| 出版日期:2004-09-27 总期号:1351 本年期号:72 |
|
 |
IPv6也有隐患
高亮 张大民是在国内互联网黑客圈子里小有名气的黑客,由于对互联网和网络安全的热爱,张大民对IPv6,尤其是IPv6的安全性产生了极大的兴趣,想好好研究一番,看看究竟IPv6的网络有多安全。 IPv6比IPv4更安全? 通过多年对IPv4系统的研究,张大民对IPv4系统的开放程度很了解。对比IPv6,他发现,在IPv6的地址概念中,有了Link-Local(本地子网)地址和 site-local(本地网络)地址的概念。而且一台主机的一个网卡上可以有多个IPv6的地址。 这样分析下来,张大民认为,从安全角度来说,这样的地址分配为网络管理员加强网络安全管理提供了方便。因为如果有主机需要和一个子网内的其他主机建立联系,网络管理员可以只给它分配一个Link local的IPv6地址;如果一台服务器只为单位内部的员工提供访问,那么就可以只给这台主机分配一个Site local 的IPv6地址。单位网络外部的任何人员都无法访问这些主机,而且也不需要再单独安装防火墙什么的对这些主机加以特殊保护了。 对于网络管理员来说,IPv6的地址设计方法加强了网络安全。但不是每个管理员都把网络安全放在第一位,不论是在IPv4还是在IPv6的世界中,粗心大意的网络管理员管理的网络永远是黑客们第一个找到的目标。 张大民还注意到,IPv4中的IP选项一部分被IPv6中的扩展报文头所代替了。这个发现让黑客张大民大喜过望,因为IPv4的选项部分就已经很复杂了,网络管理员对这一部分管理上的疏忽常常给黑客可乘之机。IPv6中一定也会有这种情况发生。果然不出张大民所料,经过了一番研究,他发现IPv6中规定,所有的IPv6主机都要求接受并处理IPv6的路由扩展报文头,并转发路由扩展报文头内的报文。这样就可以修改这个路由扩展报文头来改变报文的转发方向,可以使这些单位网络的防火墙被绕过。“看来IPv6还是有安全隐患的。”张大民想。 IPv6逃不开蠕虫 病毒和互联网蠕虫是现在最让人头疼的网络攻击行为。如果到了IPv6的网络上,这些东西还会存在吗?张大民也想把这个问题弄个明白。 很快,张大民就意识到,基于应用层的病毒和互联网蠕虫是一定会存在的,因为它们对底层,如第三层的传输方法是IPv4还是IPv6并不敏感。所以电子邮件的病毒还是会继续传播。 但是,他也发现了一些有趣的问题。现在的许多病毒和互联网蠕虫,在感染了一台主机之后,就开始对其他主机进行随机扫描,在扫描到其他有问题的主机后,再把病毒传染给其他的主机。但这种传播方式在IPv6的网络中就不适用了。因为IPv6的地址空间实在是太大了,如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有问题的其他主机,那就像在银河系中寻找有生命的星球一样,基本上不可能了。所以,在IPv6的世界里,病毒、互联网蠕虫在IPv6的网络中传播将变得很困难。 “这可真不错”,张大民在想,作为一个有正义感的网民,他一向不很欣赏发布病毒和互联网蠕虫那些人的所作所为。 另外,张大民还发现,对于有些网络攻击技术,例如:报文偷看(Sniffing)、拒绝服务攻击等,不管是在IPv4还是在IPv6的网络中,都是适用的。不过,尽管这些攻击都会继续存在,但在IPv6的网络中,事后追溯攻击的源头还是要比在IPv4中容易一些。 给网管员的建议 经过这次摸索,张大民深深感觉到,真正保护这些网络系统的关键因素是人,是网络管理员。一个经验丰富的网络管理员可以把一个使用原始技术的网络保护得固若金汤,一个粗心大意的网络管理员也可以把一个使用IPv6的网络配置得漏洞大开。 于是,作为一个有责任感的网络安全工作者,张大民在通过自己对IPv6安全问题的研究后,想给IPv6网络管理员提炼出一些好的安全建议,以共同打造一个美丽的IPv6网络世界。例如:在IPv6网络中,网络管理员应该对单位内所有的IPv6主机进行查看,确认这些主机配置成不会转发路由扩展报文头内的报文等等。方法越写越多,张大民决定下期一并详细献给大家。 (C9) (文中人物纯属虚构,请勿对号入座) |
||||||||||||||||||||||||||||||
