IPv6协议：开启好还是禁止的好？

IPv6协议：开启好还是禁止的好？

你知道自己的计算机是否已经开始使用IPV6协议了吗?如果答案是否定的话，最好检查一下，因为破坏分子很可能已经知道这一点了。
-----------------------------------------------------------------------------------

　　微软在发布Vista的时间，已经开始设置默认情况下启用IPV6协议了。Windows　Server　2008和即将发布的Windows 7也将延续这一策略。苹果、Linux和Solaris也在它们发布的最新操作系统中启用了IPV6协议。

　　在进行进一步的分析之前，我需要先说明一些事情。我们都知道IPV6协议是非常重要的。我甚至在乔·克莱恩(Command Information的IPV6安全总监)的大力帮助下写过几篇文章。因此，就不用说明我的立场了。

　　我的立场是什么

　　我并不了解具体的原因，但现在销售的计算机已经启用了IPV6协议。我猜测。这是因为大部分操作系统开发商认为IPV6网络将开始占据主导地位。或者说，启用IPV6协议没有什么坏处，因此，为什么要等待。

　　我知道微软提供的一项服务就需要IPV6协议的支持。它被称做Windows会议室。采用的是点对点架构和IPV6协议，可以自动进行AdHoc网络的设置

　　我们谈论的数字是多大

　　运行IPV6协议计算机的数目是惊人的。根据卡罗琳·达菲·马尔桑在网络世界中的一篇文章引用的乔·克莱恩的说法：

　　“我们讨论的很可能是大约三亿台在默认状态下已经启用IPV6协议的系统。我们认为这是一个很大的风险。”

　　我不明白的是，这三亿台计算机的使用者中有多少人明白启用IPV6协议意味着什么?

　　为什么需要进一步分析讨论

　　在一篇类似的文章中，马尔桑询问专家，系统同时运行IPV6和IPv4协议时，会出现的最严重问题是什么。专家们的回答是：

　　· 恶意的IPV6流量：攻击者已经认识到，大多数网络管理员都没有或者不能监测基于IPV6协议的流量。因为现有的防火墙、入侵检测或网络管理工具都不支持IPV6协议。因此，攻击者可以通过任何一台运行IPV6协议的计算机发送恶意流量，并且不会受到任何限制。

　　· IPV6通道：象Teredo和网站自动通道寻址协议(ISATAP)之类的协议可以将IPV6数据包封装在IPv4数据包中。这样的话，转换后的数据包可以容易地通过基于IPv4协议的防火墙和网络地址转换(NAT)设备，默认的保护措施就不会对IPV6数据包产生作用。

　　· 恶意的IPV6设备：由于IPV6协议采用的是自动配置模式，因此只要在运行IPV6协议的网络内放置一台恶意设备，攻击者就可以获得相关计算机的控制权。更糟糕的是，该装置可以获得路由器权限。迫使所有流量都通过它，让攻击者可以窥探、修改或丢弃他们不愿意见到的数据包。

　　· 内置的网间控制信息协议和组播功能：不同于IPv4协议，IPV6协议需要ICMP协议和组播流量。这一改变将极大地影响系统管理员控制网络安全的方法。目前，在运行IPv4协议的网络中，阻断ICMP协议和组播流量是公认的惯例。对于ICMP协议和组播数据包进行控制和过滤将不再属于安全措施的一方面。

　　是否应该关闭IPV6协议

　　是否应该“启用或者关闭”IPV6协议并不是一个很容易回答的问题。这就象是一片灰色地带，充满了各种各样的观点。我想先介绍一下马尔桑文章中专家们的观点：

　　瞻博联盟的系统工程总监，蒂姆·拉马斯特是这样认为的：

　　“如果你不准备部署IPV6协议的话，谨慎的做法就是不容许这样的设备进入网络，”

　　拉马斯特认为。“但是在今后的五年中，你不能够禁止所有来自IPV6的流量。在制定出对策和搞清楚威胁之前，你唯一能做的就是阻止这些IPV6信息。”

　　不过，Command Information的先进技术解决方案副总裁丽莎·唐南在此问题上有不同的看法：

　　“我们不支持阻止来自IPV6的流量这种做法。我们的建议是网络管理员应该对自己网络中IPV6设备和程序的情况进行分析和研究。如果你在自己的网络中发现了来自IPV6协议的流量的话，就应当计划、培训并部署IPV6协议。”

　　来自美国标准与技术研究院计算机安全部门的计算机专家希拉·弗兰克尔则给出了一个折中的观点：

　　“在IPV6方面，公司至少应该做的是听取专家的指导意见，这些意见可以让公司避免遭受基于IPV6的网络攻击。另一方面，公司还应当管理好自己的外部服务器，让IPV6协议在这些服务器上运行，因为这些外部服务器起得就是相当于公司的防火墙的作用。这样一来，已经使用IPV6地址的亚洲客户就可以访问这些服务器，他们自己的员工也会在IPV6方面获得专家的指导意见。这就是整个处理过程的第一步。”

　　弗兰克尔继续分析说：

　　“IPV6的时代已经到来。最好的办法是提前做好面对它的准备，然后确定自己应该怎样选择最安全的方式来进行应对。”

　　当开始使用运行了IPV6协议的计算机时，我的选择是关闭它。原因是，我觉得这种设置是没有必要的。显然，这样的选择是有价值的，因为客户的计算机不会受到新型威胁的攻击了。

　　至少在目前，我认为这种做法是可行的。我不会假装自己的做法适合每一个人。从文章前面给出的观点来看，我更确认的只有一件事情，那就是IPV6的普及正在呈现愈来愈快的趋势。希望这些信息可以帮助你在网络和系统之间获取最佳的平衡。

　　如何禁用IPV6协议

　　值得庆幸的是，禁用IPV6协议是非常方便的。如果你希望这样做的话，我在下面提供了针对不同的操作系统如何进行操作的网站链接：

　　禁用Linux系统中的IPV6协议

　　禁用Windows　Vista中的IPV6协议

　　禁用苹果OS　X中的IPV6协议

　　最后的思考

　　总的来说，这无疑是一个充满了惊奇的棘手问题。就象每一次未经考验的新技术变革一样。我会接受它。但问题的关键是什么时间接受，才不会让安全出现问题。我希望这种情况只是暂时的。