警惕隱藏的IPv6流量

6月6日，全球IPv6網(wǎng)絡(luò)正式啟動（World IPv6 Launch）。當(dāng)天，主要的內(nèi)容和網(wǎng)絡(luò)服務(wù)供應(yīng)商開始永久啟用IPv6支持， 創(chuàng)造了本地IPv6流量高峰，同時也采用6in4和Teredo等鏈路協(xié)議。從促進(jìn)IPv6使用的目的來看，大會是非常成功的。但是當(dāng)IPv6發(fā)布日已經(jīng)過去，如何處理IPv6流量的安全問題卻還沒有解決。

首要的安全問題是黑客可利用IPv6鏈路技術(shù)隱藏在IPv4流量中，產(chǎn)生了一條沒有防護(hù)的進(jìn)出企業(yè)網(wǎng)絡(luò)的通道。關(guān)閉這些通道需要了解IPv6轉(zhuǎn)換機(jī)制的運(yùn)作及其可視性。

要理解機(jī)構(gòu)需要實(shí)施IPv6的原因是很容易的。簡單來說，就是第一個互聯(lián)網(wǎng)協(xié)議版本IPv4空間耗盡。每個與網(wǎng)絡(luò)相連的設(shè)備都有固定的IP地址，IPv4協(xié)議允許32位的IP地址，也就是232 個的可能地址，而IPv6則將IP地址數(shù)量增加到2128。雖然目前IPv4運(yùn)行良好，但持續(xù)增長的網(wǎng)絡(luò)連接設(shè)備終會將其空間消耗殆盡。IPv6也在其他方面對IPv4進(jìn)行了優(yōu)化，比如說，簡化地址分配。

但是啟用IPv6對網(wǎng)絡(luò)運(yùn)營者還許多其他的影響。過去，企業(yè)一直重點(diǎn)保護(hù)IPv4網(wǎng)絡(luò)，現(xiàn)在他們必須投入相同的力度在IPv6的運(yùn)行上。安全管理員需要學(xué)習(xí)IPv6新協(xié)議的基本內(nèi)容，以應(yīng)對變化帶來的挑戰(zhàn)。在這方面，網(wǎng)上公布的最佳實(shí)踐是美國國家標(biāo)準(zhǔn)和技術(shù)研究所 (National Institute of Standards and Technology)的綱要。

如果安全設(shè)備支持IPv6，現(xiàn)在就是啟用它的時候。一些操作系統(tǒng)，諸如Windows Vista和Windows 7 中IPv6轉(zhuǎn)換機(jī)制是默認(rèn)設(shè)置。這意味著IT部門并不知道正在運(yùn)行IPv6，最終讓使用戶繞開防火墻和網(wǎng)絡(luò)入侵防御系統(tǒng)（IPS）。

這些鏈路通過啟用IPv6主機(jī)和路由器，在IPv4互聯(lián)網(wǎng)上與其他IPv6設(shè)備連接來運(yùn)行。鏈路的問題在于，它們可以穿過防火墻——攻擊者或許能逃出企業(yè)安全控制并連接到企業(yè)網(wǎng)絡(luò)內(nèi)部資源。因此，使用如6 to 4的鏈路協(xié)議支持轉(zhuǎn)換到IPv6需要慎重考慮，盡可能保持在最低限度。

事實(shí)情況是，IPv6可能在企業(yè)不知情的情況下，已經(jīng)在網(wǎng)絡(luò)中運(yùn)行，且可能被僵尸網(wǎng)絡(luò)和黑客用作隱蔽通道。雖然企業(yè)可能不會主動在網(wǎng)絡(luò)中運(yùn)行IPv6，但是，他們的安全基礎(chǔ)設(shè)置應(yīng)具備檢測IPv6的流量的功能。畢竟，你不能阻止你無法看到的。

談及保護(hù)IPv6部署，最重要的是可視性。企業(yè)需要部署支持IPv6并使IPv6運(yùn)作的安全產(chǎn)品。在某些情況下，這可能需要升級，例如，傳統(tǒng)的入侵防御系統(tǒng)（IPS）和防火墻，就可能已經(jīng)無法檢測到IPv6流量。可喜的是，在過去的幾年中，許多主要的防火墻和網(wǎng)絡(luò)安全廠商已經(jīng)增加了對IPv6的支持。盡管如此，企業(yè)仍應(yīng)向供應(yīng)商反應(yīng)，以確保產(chǎn)品提供了他們所需的所有功能，并且開始在他們的環(huán)境中應(yīng)用。被認(rèn)可的IPv6測試方案有NIST的USGv6 Profile和測試計劃。

隨著越來越多的企業(yè)部署IPv6，管理員需要特別注意轉(zhuǎn)換機(jī)制和設(shè)備配置，以避免向網(wǎng)絡(luò)開放未經(jīng)授權(quán)的途徑。保護(hù)網(wǎng)絡(luò)安全首要關(guān)鍵是監(jiān)控所有網(wǎng)絡(luò)的流量，如果管理員發(fā)現(xiàn)未經(jīng)授權(quán)的鏈路，那么他們要立即關(guān)閉這些鏈路避免被利用為攻擊流量。IPv6的必然性意味著企業(yè)需要現(xiàn)在便開始采取措施來支持其安全使用。

對于很多企業(yè)和全球服務(wù)提供商來說，過渡至IPv6并部署可以同時為IPv6和IPv4提供保護(hù)的網(wǎng)絡(luò)安全解決方案至關(guān)重要。企業(yè)應(yīng)該清楚地認(rèn)識到這次遷移所帶來的安全挑戰(zhàn)。客戶想要彌補(bǔ)協(xié)議轉(zhuǎn)換帶來的安全缺口，最直接的方法就是采用獲得IPv6標(biāo)識認(rèn)證的安全產(chǎn)品。

在向IPv6過渡的浪潮中，安全廠商也在一直在尋求不斷滿足客戶實(shí)施需求的解決方案。例如，Check Point R75.40軟件刀片和 GAiA 統(tǒng)一的操作系統(tǒng)（OS）就通過了UNH互操作性實(shí)驗(yàn)室(UNH Interoperability Laboratory)的評測，并獲得了IPv6論壇授予的第二階段（金）標(biāo)識（Phase Two (Gold) Logo）。這表示此兩款產(chǎn)品包含所有強(qiáng)制的IPv6核心協(xié)議，并且能夠與其他IPv6 和 IPv4實(shí)施方案互相操作，滿足IPv6標(biāo)識認(rèn)證委員會的所有技術(shù)要求。Check Point R75.40，GAiA和新型安全設(shè)備能夠輕松與新版本的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)互相操作，讓客戶無縫且安全地過渡到IPv6時代。

零日漏洞Websense無壓力

日前，Websense安全實(shí)驗(yàn)室曾通過其官方博客表示最新的Java零日漏洞(CVE-2012-4681)被發(fā)現(xiàn)用于少數(shù)幾起攻擊中。目前針對該漏洞的攻擊代碼已經(jīng)被添加到了當(dāng)前最泛濫的黑洞攻擊包中。

在上圖所示攻擊中，一個名為Pre.jar的文件被用于促使漏洞自動添加惡意程序。通過Websense ThreatScope報告，我們可清楚的看到在該次攻擊中它是一個銀行木馬。Websense強(qiáng)大的高級分類引擎（ACE）擁有實(shí)時分析能力 ，即使面對最新的零日漏洞和黑洞攻擊也能提供主動防御，確保用戶無恙。

作用Websense網(wǎng)絡(luò)安全智能（CSI）服務(wù)一部分的，Websense ThreatScope報告能讓用戶詳盡地了解攻擊的背景與目標(biāo)。