从IPv4到IPv6的过渡势必会迫使很多企业重新思考他们对于网络所做的安全措施。其结果将是,从获得确定的安全证实之前认定所有进入的信息流量均不安全这种做法,趋向一种"偏执的开放性"策略。
这就是Cisco著名的工程师Eric Vyncke的观点。在上个月于伦敦举行的RSA大会上,他指出只有当企业对于流入的信息流量更为开放,他们才能从IPv6中最终获益。
很多企业可能会考虑延迟加入下一代IPv6互联网协议的时间,因为第一个吃螃蟹的人总是得不到什么好处。但是,停留于IPv4免费的IP地址中高枕无忧的日子最终还是会走到头的。届时,所有人都将步入到IPv6的世界中去,它将提供128位地址(取代IPv4的32位地址),其结果是惊人的2 ^128 个不同的可用IP地址。这个数字足以为地球表面的每个原子分配一个唯一的IP地址,更不用说让每台连接到网络的服务器、台式电脑、笔记本、智能手机、网络摄像头和任何其它连接到企业网络中的设备享受一个单独的IP地址了。这种点对点的IPv6连接对许多企业所带来的巨大好处将不言而喻。
NAPT的安全利益
在考虑它的安全含义以前,让我们先来看看IPv4中网络安全措施的关键部分。通常,一个企业在它内部的局域网(LAN)中会有一系列机器,所有这些机器都设有本地的IP地址。它们位于防火墙之后,并且共享有限的几个使用网络地址转换(NAT)的公共IP地址,或者更准确地说,使用网络地址端口转换(NAPT)。这里当然也存在入侵防御系统(IPS)来处理5、6、7层的攻击,而这种防御措施也可能是一个应用防火墙。
NAPT的好处在于它能够为所有在公司局域网内的设备提供足够多的私人IP地址,同时能够保证这些设备的安全。这是因为在局域网中的设备的地址都不能被任何防火墙之外的人篡改。此外,由于在防火墙内的每台设备对于外部攻击者来说都"不可见",所以想要袭击他们并不容易。攻击者只有通过内部网络才可以进行网络扫描,然后基于其拓扑架构和潜在的攻击弱点形成一个入侵想法。
不论如何,这些都是传统的思维,但是NAPT真的能够提供足够的安全吗?不可否认,它的确可以阻止来自外部的连接尝试,但是也无异于一个状态性防火墙。任何情况下,都有办法可以绕过NAPT然后通过私人IP地址登陆机器,例如,像Skype那样使用反向隧道工具。
就掩藏位于防火墙之后的网络拓扑结构而言,类似于计数ID领域、TCP协议的时间戳机制或者电子邮件RC 822都可以帮助攻击者看清你的网络设置,Vyncke补充说。
还有一点值得注意的是,NATP很难进行网络取证,让你不知道哪台设备负责何种外部活动。很多类型的攻击(比如网络钓鱼)实际上是神不知鬼不觉地始于防火墙内部用户自己进行的恶意软件下载。NAPT对此则束手无策。一旦电脑遭到恶意软件的破坏,那么攻击者就很容易使用网络侦查工具(比如Nmap)从内部浏览你的网络了。
为什么IPv6更好?
那么这一切与IP v6的安全性又有什么关系呢?这也势必会引发是否存在某种形式的NAPT形式是可取的这个问题。如果你放弃了NAPT,那么在你的网络中的任意设备和任何外部设备之间就会有潜在的点对点的受益--因为在IPv6下,每台设备都可以拥有自己唯一的IP地址。
所以,在IPv6下不使用NAPT并不会因为攻击者可以看到你的网络拓扑结构而让它变得更加脆弱。这是因为默认的IPv6子网络拥有2^64的IP地址,所以即便是以10Mpps的速度,一个黑客也需要花上五万年的时间来完成整个网络扫描(Nmap甚至可能不能支持IPv6上的扫描)。这并不是说黑客不能对你的网络进行侦查--这意味着他们会使用其它手段,比如对入侵计算机进行DNS记录或者日志和网络状态数据检查,之后锁定其它的攻击目标。
Vyncke的结论是,由于NAPT几乎不能在IPv6环境下提供任何好处,所以为了确保从巨大的新地址空间中获得最大效益,企业应该学会将之遗弃。因此,他建议对所有的信息流量都使用所谓偏执开放政策,而不是阻止所有外部信息流量进入内部网络(除了少数几个特例比如网络服务器流量)。
信息流量检查需要通过多个系统来实现,Vyncke建议。这些将包括一些类型的IP地址信誉系统来检查信息流量并阻止任何来自低信誉IP地址的信息和使用动态签名更新的入侵防御系统。
未来的安全IPv6网络
Vyncke建议,默认的企业安全策略可以基于以下七个准则,取决于企业的特殊需求:
1.通过采用单一地址反向传输路径转发来拒绝所有拥有模糊源地址的数据包。
2.阻止一切来自于低信誉IPv6地址的信息流量。
3.检查出站信息流量,允许返回流量匹配条件,但是仅仅是在它已经通过了IPS,以检测用户无意间带入的任何僵尸网络流量或者恶意软件(也可能是由于钓鱼攻击引发)。
4.允许入站网络流量进入在公共DNS中拥有AAAA记录的地址。
5.如果某个内部地址从来没有发送过任何来自企业外部的信息,阻止一切信息流量进入该内部地址。这是为了保护内部设备比如打印机不被外部访问。
6.拦截所有入站SSL/TLS信息流量,用自签名的证书来对它进行解密,在允许它们进入之前对它们进行检查。
7.在通过IPS之后,默认允许所有其它入站信息流量,但是要对它们的速率进行限制,以此来避免设备超载。
对于许多企业而言,Vyncke的建议可能有些过于激进,在IPv6式的点到点连接的好处被证实之前尤为如此。但是不要忘记,企业之所以能够乐意面对将局域网连入互联网的风险,唯一的原因就是这么做所带来的好处值得他们去冒这个风险。
作者:Paul Rubens
出处:http://www.enterprisenetworkingplanet.com
