【转】关于IPv6的六大误区:IPv6并非更安全
15年来,互联网工程师们和政策制定者们一直在宣传升级现有互联网寻址体系,也就是IPv4的必要性,以应对互联网的爆发式增长。然而美国很多的CIO和CTO们却依然心存误解,并用这些误解来争辩他们为何没有采纳下一代IPv6标准。这一问题是非常严重的,因为互联网的发展已经将IPv4地址耗尽了,这个32位的地址可支持43亿部直接联网设备。而与之无法兼容的替代协议IPv6则使用128位地址,可支持几乎无限数量(2的18次方)的直接联网设备。
本文列出了关于IPv4地址耗尽和IPv6部署的六个最大的误解,这也是我们在最近一段时间以来所听到和读到的误解。
1. 互联网还有充足的IPv4地址
你是否认为互联网已经用尽了IPv4地址,取决于你居住在世界的什么地区,取决于你的网络增长的有多快。
今年2月初,当互联网编号分配机构(IANA)把最后5块IPv4地址——每块约1670万个地址——分配给五大区域注册商之后,最后未分配的IPv4地址池就已经分配完毕。这些注册商预计会在2011年将这些IPv4地址小批量地分配给各大运营商。
IPv4地址池的分配完毕是互联网IPv4地址耗尽的第一步。这在互联网40年的发展史上是一个重大的里程碑,因为它表明IPv4地址也是一种有限的资源。
在今后的几个月内,对于网络快速扩张的移动和宽带运营商们来说,要想获得连续的IPv4地址空间来构建其扩张网络将会变得越来越困难。
一些运营商已经在断言,今年,大块的IPv4地址会极为短缺。中国电信预测,2011年它将会短缺2000万个IPv4地址,这种情况将会影响到其移动宽带、IPTV和其他公众业务的推出。中国电信担忧的是,互联网的IPv4地址可以说已经用尽了。向IPv6的迁移已经刻不容缓。
一些美国政府机构和企业早在人人都意识到IPv4地址空间是一种稀缺资源之前,就已经下手大量地获取IPv4地址块了,比如美国军队、IBM和麻省理工等,对于他们而言,IPv4地址的耗尽问题并没有那么急迫。
而对于大多数的美国企业来说,有限的IPv4地址已经开始影响到其业务的开展了。他们很快就将无法从其运营商手中获取业务发展所需的IPv4地址了。因此对于这些企业的CIO们来说,IPv4地址匮乏的一天很快就会到来。
2. 我的企业还不需要采用IPv6地址
一家企业的一位IT高管负责运营着一批Web网站,年营收达1亿美元,他最近称,企业的业务发展并未到达非得采用IPv6地址的地步。这家公司还没有开始部署IPv6,今年也没有制定这方面的预算。
这位高管仍然持有IPv6只是一种可以推迟进行的网络升级的错误印象。
美国互联网数字注册商(ARIN)的总裁兼CEO John Curran称,所有在互联网上有业务的企业都应在2012年1月1日之前让其面向公众的Web服务器和Web服务可支持IPv6,否则将有可能会冒失去潜在客户的风险。
与此同时,奥巴马政府也已下达了政府令,要求所有的联邦机构必须在2012年9月30日之前升级他们面向公众的Web网站及服务,必须要能够支持IPv6流量。
相信IPv4地址已经用尽的专家们则称,企业如果现在还没有制定IPv6的迁移计划的话,就已经太迟了。
NTT美国公司负责企业营销通信的 资深经理Chris Davis称,IPv4地址块的分配完毕“就是一个叫醒电话”,该公司是美国从事IPv6迁移和接入服务的领导厂商之一。“假如你还没有认真对待这一问 题,最好现在就开始认真对待。假如你还没有及时制定迁移计划,最好现在就开始制定。因为采用IPv6已经是一个现实问题了。”
IPv6迁移步伐之所以缓慢,部分是因为美国的CIO们错误地认为他们的运营商自然会替他们考虑IPv6的迁移问题。然而这种情况是不会发生的。企业必须通过自己部署本地IPv6或者在其前端的Web服务器上制定IPv4到IPv6的迁移机制,才可能让他们的Web网站能够支持IPv6流量。
“运营商需要考虑的是他们自己的基础设施如何向IPv6迁移的问题,而企业则必须自己负责他们的网络和网络接入,包括路由器、防火墙和Web服务等,”Davis说。
3. 一位幸运的网民将会获得最后的IPv4地址
专家们预测,从现在开始的多个月之后,IPv地址就将被彻底用尽。而最后的IPv4地址会花落谁家,则与彩票中奖的模式完全不同。
今年2月,IANA分配完了尚未分配的IPv4地址池。然后,各区域注册商将会逐步地、小批量地为全球运营商分配这些IPv4地址,这段时间大约需要3到9个月。而IANA估计,最后一个用尽IPv4地址池的注册商会是一家非洲的注册商AfriNIC。
“每家区域注册商都会以自己的步调用光它所拥有的IPv4地址,”Curran说。“而按照各地区需求发展的速度来看,几乎可以肯定AfriNIC会成为分配最后一个IPv4地址的注册商。”
亚太网络信息中心(APNIC)在分配其最后的1670万个IPv4地址时采用了一种很独特的策略。它每次只分配1024个IPv4地址给运营商,从而可以为一些新兴企业保留一些IPv4地址。然而,这样的小批量分配显然无法满足开该地区快速发展的网络经营着者们的需要。所以就所有的实际需求来看,亚洲的IPv4地址将会在今年被用尽。
对于美国企业来说,IPv4地址的用尽也会是在2011年。ARIN称,它目前还剩有8000万个IPv4地址,预计会在未来9个月内被用尽。
幸运的互联网用户无法获得最后一个IPv4地址的另一个原因是,运营商们可能会开始在多个用户之间共享日益稀缺的地址资源。所以即便你被认为是从某个特定地区的某家特定运营商那里获得了最后一个IPv4地址,该地址也有可能是被多个用户所共享的。
而且IPv4地址还有可能被回收。运营商和企业在向IPv6升 级时,就可以回收他们已经不用的IPv4地址转交给区域注册商。包括美国军队、斯坦福大学和Interop会展商在内的一些美国机构已经将一些不再使用的 IPv4地址空间返回给了ARIN。假如回收的IPv4地址继续进入分配流程的话,那么这一趋势有可能会把IPv4地址的最后大限再推迟几个月。
“预计会看到根据转让策略而出现的IPv4地址,”Curran说。“因此从地址池中获得最后一个IPv4地址的人可能并不是最后一个获得IPv4地址的幸运儿。”
4. 将会出现IPv4地址黑市
专家们称,IPv4地址黑市是不太可能出现的,因为区域注册商已经为机构转让或者销售他们不再使用的IPv4地址制订了司法程序。
例如ARIN就制订了一个流程,规定网络经营者申请转让IPv4地址的流程和他们申请新的IPv地址的流程一样。无论在哪一种情况下,网络经营者都必须说明他们利用IPv4地址用于提供网络服务的计划,而不能是囤积起来以备未来再用。
“的确会出现一个转让市场,”Curran说。“我们制定了一个列表服务,需要地址空间的各方都可以加入这个列表。ARIN的工作就是要维护对于谁拥有地址空间的准确记录。”
Curran说,如果IP地址未按照它制定的流程进行转让的话,ARIN有权回收IP地址。
“如果有人想违规转让IP地址的话,他们就得冒着其地址被ARIN收回重新分配的风险,”Curran说。“我们有足够的人手会敦促申请了IPv4地址的机构尽快使用这些地址。”
区域注册商正在考虑一种新的策略,将允许IPv4地址空间可以从一家区域注册商转让给另一家区域注册商。
“北美地区在互联网发展的初期就分配了大量的地址空间,”Curran说。“这些资源应该为整个互联网社区所使用。我预计我们将会看到地区间的转让。”
号码资源组织(NRO)主席Raul Echeberria承认,IPv4地址黑市是可能出现的,但是他说,由于现有IPv4地址转让的规则,他也不能确定这个黑市一定会出现。
“有些IPv4地址当然会有可能在体系之外进行交易,但是我相信,和在体系之内进行转让的数量相比,这只会是极少的一部分。”他说。
Echeberria补充说,IPv4地址的价值会随着网络经营者纷纷采用IPv6而逐渐降低,因而使黑市变得没有吸引力。
“如果互联网社区向IPv6迁移,那么IPv4地址的价值未来就会下降,”他说。
5. IPv6比IPv4更安全
IPv6的支持者们称,新协议的好处之一就是它内置了对于IPSec的支持,后者是一种互联网安全标准,可在两个端点之间进行授权和加密通信。然而专家们认为,IPv4对于IPSec的支持也很充分,因此其安全性并不比IPv6更差。
“所谓IPv6比IPv4更安全其实是没有根据的,”Blue Coat系统公司首席科学家李清(译音)说。“IPv6的设计是为了让IPSec的实施更便利,允许IPSec运行的更好而已,但它也只是提供了一种便利,并不等于说IPv6本身会更安全。”
短期来看,IPv6反而有可能会让互联网更不安全,而不是更安全。这是因为有如此之多的网络经营者们会同时升级到相对而言还尚未被实践所验证的IPv6技术上去。
“长期来看,IPv6是会极大地提升互联网的安全性,因为每个端点都能够加密。但是要实现这样的安全将会是一个漫长的过程,”Curran说。 “短期来看,IPv6会首次将大量新的代码功能带到网络上,任何时候,只要你在整个互联网上使用新代码,就都有可能会出现大量的代码漏洞。所以人们必须对 IPv6的安全提高警惕。”
另外一个问题是,短期内只会有少数的网络工程师拥有如何让IPv6网络更安全的技巧和经验。
“目前来看,机构都非常缺乏IPv6的运营经验,因而自然会出现不少的人为错误,”销售IPv6 DNS设备的Infoblox公司负责架构和技术的副总裁Cricket Liu说。“配置IPv6的网络工程师们肯定会犯一些在IPv6环境下不可能犯的错误。因此IPv6的实施质量将会成为一个问题。”
还有,安全厂商的IPv6产品目前还不能提供和IPv4产品同样多的安全功能或者同等水平的安全性能。
“假如你的网络厂商告诉你说,他们的产品在IPv4和IPv6环境下性能完全一样,那是在胡说,”VeriSign的CSO Danny McPherson说。“多数商用产品的厂商们都已经认识到,要想在规模和功能上保持与IPv4环境下的一致性那是不太可能的。”
McPherson认为,部署IPv6将会生成很多新的漏洞。例如互联网将需要更多的地址转换设备,而这些设备也会招致分布式拒绝服务攻击(DDoS),或者出现单点失灵的情况。还有就是网络经营者对于互联网流量的可见性也会降低,所以他们也更难发现类似僵尸网络等类型的攻击。
“肯定会出现一些漏洞窗口,除非我们完全迁移到IPv6上去。迁移的速度越快,我们就会越安全,”McPherson说。他还补充说,“如果你的网络是完全IPv6的,那么你就能更好地确保能够与IPv4相同的控制和对策。”
6. IPv6会让互联网更简单
IPv6提出了端到端通信的承诺,从而可以取消网络地址转换设备(NAT)和其他中间设备,这些设备都是为了延续IPv4有限寻址空间的寿命而必须的。
但是现实情况却是,网络经营者必须让IPv6和IPv4共存多年,而两种协议的这种共存将会让网络管理在可预见的未来中变得更为复杂。
“IPv4仍将继续存在数十年之久,”Curran说。“何时才能完全放弃IPv4,并没有一个时间表,但是随着时间的推移,这种共存状况将会比只运行IPv6的成本更加高昂。年复一年,运行两种网络协议所带来的并发症肯定会出现。”
网络经营者必须同时运行两种协议,是因为IPv6不能后向兼容,这也是很多CIO和CTO们所不相信的事实。的确,互联网设计社区已经指出过,IPv6设计的最大失误就是它不能向后与IPv4兼容。
“很多人想当然地认为IPv4和IPv6是兼容的,IPv4和IPv6主机之间的互操作性是不需要做太多操作就能实现的,”McPherson说。“如果两者之间没有双堆栈的话,那它们之间就需要一些转换设备。”
一度曾有人宣称,IPv6将是NAT设备的末日,坚持互联网纯粹性的人之所以痛恨这些NAT设备,就是因为它们阻碍了IP通信的畅通。然而网络 经营者们之所以一再推迟了向IPv6的升级,就是因为他们现在仍然需要依靠运营商级的NAT设备以及其他IPv6-IPv4的转换设备,以便适应预计在未 来12个月内出现的大量的IPv6网络流量。
“多数的迁移技术要么就是靠NAT设备本身来实现的,或者是通过NAT设备来实现的,”Liu说。“例如Teredo(一种IPv6- over-IPv4隧道技术)就是通过NAT实现的。Nat64(IPv6-IPv4转换框架)就是一种转换技术。我不认为NAT设备会很快消失。”
“在未来五年内,事情将会变得更为复杂,因为我们将会有两种协议同时共存,”Liu说。“我们还必须要用这些繁杂的转换技术。不是一种,而是多种……如果真要相信IPv6会把我们突然间带进一个端到端的网络通信乐园,那是不切实际的。”