

　　· IPV6通道：象Teredo和網站自動通道尋址協議(ISATAP)之類的協議可以將IPV6數據包封裝在IPv4數據包中。這樣的話，轉換后的數據包可以容易地通過基于IPv4協議的防火墻和網絡地址轉換(NAT)設備，默認的保護措施就不會對IPV6數據包產生作用。

　　· 惡意的IPV6設備：由于IPV6協議采用的是自動配置模式，因此只要在運行IPV6協議的網絡內放置一臺惡意設備，攻擊者就可以獲得相關計算機的控制權。更糟糕的是，該裝置可以獲得路由器權限。迫使所有流量都通過它，讓攻擊者可以窺探、修改或丟棄他們不愿意見到的數據包。

　　· 內置的網間控制信息協議和組播功能：不同于IPv4協議，IPV6協議需要ICMP協議和組播流量。這一改變將極大地影響系統管理員控制網絡安全的方法。目前，在運行IPv4協議的網絡中，阻斷ICMP協議和組播流量是公認的慣例。對于ICMP協議和組播數據包進行控制和過濾將不再屬于安全措施的一方面。

　　是否應該關閉IPV6協議

　　是否應該“啟用或者關閉”IPV6協議并不是一個很容易回答的問題。這就象是一片灰色地帶，充滿了各種各樣的觀點。我想先介紹一下馬爾桑文章中專家們的觀點：

　　瞻博聯盟的系統工程總監，蒂姆·拉馬斯特是這樣認為的：

　　“如果你不準備部署IPV6協議的話，謹慎的做法就是不容許這樣的設備進入網絡，”

　　拉馬斯特認為?！暗窃诮窈蟮奈迥曛?，你不能夠禁止所有來自IPV6的流量。在制定出對策和搞清楚威脅之前，你唯一能做的就是阻止這些IPV6信息?！?/P>

　　不過，Command Information的先進技術解決方案副總裁麗莎·唐南在此問題上有不同的看法：

　　“我們不支持阻止來自IPV6的流量這種做法。我們的建議是網絡管理員應該對自己網絡中IPV6設備和程序的情況進行分析和研究。如果你在自己的網絡中發現了來自IPV6協議的流量的話，就應當計劃、培訓并部署IPV6協議?！?/P>

　　來自美國標準與技術研究院計算機安全部門的計算機專家希拉·弗蘭克爾則給出了一個折中的觀點：

　　“在IPV6方面，公司至少應該做的是聽取專家的指導意見，這些意見可以讓公司避免遭受基于IPV6的網絡攻擊。另一方面，公司還應當管理好自己的外部服務器，讓IPV6協議在這些服務器上運行，因為這些外部服務器起得就是相當于公司的防火墻的作用。這樣一來，已經使用IPV6地址的亞洲客戶就可以訪問這些服務器，他們自己的員工也會在IPV6方面獲得專家的指導意見。這就是整個處理過程的第一步?！?/P>

　　弗蘭克爾繼續分析說：

　　“IPV6的時代已經到來。最好的辦法是提前做好面對它的準備，然后確定自己應該怎樣選擇最安全的方式來進行應對?！?/P>

　　當開始使用運行了IPV6協議的計算機時，我的選擇是關閉它。原因是，我覺得這種設置是沒有必要的。顯然，這樣的選擇是有價值的，因為客戶的計算機不會受到新型威脅的攻擊了。

　　至少在目前，我認為這種做法是可行的。我不會假裝自己的做法適合每一個人。從文章前面給出的觀點來看，我更確認的只有一件事情，那就是IPV6的普及正在呈現愈來愈快的趨勢。希望這些信息可以幫助你在網絡和系統之間獲取最佳的平衡。

　　如何禁用IPV6協議

　　值得慶幸的是，禁用IPV6協議是非常方便的。如果你希望這樣做的話，我在下面提供了針對不同的操作系統如何進行操作的網站鏈接：

　　禁用Linux系統中的IPV6協議

　　禁用Windows　Vista中的IPV6協議

　　禁用蘋果OS　X中的IPV6協議

　　最后的思考

　　總的來說，這無疑是一個充滿了驚奇的棘手問題。就象每一次未經考驗的新技術變革一樣。我會接受它。但問題的關鍵是什么時間接受，才不會讓安全出現問題。我希望這種情況只是暫時的。