你知道自己的計算機是否已經(jīng)開始使用IPV6協(xié)議了嗎?如果答案是否定的話，最好檢查一下，因為破壞分子很可能已經(jīng)知道這一點了。

-----------------------------------------------------------------------------------

微軟在發(fā)布Vista的時間，已經(jīng)開始設(shè)置默認情況下啟用IPV6協(xié)議了。Windows　Server　2008和即將發(fā)布的Windows 7也將延續(xù)這一策略。蘋果、Linux和Solaris也在它們發(fā)布的最新操作系統(tǒng)中啟用了IPV6協(xié)議。

在進行進一步的分析之前，我需要先說明一些事情。我們都知道IPV6協(xié)議是非常重要的。我甚至在喬·克萊恩(Command Information的IPV6安全總監(jiān))的大力幫助下寫過幾篇文章。因此，就不用說明我的立場了。

我的立場是什么

我并不了解具體的原因，但現(xiàn)在銷售的計算機已經(jīng)啟用了IPV6協(xié)議。我猜測。這是因為大部分操作系統(tǒng)開發(fā)商認為IPV6網(wǎng)絡(luò)將開始占據(jù)主導(dǎo)地位?；蛘哒f，啟用IPV6協(xié)議沒有什么壞處，因此，為什么要等待。

我知道微軟提供的一項服務(wù)就需要IPV6協(xié)議的支持。它被稱做Windows會議室。采用的是點對點架構(gòu)和IPV6協(xié)議，可以自動進行AdHoc網(wǎng)絡(luò)的設(shè)置

我們談?wù)摰臄?shù)字是多大

運行IPV6協(xié)議計算機的數(shù)目是驚人的。根據(jù)卡羅琳·達菲·馬爾桑在網(wǎng)絡(luò)世界中的一篇文章引用的喬·克萊恩的說法：

“我們討論的很可能是大約三億臺在默認狀態(tài)下已經(jīng)啟用IPV6協(xié)議的系統(tǒng)。我們認為這是一個很大的風(fēng)險。”

我不明白的是，這三億臺計算機的使用者中有多少人明白啟用IPV6協(xié)議意味著什么?

為什么需要進一步分析討論

在一篇類似的文章中，馬爾桑詢問專家，系統(tǒng)同時運行IPV6和IPv4協(xié)議時，會出現(xiàn)的最嚴重問題是什么。專家們的回答是：

· 惡意的IPV6流量：攻擊者已經(jīng)認識到，大多數(shù)網(wǎng)絡(luò)管理員都沒有或者不能監(jiān)測基于IPV6協(xié)議的流量。因為現(xiàn)有的防火墻、入侵檢測或網(wǎng)絡(luò)管理工具都不支持IPV6協(xié)議。因此，攻擊者可以通過任何一臺運行IPV6協(xié)議的計算機發(fā)送惡意流量，并且不會受到任何限制。

· IPV6通道：象Teredo和網(wǎng)站自動通道尋址協(xié)議(ISATAP)之類的協(xié)議可以將IPV6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包中。這樣的話，轉(zhuǎn)換后的數(shù)據(jù)包可以容易地通過基于IPv4協(xié)議的防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)設(shè)備，默認的保護措施就不會對IPV6數(shù)據(jù)包產(chǎn)生作用。

· 惡意的IPV6設(shè)備：由于IPV6協(xié)議采用的是自動配置模式，因此只要在運行IPV6協(xié)議的網(wǎng)絡(luò)內(nèi)放置一臺惡意設(shè)備，攻擊者就可以獲得相關(guān)計算機的控制權(quán)。更糟糕的是，該裝置可以獲得路由器權(quán)限。迫使所有流量都通過它，讓攻擊者可以窺探、修改或丟棄他們不愿意見到的數(shù)據(jù)包。

· 內(nèi)置的網(wǎng)間控制信息協(xié)議和組播功能：不同于IPv4協(xié)議，IPV6協(xié)議需要ICMP協(xié)議和組播流量。這一改變將極大地影響系統(tǒng)管理員控制網(wǎng)絡(luò)安全的方法。目前，在運行IPv4協(xié)議的網(wǎng)絡(luò)中，阻斷ICMP協(xié)議和組播流量是公認的慣例。對于ICMP協(xié)議和組播數(shù)據(jù)包進行控制和過濾將不再屬于安全措施的一方面。

是否應(yīng)該關(guān)閉IPV6協(xié)議

是否應(yīng)該“啟用或者關(guān)閉”IPV6協(xié)議并不是一個很容易回答的問題。這就象是一片灰色地帶，充滿了各種各樣的觀點。我想先介紹一下馬爾桑文章中專家們的觀點：

瞻博聯(lián)盟的系統(tǒng)工程總監(jiān)，蒂姆·拉馬斯特是這樣認為的：

“如果你不準備部署IPV6協(xié)議的話，謹慎的做法就是不容許這樣的設(shè)備進入網(wǎng)絡(luò)，”

拉馬斯特認為。“但是在今后的五年中，你不能夠禁止所有來自IPV6的流量。在制定出對策和搞清楚威脅之前，你唯一能做的就是阻止這些IPV6信息。”

不過，Command Information的先進技術(shù)解決方案副總裁麗莎·唐南在此問題上有不同的看法：

“我們不支持阻止來自IPV6的流量這種做法。我們的建議是網(wǎng)絡(luò)管理員應(yīng)該對自己網(wǎng)絡(luò)中IPV6設(shè)備和程序的情況進行分析和研究。如果你在自己的網(wǎng)絡(luò)中發(fā)現(xiàn)了來自IPV6協(xié)議的流量的話，就應(yīng)當(dāng)計劃、培訓(xùn)并部署IPV6協(xié)議。”

來自美國標準與技術(shù)研究院計算機安全部門的計算機專家希拉·弗蘭克爾則給出了一個折中的觀點：

“在IPV6方面，公司至少應(yīng)該做的是聽取專家的指導(dǎo)意見，這些意見可以讓公司避免遭受基于IPV6的網(wǎng)絡(luò)攻擊。另一方面，公司還應(yīng)當(dāng)管理好自己的外部服務(wù)器，讓IPV6協(xié)議在這些服務(wù)器上運行，因為這些外部服務(wù)器起得就是相當(dāng)于公司的防火墻的作用。這樣一來，已經(jīng)使用IPV6地址的亞洲客戶就可以訪問這些服務(wù)器，他們自己的員工也會在IPV6方面獲得專家的指導(dǎo)意見。這就是整個處理過程的第一步。”

弗蘭克爾繼續(xù)分析說：

“IPV6的時代已經(jīng)到來。最好的辦法是提前做好面對它的準備，然后確定自己應(yīng)該怎樣選擇最安全的方式來進行應(yīng)對。”

當(dāng)開始使用運行了IPV6協(xié)議的計算機時，我的選擇是關(guān)閉它。原因是，我覺得這種設(shè)置是沒有必要的。顯然，這樣的選擇是有價值的，因為客戶的計算機不會受到新型威脅的攻擊了。

至少在目前，我認為這種做法是可行的。我不會假裝自己的做法適合每一個人。從文章前面給出的觀點來看，我更確認的只有一件事情，那就是IPV6的普及正在呈現(xiàn)愈來愈快的趨勢。希望這些信息可以幫助你在網(wǎng)絡(luò)和系統(tǒng)之間獲取最佳的平衡。

如何禁用IPV6協(xié)議

值得慶幸的是，禁用IPV6協(xié)議是非常方便的。如果你希望這樣做的話，我在下面提供了針對不同的操作系統(tǒng)如何進行操作的網(wǎng)站鏈接：

禁用Linux系統(tǒng)中的IPV6協(xié)議

禁用Windows　Vista中的IPV6協(xié)議

禁用蘋果OS　X中的IPV6協(xié)議

最后的思考

總的來說，這無疑是一個充滿了驚奇的棘手問題。就象每一次未經(jīng)考驗的新技術(shù)變革一樣。我會接受它。但問題的關(guān)鍵是什么時間接受，才不會讓安全出現(xiàn)問題。我希望這種情況只是暫時的。