IPv6的六大誤區(qū):IPv6不比IPv4安全 |
發(fā)布時(shí)間: 2012/8/9 19:55:08 |
中國(guó)IDC評(píng)述網(wǎng)09月30日?qǐng)?bào)道:15年來(lái),互聯(lián)網(wǎng)工程師們和政策制定者們一直在宣傳升級(jí)現(xiàn)有互聯(lián)網(wǎng)尋址體系,也就是IPv4的必要性,以應(yīng)對(duì)互聯(lián)網(wǎng)的爆發(fā)式增長(zhǎng)。然而美國(guó)很多的CIO和CTO們卻依然心存誤解,并用這些誤解來(lái)爭(zhēng)辯他們?yōu)楹螞](méi)有采納下一代IPv6標(biāo)準(zhǔn)。
這一問(wèn)題是非常嚴(yán)重的,因?yàn)榛ヂ?lián)網(wǎng)的發(fā)展已經(jīng)將IPv4地址耗盡了,這個(gè)32位的地址可支持43億部直接聯(lián)網(wǎng)設(shè)備。而與之無(wú)法兼容的替代協(xié)議IPv6則使用128位地址,可支持幾乎無(wú)限數(shù)量(2的18次方)的直接聯(lián)網(wǎng)設(shè)備。
本文列出了關(guān)于IPv4地址耗盡和IPv6部署的六個(gè)最大的誤解,這也是我們?cè)谧罱欢螘r(shí)間以來(lái)所聽(tīng)到和讀到的誤解。
1. 互聯(lián)網(wǎng)還有充足的IPv4地址
你是否認(rèn)為互聯(lián)網(wǎng)已經(jīng)用盡了IPv4地址,取決于你居住在世界的什么地區(qū),取決于你的網(wǎng)絡(luò)增長(zhǎng)的有多快。
今年2月初,當(dāng)互聯(lián)網(wǎng)編號(hào)分配機(jī)構(gòu)(IANA)把最后5塊IPv4地址——每塊約1670萬(wàn)個(gè)地址——分配給五大區(qū)域注冊(cè)商之后,最后未分配的IPv4地址池就已經(jīng)分配完畢。這些注冊(cè)商預(yù)計(jì)會(huì)在2011年將這些IPv4地址小批量地分配給各大運(yùn)營(yíng)商。
IPv4地址池的分配完畢是互聯(lián)網(wǎng)IPv4地址耗盡的第一步。這在互聯(lián)網(wǎng)40年的發(fā)展史上是一個(gè)重大的里程碑,因?yàn)樗砻鱅Pv4地址也是一種有限的資源。
在今后的幾個(gè)月內(nèi),對(duì)于網(wǎng)絡(luò)快速擴(kuò)張的移動(dòng)和寬帶運(yùn)營(yíng)商們來(lái)說(shuō),要想獲得連續(xù)的IPv4地址空間來(lái)構(gòu)建其擴(kuò)張網(wǎng)絡(luò)將會(huì)變得越來(lái)越困難。
一些運(yùn)營(yíng)商已經(jīng)在斷言,今年,大塊的IPv4地址會(huì)極為短缺。中國(guó)電信預(yù)測(cè),2011年它將會(huì)短缺2000萬(wàn)個(gè)IPv4地址,這種情況將會(huì)影響到其移動(dòng)寬帶、IPTV和其他公眾業(yè)務(wù)的推出。中國(guó)電信擔(dān)憂(yōu)的是,互聯(lián)網(wǎng)的IPv4地址可以說(shuō)已經(jīng)用盡了。向IPv6的遷移已經(jīng)刻不容緩。
一些美國(guó)政府機(jī)構(gòu)和企業(yè)早在人人都意識(shí)到IPv4地址空間是一種稀缺資源之前,就已經(jīng)下手大量地獲取IPv4地址塊了,比如美國(guó)軍隊(duì)、IBM和麻省理工等,對(duì)于他們而言,IPv4地址的耗盡問(wèn)題并沒(méi)有那么急迫。
而對(duì)于大多數(shù)的美國(guó)企業(yè)來(lái)說(shuō),有限的IPv4地址已經(jīng)開(kāi)始影響到其業(yè)務(wù)的開(kāi)展了。他們很快就將無(wú)法從其運(yùn)營(yíng)商手中獲取業(yè)務(wù)發(fā)展所需的IPv4地址了。因此對(duì)于這些企業(yè)的CIO們來(lái)說(shuō),IPv4地址匱乏的一天很快就會(huì)到來(lái)。
2. 我的企業(yè)還不需要采用IPv6地址
一家企業(yè)的一位IT高管負(fù)責(zé)運(yùn)營(yíng)著一批Web網(wǎng)站,年?duì)I收達(dá)1億美元,他最近稱(chēng),企業(yè)的業(yè)務(wù)發(fā)展并未到達(dá)非得采用IPv6地址的地步。這家公司還沒(méi)有開(kāi)始部署IPv6,今年也沒(méi)有制定這方面的預(yù)算。
這位高管仍然持有IPv6只是一種可以推遲進(jìn)行的網(wǎng)絡(luò)升級(jí)的錯(cuò)誤印象。
美國(guó)互聯(lián)網(wǎng)數(shù)字注冊(cè)商(ARIN)的總裁兼CEO John Curran稱(chēng),所有在互聯(lián)網(wǎng)上有業(yè)務(wù)的企業(yè)都應(yīng)在2012年1月1日之前讓其面向公眾的Web服務(wù)器和Web服務(wù)可支持IPv6,否則將有可能會(huì)冒失去潛在客戶(hù)的風(fēng)險(xiǎn)。
與此同時(shí),奧巴馬政府也已下達(dá)了政府令,要求所有的聯(lián)邦機(jī)構(gòu)必須在2012年9月30日之前升級(jí)他們面向公眾的Web網(wǎng)站及服務(wù),必須要能夠支持IPv6流量。
相信IPv4地址已經(jīng)用盡的專(zhuān)家們則稱(chēng),企業(yè)如果現(xiàn)在還沒(méi)有制定IPv6的遷移計(jì)劃的話(huà),就已經(jīng)太遲了。
NTT美國(guó)公司負(fù)責(zé)企業(yè)營(yíng)銷(xiāo)通信的資深經(jīng)理Chris Davis稱(chēng),IPv4地址塊的分配完畢“就是一個(gè)叫醒電話(huà)”,該公司是美國(guó)從事IPv6遷移和接入服務(wù)的領(lǐng)導(dǎo)廠(chǎng)商之一。“假如你還沒(méi)有認(rèn)真對(duì)待這一問(wèn)題,最好現(xiàn)在就開(kāi)始認(rèn)真對(duì)待。假如你還沒(méi)有及時(shí)制定遷移計(jì)劃,最好現(xiàn)在就開(kāi)始制定。因?yàn)椴捎肐Pv6已經(jīng)是一個(gè)現(xiàn)實(shí)問(wèn)題了。”
IPv6遷移步伐之所以緩慢,部分是因?yàn)槊绹?guó)的CIO們錯(cuò)誤地認(rèn)為他們的運(yùn)營(yíng)商自然會(huì)替他們考慮IPv6的遷移問(wèn)題。然而這種情況是不會(huì)發(fā)生的。企業(yè)必須通過(guò)自己部署本地IPv6或者在其前端的Web服務(wù)器上制定IPv4到IPv6的遷移機(jī)制,才可能讓他們的Web網(wǎng)站能夠支持IPv6流量。
“運(yùn)營(yíng)商需要考慮的是他們自己的基礎(chǔ)設(shè)施如何向IPv6遷移的問(wèn)題,而企業(yè)則必須自己負(fù)責(zé)他們的網(wǎng)絡(luò)和網(wǎng)絡(luò)接入,包括路由器、防火墻和Web服務(wù)等,”Davis說(shuō)。
3. 一位幸運(yùn)的網(wǎng)民將會(huì)獲得最后的IPv4地址
專(zhuān)家們預(yù)測(cè),從現(xiàn)在開(kāi)始的多個(gè)月之后,IPv地址就將被徹底用盡。而最后的IPv4地址會(huì)花落誰(shuí)家,則與彩票中獎(jiǎng)的模式完全不同。
今年2月,IANA分配完了尚未分配的IPv4地址池。然后,各區(qū)域注冊(cè)商將會(huì)逐步地、小批量地為全球運(yùn)營(yíng)商分配這些IPv4地址,這段時(shí)間大約需要3到9個(gè)月。而IANA估計(jì),最后一個(gè)用盡IPv4地址池的注冊(cè)商會(huì)是一家非洲的注冊(cè)商AfriNIC。
“每家區(qū)域注冊(cè)商都會(huì)以自己的步調(diào)用光它所擁有的IPv4地址,”Curran說(shuō)。“而按照各地區(qū)需求發(fā)展的速度來(lái)看,幾乎可以肯定AfriNIC會(huì)成為分配最后一個(gè)IPv4地址的注冊(cè)商。”
亞太網(wǎng)絡(luò)信息中心(APNIC)在分配其最后的1670萬(wàn)個(gè)IPv4地址時(shí)采用了一種很獨(dú)特的策略。它每次只分配1024個(gè)IPv4地址給運(yùn)營(yíng)商,從而可以為一些新興企業(yè)保留一些IPv4地址。然而,這樣的小批量分配顯然無(wú)法滿(mǎn)足開(kāi)該地區(qū)快速發(fā)展的網(wǎng)絡(luò)經(jīng)營(yíng)著者們的需要。所以就所有的實(shí)際需求來(lái)看,亞洲的IPv4地址將會(huì)在今年被用盡。
對(duì)于美國(guó)企業(yè)來(lái)說(shuō),IPv4地址的用盡也會(huì)是在2011年。ARIN稱(chēng),它目前還剩有8000萬(wàn)個(gè)IPv4地址,預(yù)計(jì)會(huì)在未來(lái)9個(gè)月內(nèi)被用盡。
幸運(yùn)的互聯(lián)網(wǎng)用戶(hù)無(wú)法獲得最后一個(gè)IPv4地址的另一個(gè)原因是,運(yùn)營(yíng)商們可能會(huì)開(kāi)始在多個(gè)用戶(hù)之間共享日益稀缺的地址資源。所以即便你被認(rèn)為是從某個(gè)特定地區(qū)的某家特定運(yùn)營(yíng)商那里獲得了最后一個(gè)IPv4地址,該地址也有可能是被多個(gè)用戶(hù)所共享的。
而且IPv4地址還有可能被回收。運(yùn)營(yíng)商和企業(yè)在向IPv6升級(jí)時(shí),就可以回收他們已經(jīng)不用的IPv4地址轉(zhuǎn)交給區(qū)域注冊(cè)商。包括美國(guó)軍隊(duì)、斯坦福大學(xué)和Interop會(huì)展商在內(nèi)的一些美國(guó)機(jī)構(gòu)已經(jīng)將一些不再使用的IPv4地址空間返回給了ARIN。假如回收的IPv4地址繼續(xù)進(jìn)入分配流程的話(huà),那么這一趨勢(shì)有可能會(huì)把IPv4地址的最后大限再推遲幾個(gè)月。
“預(yù)計(jì)會(huì)看到根據(jù)轉(zhuǎn)讓策略而出現(xiàn)的IPv4地址,”Curran說(shuō)。“因此從地址池中獲得最后一個(gè)IPv4地址的人可能并不是最后一個(gè)獲得IPv4地址的幸運(yùn)兒。”
4. 將會(huì)出現(xiàn)IPv4地址黑市
專(zhuān)家們稱(chēng),IPv4地址黑市是不太可能出現(xiàn)的,因?yàn)閰^(qū)域注冊(cè)商已經(jīng)為機(jī)構(gòu)轉(zhuǎn)讓或者銷(xiāo)售他們不再使用的IPv4地址制訂了司法程序。
例如ARIN就制訂了一個(gè)流程,規(guī)定網(wǎng)絡(luò)經(jīng)營(yíng)者申請(qǐng)轉(zhuǎn)讓IPv4地址的流程和他們申請(qǐng)新的IPv地址的流程一樣。無(wú)論在哪一種情況下,網(wǎng)絡(luò)經(jīng)營(yíng)者都必須說(shuō)明他們利用IPv4地址用于提供網(wǎng)絡(luò)服務(wù)的計(jì)劃,而不能是囤積起來(lái)以備未來(lái)再用。
“的確會(huì)出現(xiàn)一個(gè)轉(zhuǎn)讓市場(chǎng),”Curran說(shuō)。“我們制定了一個(gè)列表服務(wù),需要地址空間的各方都可以加入這個(gè)列表。ARIN的工作就是要維護(hù)對(duì)于誰(shuí)擁有地址空間的準(zhǔn)確記錄。”
Curran說(shuō),如果IP地址未按照它制定的流程進(jìn)行轉(zhuǎn)讓的話(huà),ARIN有權(quán)回收IP地址。
“如果有人想違規(guī)轉(zhuǎn)讓IP地址的話(huà),他們就得冒著其地址被ARIN收回重新分配的風(fēng)險(xiǎn),”Curran說(shuō)。“我們有足夠的人手會(huì)敦促申請(qǐng)了IPv4地址的機(jī)構(gòu)盡快使用這些地址。”
區(qū)域注冊(cè)商正在考慮一種新的策略,將允許IPv4地址空間可以從一家區(qū)域注冊(cè)商轉(zhuǎn)讓給另一家區(qū)域注冊(cè)商。
“北美地區(qū)在互聯(lián)網(wǎng)發(fā)展的初期就分配了大量的地址空間,”Curran說(shuō)。“這些資源應(yīng)該為整個(gè)互聯(lián)網(wǎng)社區(qū)所使用。我預(yù)計(jì)我們將會(huì)看到地區(qū)間的轉(zhuǎn)讓。”
號(hào)碼資源組織(NRO)主席Raul Echeberria承認(rèn),IPv4地址黑市是可能出現(xiàn)的,但是他說(shuō),由于現(xiàn)有IPv4地址轉(zhuǎn)讓的規(guī)則,他也不能確定這個(gè)黑市一定會(huì)出現(xiàn)。
“有些IPv4地址當(dāng)然會(huì)有可能在體系之外進(jìn)行交易,但是我相信,和在體系之內(nèi)進(jìn)行轉(zhuǎn)讓的數(shù)量相比,這只會(huì)是極少的一部分。”他說(shuō)。
Echeberria補(bǔ)充說(shuō),IPv4地址的價(jià)值會(huì)隨著網(wǎng)絡(luò)經(jīng)營(yíng)者紛紛采用IPv6而逐漸降低,因而使黑市變得沒(méi)有吸引力。
“如果互聯(lián)網(wǎng)社區(qū)向IPv6遷移,那么IPv4地址的價(jià)值未來(lái)就會(huì)下降,”他說(shuō)。
5. IPv6比IPv4更安全
IPv6的支持者們稱(chēng),新協(xié)議的好處之一就是它內(nèi)置了對(duì)于IPSec的支持,后者是一種互聯(lián)網(wǎng)安全標(biāo)準(zhǔn),可在兩個(gè)端點(diǎn)之間進(jìn)行授權(quán)和加密通信。然而專(zhuān)家們認(rèn)為,IPv4對(duì)于IPSec的支持也很充分,因此其安全性并不比IPv6更差。
“所謂IPv6比IPv4更安全其實(shí)是沒(méi)有根據(jù)的,”Blue Coat系統(tǒng)公司首席科學(xué)家李清(譯音)說(shuō)。“IPv6的設(shè)計(jì)是為了讓IPSec的實(shí)施更便利,允許IPSec運(yùn)行的更好而已,但它也只是提供了一種便利,并不等于說(shuō)IPv6本身會(huì)更安全。”
短期來(lái)看,IPv6反而有可能會(huì)讓互聯(lián)網(wǎng)更不安全,而不是更安全。這是因?yàn)橛腥绱酥嗟木W(wǎng)絡(luò)經(jīng)營(yíng)者們會(huì)同時(shí)升級(jí)到相對(duì)而言還尚未被實(shí)踐所驗(yàn)證的IPv6技術(shù)上去。
“長(zhǎng)期來(lái)看,IPv6是會(huì)極大地提升互聯(lián)網(wǎng)的安全性,因?yàn)槊總(gè)端點(diǎn)都能夠加密。但是要實(shí)現(xiàn)這樣的安全將會(huì)是一個(gè)漫長(zhǎng)的過(guò)程,”Curran說(shuō)。“短期來(lái)看,IPv6會(huì)首次將大量新的代碼功能帶到網(wǎng)絡(luò)上,任何時(shí)候,只要你在整個(gè)互聯(lián)網(wǎng)上使用新代碼,就都有可能會(huì)出現(xiàn)大量的代碼漏洞。所以人們必須對(duì)IPv6的安全提高警惕。”
另外一個(gè)問(wèn)題是,短期內(nèi)只會(huì)有少數(shù)的網(wǎng)絡(luò)工程師擁有如何讓IPv6網(wǎng)絡(luò)更安全的技巧和經(jīng)驗(yàn)。
“目前來(lái)看,機(jī)構(gòu)都非常缺乏IPv6的運(yùn)營(yíng)經(jīng)驗(yàn),因而自然會(huì)出現(xiàn)不少的人為錯(cuò)誤,”銷(xiāo)售IPv6 DNS設(shè)備的Infoblox公司負(fù)責(zé)架構(gòu)和技術(shù)的副總裁Cricket Liu說(shuō)。“配置IPv6的網(wǎng)絡(luò)工程師們肯定會(huì)犯一些在IPv6環(huán)境下不可能犯的錯(cuò)誤。因此IPv6的實(shí)施質(zhì)量將會(huì)成為一個(gè)問(wèn)題。”
還有,安全廠(chǎng)商的IPv6產(chǎn)品目前還不能提供和IPv4產(chǎn)品同樣多的安全功能或者同等水平的安全性能。
“假如你的網(wǎng)絡(luò)廠(chǎng)商告訴你說(shuō),他們的產(chǎn)品在IPv4和IPv6環(huán)境下性能完全一樣,那是在胡說(shuō),”VeriSign的CSO Danny McPherson說(shuō)。“多數(shù)商用產(chǎn)品的廠(chǎng)商們都已經(jīng)認(rèn)識(shí)到,要想在規(guī)模和功能上保持與IPv4環(huán)境下的一致性那是不太可能的。”
McPherson認(rèn)為,部署IPv6將會(huì)生成很多新的漏洞。例如互聯(lián)網(wǎng)將需要更多的地址轉(zhuǎn)換設(shè)備,而這些設(shè)備也會(huì)招致分布式拒絕服務(wù)攻擊(DDoS),或者出現(xiàn)單點(diǎn)失靈的情況。還有就是網(wǎng)絡(luò)經(jīng)營(yíng)者對(duì)于互聯(lián)網(wǎng)流量的可見(jiàn)性也會(huì)降低,所以他們也更難發(fā)現(xiàn)類(lèi)似僵尸網(wǎng)絡(luò)等類(lèi)型的攻擊。
“肯定會(huì)出現(xiàn)一些漏洞窗口,除非我們完全遷移到IPv6上去。遷移的速度越快,我們就會(huì)越安全,”McPherson說(shuō)。他還補(bǔ)充說(shuō),“如果你的網(wǎng)絡(luò)是完全I(xiàn)Pv6的,那么你就能更好地確保能夠與IPv4相同的控制和對(duì)策。”
6. IPv6會(huì)讓互聯(lián)網(wǎng)更簡(jiǎn)單
IPv6提出了端到端通信的承諾,從而可以取消網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備(NAT)和其他中間設(shè)備,這些設(shè)備都是為了延續(xù)IPv4有限尋址空間的壽命而必須的。
但是現(xiàn)實(shí)情況卻是,網(wǎng)絡(luò)經(jīng)營(yíng)者必須讓IPv6和IPv4共存多年,而兩種協(xié)議的這種共存將會(huì)讓網(wǎng)絡(luò)管理在可預(yù)見(jiàn)的未來(lái)中變得更為復(fù)雜。
“IPv4仍將繼續(xù)存在數(shù)十年之久,”Curran說(shuō)。“何時(shí)才能完全放棄IPv4,并沒(méi)有一個(gè)時(shí)間表,但是隨著時(shí)間的推移,這種共存狀況將會(huì)比只運(yùn)行IPv6的成本更加高昂。年復(fù)一年,運(yùn)行兩種網(wǎng)絡(luò)協(xié)議所帶來(lái)的并發(fā)癥肯定會(huì)出現(xiàn)。”
網(wǎng)絡(luò)經(jīng)營(yíng)者必須同時(shí)運(yùn)行兩種協(xié)議,是因?yàn)镮Pv6不能后向兼容,這也是很多CIO和CTO們所不相信的事實(shí)。的確,互聯(lián)網(wǎng)設(shè)計(jì)社區(qū)已經(jīng)指出過(guò),IPv6設(shè)計(jì)的最大失誤就是它不能向后與IPv4兼容。
“很多人想當(dāng)然地認(rèn)為IPv4和IPv6是兼容的,IPv4和IPv6主機(jī)之間的互操作性是不需要做太多操作就能實(shí)現(xiàn)的,”McPherson說(shuō)。“如果兩者之間沒(méi)有雙堆棧的話(huà),那它們之間就需要一些轉(zhuǎn)換設(shè)備。”
一度曾有人宣稱(chēng),IPv6將是NAT設(shè)備的末日,堅(jiān)持互聯(lián)網(wǎng)純粹性的人之所以痛恨這些NAT設(shè)備,就是因?yàn)樗鼈冏璧K了IP通信的暢通。然而網(wǎng)絡(luò)經(jīng)營(yíng)者們之所以一再推遲了向IPv6的升級(jí),就是因?yàn)樗麄儸F(xiàn)在仍然需要依靠運(yùn)營(yíng)商級(jí)的NAT設(shè)備以及其他IPv6-IPv4的轉(zhuǎn)換設(shè)備,以便適應(yīng)預(yù)計(jì)在未來(lái)12個(gè)月內(nèi)出現(xiàn)的大量的IPv6網(wǎng)絡(luò)流量。
“多數(shù)的遷移技術(shù)要么就是靠NAT設(shè)備本身來(lái)實(shí)現(xiàn)的,或者是通過(guò)NAT設(shè)備來(lái)實(shí)現(xiàn)的,”Liu說(shuō)。“例如Teredo(一種IPv6-over-IPv4隧道技術(shù))就是通過(guò)NAT實(shí)現(xiàn)的。Nat64(IPv6-IPv4轉(zhuǎn)換框架)就是一種轉(zhuǎn)換技術(shù)。我不認(rèn)為NAT設(shè)備會(huì)很快消失。”
“在未來(lái)五年內(nèi),事情將會(huì)變得更為復(fù)雜,因?yàn)槲覀儗?huì)有兩種協(xié)議同時(shí)共存,”Liu說(shuō)。“我們還必須要用這些繁雜的轉(zhuǎn)換技術(shù)。不是一種,而是多種……如果真要相信IPv6會(huì)把我們突然間帶進(jìn)一個(gè)端到端的網(wǎng)絡(luò)通信樂(lè)園,那是不切實(shí)際的。” 本文出自:億恩科技【1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |