IPv6的六大誤區：IPv6不比IPv4安全

 

　　這一問題是非常嚴重的，因為互聯網的發展已經將IPv4地址耗盡了，這個32位的地址可支持43億部直接聯網設備。而與之無法兼容的替代協議IPv6則使用128位地址，可支持幾乎無限數量(2的18次方)的直接聯網設備。

 

　　本文列出了關于IPv4地址耗盡和IPv6部署的六個最大的誤解，這也是我們在最近一段時間以來所聽到和讀到的誤解。

 

　　1. 互聯網還有充足的IPv4地址

 

　　你是否認為互聯網已經用盡了IPv4地址，取決于你居住在世界的什么地區，取決于你的網絡增長的有多快。

 

　　今年2月初，當互聯網編號分配機構(IANA)把最后5塊IPv4地址——每塊約1670萬個地址——分配給五大區域注冊商之后，最后未分配的IPv4地址池就已經分配完畢。這些注冊商預計會在2011年將這些IPv4地址小批量地分配給各大運營商。

 

　　IPv4地址池的分配完畢是互聯網IPv4地址耗盡的第一步。這在互聯網40年的發展史上是一個重大的里程碑，因為它表明IPv4地址也是一種有限的資源。

 

　　在今后的幾個月內，對于網絡快速擴張的移動和寬帶運營商們來說，要想獲得連續的IPv4地址空間來構建其擴張網絡將會變得越來越困難。

 

　　一些運營商已經在斷言，今年，大塊的IPv4地址會極為短缺。中國電信預測，2011年它將會短缺2000萬個IPv4地址，這種情況將會影響到其移動寬帶、IPTV和其他公眾業務的推出。中國電信擔憂的是，互聯網的IPv4地址可以說已經用盡了。向IPv6的遷移已經刻不容緩。

 

　　一些美國政府機構和企業早在人人都意識到IPv4地址空間是一種稀缺資源之前，就已經下手大量地獲取IPv4地址塊了，比如美國軍隊、IBM和麻省理工等，對于他們而言，IPv4地址的耗盡問題并沒有那么急迫。

 

　　而對于大多數的美國企業來說，有限的IPv4地址已經開始影響到其業務的開展了。他們很快就將無法從其運營商手中獲取業務發展所需的IPv4地址了。因此對于這些企業的CIO們來說，IPv4地址匱乏的一天很快就會到來。

 

　　2. 我的企業還不需要采用IPv6地址

 

　　一家企業的一位IT高管負責運營著一批Web網站，年營收達1億美元，他最近稱，企業的業務發展并未到達非得采用IPv6地址的地步。這家公司還沒有開始部署IPv6，今年也沒有制定這方面的預算。

 

　　這位高管仍然持有IPv6只是一種可以推遲進行的網絡升級的錯誤印象。

 

　　美國互聯網數字注冊商(ARIN)的總裁兼CEO John Curran稱，所有在互聯網上有業務的企業都應在2012年1月1日之前讓其面向公眾的Web服務器和Web服務可支持IPv6，否則將有可能會冒失去潛在客戶的風險。

 

　　與此同時，奧巴馬政府也已下達了政府令，要求所有的聯邦機構必須在2012年9月30日之前升級他們面向公眾的Web網站及服務，必須要能夠支持IPv6流量。

 

　　相信IPv4地址已經用盡的專家們則稱，企業如果現在還沒有制定IPv6的遷移計劃的話，就已經太遲了。

 

　　NTT美國公司負責企業營銷通信的資深經理Chris Davis稱，IPv4地址塊的分配完畢“就是一個叫醒電話”，該公司是美國從事IPv6遷移和接入服務的領導廠商之一。“假如你還沒有認真對待這一問題，最好現在就開始認真對待。假如你還沒有及時制定遷移計劃，最好現在就開始制定。因為采用IPv6已經是一個現實問題了。”

 

　　IPv6遷移步伐之所以緩慢，部分是因為美國的CIO們錯誤地認為他們的運營商自然會替他們考慮IPv6的遷移問題。然而這種情況是不會發生的。企業必須通過自己部署本地IPv6或者在其前端的Web服務器上制定IPv4到IPv6的遷移機制，才可能讓他們的Web網站能夠支持IPv6流量。

 

　　“運營商需要考慮的是他們自己的基礎設施如何向IPv6遷移的問題，而企業則必須自己負責他們的網絡和網絡接入，包括路由器、防火墻和Web服務等，”Davis說。

 

 

　　專家們預測，從現在開始的多個月之后，IPv地址就將被徹底用盡。而最后的IPv4地址會花落誰家，則與彩票中獎的模式完全不同。

 

　　今年2月，IANA分配完了尚未分配的IPv4地址池。然后，各區域注冊商將會逐步地、小批量地為全球運營商分配這些IPv4地址，這段時間大約需要3到9個月。而IANA估計，最后一個用盡IPv4地址池的注冊商會是一家非洲的注冊商AfriNIC。

 

　　“每家區域注冊商都會以自己的步調用光它所擁有的IPv4地址，”Curran說。“而按照各地區需求發展的速度來看，幾乎可以肯定AfriNIC會成為分配最后一個IPv4地址的注冊商。”

 

　　亞太網絡信息中心(APNIC)在分配其最后的1670萬個IPv4地址時采用了一種很獨特的策略。它每次只分配1024個IPv4地址給運營商，從而可以為一些新興企業保留一些IPv4地址。然而，這樣的小批量分配顯然無法滿足開該地區快速發展的網絡經營著者們的需要。所以就所有的實際需求來看，亞洲的IPv4地址將會在今年被用盡。

 

　　對于美國企業來說，IPv4地址的用盡也會是在2011年。ARIN稱，它目前還剩有8000萬個IPv4地址，預計會在未來9個月內被用盡。

 

　　幸運的互聯網用戶無法獲得最后一個IPv4地址的另一個原因是，運營商們可能會開始在多個用戶之間共享日益稀缺的地址資源。所以即便你被認為是從某個特定地區的某家特定運營商那里獲得了最后一個IPv4地址，該地址也有可能是被多個用戶所共享的。

 

　　而且IPv4地址還有可能被回收。運營商和企業在向IPv6升級時，就可以回收他們已經不用的IPv4地址轉交給區域注冊商。包括美國軍隊、斯坦福大學和Interop會展商在內的一些美國機構已經將一些不再使用的IPv4地址空間返回給了ARIN。假如回收的IPv4地址繼續進入分配流程的話，那么這一趨勢有可能會把IPv4地址的最后大限再推遲幾個月。

 

　　“預計會看到根據轉讓策略而出現的IPv4地址，”Curran說。“因此從地址池中獲得最后一個IPv4地址的人可能并不是最后一個獲得IPv4地址的幸運兒。”

 

 

　　專家們稱，IPv4地址黑市是不太可能出現的，因為區域注冊商已經為機構轉讓或者銷售他們不再使用的IPv4地址制訂了司法程序。

 

　　例如ARIN就制訂了一個流程，規定網絡經營者申請轉讓IPv4地址的流程和他們申請新的IPv地址的流程一樣。無論在哪一種情況下，網絡經營者都必須說明他們利用IPv4地址用于提供網絡服務的計劃，而不能是囤積起來以備未來再用。

 

　　“的確會出現一個轉讓市場，”Curran說。“我們制定了一個列表服務，需要地址空間的各方都可以加入這個列表。ARIN的工作就是要維護對于誰擁有地址空間的準確記錄。”

 

　　Curran說，如果IP地址未按照它制定的流程進行轉讓的話，ARIN有權回收IP地址。

 

　　“如果有人想違規轉讓IP地址的話，他們就得冒著其地址被ARIN收回重新分配的風險，”Curran說。“我們有足夠的人手會敦促申請了IPv4地址的機構盡快使用這些地址。”

 

　　區域注冊商正在考慮一種新的策略，將允許IPv4地址空間可以從一家區域注冊商轉讓給另一家區域注冊商。

 

　　“北美地區在互聯網發展的初期就分配了大量的地址空間，”Curran說。“這些資源應該為整個互聯網社區所使用。我預計我們將會看到地區間的轉讓。”

 

　　號碼資源組織(NRO)主席Raul Echeberria承認，IPv4地址黑市是可能出現的，但是他說，由于現有IPv4地址轉讓的規則，他也不能確定這個黑市一定會出現。

 

　　“有些IPv4地址當然會有可能在體系之外進行交易，但是我相信，和在體系之內進行轉讓的數量相比，這只會是極少的一部分。”他說。

 

　　Echeberria補充說，IPv4地址的價值會隨著網絡經營者紛紛采用IPv6而逐漸降低，因而使黑市變得沒有吸引力。

 

　　“如果互聯網社區向IPv6遷移，那么IPv4地址的價值未來就會下降，”他說。

 

 

　　IPv6的支持者們稱，新協議的好處之一就是它內置了對于IPSec的支持，后者是一種互聯網安全標準，可在兩個端點之間進行授權和加密通信。然而專家們認為，IPv4對于IPSec的支持也很充分，因此其安全性并不比IPv6更差。

 

　　“所謂IPv6比IPv4更安全其實是沒有根據的，”Blue Coat系統公司首席科學家李清(譯音)說。“IPv6的設計是為了讓IPSec的實施更便利，允許IPSec運行的更好而已，但它也只是提供了一種便利，并不等于說IPv6本身會更安全。”

 

　　短期來看，IPv6反而有可能會讓互聯網更不安全，而不是更安全。這是因為有如此之多的網絡經營者們會同時升級到相對而言還尚未被實踐所驗證的IPv6技術上去。

 

　　“長期來看，IPv6是會極大地提升互聯網的安全性，因為每個端點都能夠加密。但是要實現這樣的安全將會是一個漫長的過程，”Curran說。“短期來看，IPv6會首次將大量新的代碼功能帶到網絡上，任何時候，只要你在整個互聯網上使用新代碼，就都有可能會出現大量的代碼漏洞。所以人們必須對IPv6的安全提高警惕。”

 

　　另外一個問題是，短期內只會有少數的網絡工程師擁有如何讓IPv6網絡更安全的技巧和經驗。

 

　　“目前來看，機構都非常缺乏IPv6的運營經驗，因而自然會出現不少的人為錯誤，”銷售IPv6 DNS設備的Infoblox公司負責架構和技術的副總裁Cricket Liu說。“配置IPv6的網絡工程師們肯定會犯一些在IPv6環境下不可能犯的錯誤。因此IPv6的實施質量將會成為一個問題。”

 

　　還有，安全廠商的IPv6產品目前還不能提供和IPv4產品同樣多的安全功能或者同等水平的安全性能。

 

　　“假如你的網絡廠商告訴你說，他們的產品在IPv4和IPv6環境下性能完全一樣，那是在胡說，”VeriSign的CSO Danny McPherson說。“多數商用產品的廠商們都已經認識到，要想在規模和功能上保持與IPv4環境下的一致性那是不太可能的。”

 

　　McPherson認為，部署IPv6將會生成很多新的漏洞。例如互聯網將需要更多的地址轉換設備，而這些設備也會招致分布式拒絕服務攻擊(DDoS)，或者出現單點失靈的情況。還有就是網絡經營者對于互聯網流量的可見性也會降低，所以他們也更難發現類似僵尸網絡等類型的攻擊。

 

　　“肯定會出現一些漏洞窗口，除非我們完全遷移到IPv6上去。遷移的速度越快，我們就會越安全，”McPherson說。他還補充說，“如果你的網絡是完全IPv6的，那么你就能更好地確保能夠與IPv4相同的控制和對策。”

 

 

　　IPv6提出了端到端通信的承諾，從而可以取消網絡地址轉換設備(NAT)和其他中間設備，這些設備都是為了延續IPv4有限尋址空間的壽命而必須的。

 

　　但是現實情況卻是，網絡經營者必須讓IPv6和IPv4共存多年，而兩種協議的這種共存將會讓網絡管理在可預見的未來中變得更為復雜。

 

　　“IPv4仍將繼續存在數十年之久，”Curran說。“何時才能完全放棄IPv4，并沒有一個時間表，但是隨著時間的推移，這種共存狀況將會比只運行IPv6的成本更加高昂。年復一年，運行兩種網絡協議所帶來的并發癥肯定會出現。”

 

　　網絡經營者必須同時運行兩種協議，是因為IPv6不能后向兼容，這也是很多CIO和CTO們所不相信的事實。的確，互聯網設計社區已經指出過，IPv6設計的最大失誤就是它不能向后與IPv4兼容。

 

　　“很多人想當然地認為IPv4和IPv6是兼容的，IPv4和IPv6主機之間的互操作性是不需要做太多操作就能實現的，”McPherson說。“如果兩者之間沒有雙堆棧的話，那它們之間就需要一些轉換設備。”

 

　　一度曾有人宣稱，IPv6將是NAT設備的末日，堅持互聯網純粹性的人之所以痛恨這些NAT設備，就是因為它們阻礙了IP通信的暢通。然而網絡經營者們之所以一再推遲了向IPv6的升級，就是因為他們現在仍然需要依靠運營商級的NAT設備以及其他IPv6-IPv4的轉換設備，以便適應預計在未來12個月內出現的大量的IPv6網絡流量。

 

　　“多數的遷移技術要么就是靠NAT設備本身來實現的，或者是通過NAT設備來實現的，”Liu說。“例如Teredo(一種IPv6-over-IPv4隧道技術)就是通過NAT實現的。Nat64(IPv6-IPv4轉換框架)就是一種轉換技術。我不認為NAT設備會很快消失。”

 

　　“在未來五年內，事情將會變得更為復雜，因為我們將會有兩種協議同時共存，”Liu說。“我們還必須要用這些繁雜的轉換技術。不是一種，而是多種……如果真要相信IPv6會把我們突然間帶進一個端到端的網絡通信樂園，那是不切實際的。”