如何实现IPv6安全部署?你必须考虑五大因素

安全
这篇文章讨论的是许多因素如何影响到IPv6网络配置的安全性,比如缺乏训练有素的人员,安全设备中有限的IPv6支持等等。本文还解释了这些因素的潜在影响,并提出了减少这些风险的可能的办法。

这篇文章讨论的是许多因素如何影响到IPv6网络配置的安全性,比如缺乏训练有素的人员,安全设备中有限的IPv6支持等等。本文还解释了这些因素的潜在影响,并提出了减少这些风险的可能的办法。

除了IPv6协议组自身的安全性能外,有许多因素——技术的和非技术的——大大地影响着新兴的IPv6部署的安全性。本文确定了这些因素,讨论了它们可能对企业IPv6部署造成的影响,并提出了用来减轻这些安全隐患的可采取的行动。

IPv6,互联网协议的新版本,预期是与其长期使用的前身IPv4共存并最终取代IPv4。IPv6会提供更多的地址空间来促进互联网的成长。从安全的角度看,有许多因素使得IPv6协议组变得更复杂,并且这些因素很可能会影响到新兴IPv6部署的安全性。下面,让我们来一个一个地考查每个因素。

缺乏训练有素的人员

据评估,全世界大概有2千万工程师需要IPv6培训。他们当中有些工程师具有一些IPv6知识,与IPv4相比,他们通常对IPv6协议更没有信心,因为IPv4出现的时间更长。

在他们对这个协议的信心赶得上对IPv4的信心之前,这些工程师很有可能会被要求部署IPv6,这个过程中,安全问题可能被不知不觉地忽略了。这意味着,除了这个协议自身的安全性能之外,新兴的IPv6部署的安全性将会落后于现有的同类IPv4产品。

很显然,无论一个企业在将来是否计划部署IPv6,IT高管和经理们必须促进对技术员工的IPv6培训,尤其是考虑到安全性,同时在部署前应该鼓励在他们的环境中对IPv6进行试验,从而使他们在在产品环境中部署IPv6前获得必要的实践知识。

虽然近几年,一些针对IPv6安全配置的最佳实践已经得到了发展,但这个问题应该(在一定程度上)仍被视为一个“进展中的工作”,技术人员应该做好准备去适应针对IPv6部署的新兴的最佳做法,无论它们是由诸如互联网工程任务组(IETF)等标准组织,还是由诸如NIST或CPNI等政府组织所制定的。

不成熟的实施

IPv6的实施在总体上不是安全性研究社区的一个焦点。迄今为止,只有几十个关于IPv6漏洞的报告被公布,但这不意味着IPv6的实施比IPv4更加安全,这反而表示了在IPv6的实施中仍有许多漏洞尚未被发现,这个协议应该成为更重大研究的焦点。

显然,在短期内,就协议实施的安全性而言,IPv6很可能成为“这个链条中最薄弱的环节”,而且当把双堆叠站点作为目标时,它很可能会被攻击者利用。

让安全研究人员和供应商们发现并纠正IPv6漏洞,使IPv6实施的成熟度可以比得上IPv4的成熟度,还需要一段时间。

缺乏IPv6安全性评估工具

与IPv6有限的安全研究密切相关的是,缺乏公开可用的IPv6测试工具来评估IPv6实施和部署的安全性。 只有一些很少的公开可用的用于IPv6协议组(诸如THC的IPv6攻击组和scapy6)的攻击/评估工具,与之形成反差的是过剩的用于IPv4协议组的工具。这样一来,使得网络和安全管理员缺乏工具,来评估它们想要执行的网络安全控制的有效性,从而可能导致一个错误的安全意识。最近的一个关于RA-Guard evasion的工作应该被视为对这个问题的警告。

很可能会这样:随着IPv6部署的增加,IPv6安全评估工具的生产也会增加。然而,这只不过是关于当前IPv6安全工具的缺乏该如何解决,以及需要更多工具的推测。

在安全设备中有限的IPv6支持

诸如防火墙和网络侦察系统等安全设备,与IPv4相比,它们通常对IPv6协议提供的支持很少。这可能会在功能或性能方面反映出来。比如,一个安全设备可能为IPv4提供深度包检测支持,但是不为IPv6提供;它可能支持IPv4和IPv6的一些功能,但是对IPv4的支持是通过硬件实现的,而对IPv6的支持是通过软件实现的。显然,IPv4和 IPv6安全功能对等性的缺乏会导致IPv6网络中的安全性降低,并可能在新兴的IPv6部署中阻碍当前对IPv4有效的安全策略的执行。

在选购新设备或者升级现有设备时,网络和安全管理员应该考虑到IPv6支持性。在评估安全性产品的性能时,一些一致性和互用性测试程序(比如IPv6 Ready Logo Program)可能会有所帮助。

缺乏关于IPv6过渡/共存技术的意识

因为IPv6不是对IPv4向后兼容的,许多过渡/共存技术已经被研发出来促进IPv6的部署。然而,这些技术会导致由此产生的流量中的复杂性增加,攻击者可以利用它来掩盖他或她的绕过网络安全控制的企图。NATs是很多网络用来抵御来自互联网入侵攻击的第一道防线,一些技术(特别是Teredo)已经被研发出来绕过诸如网络地址转换器(NATs)等设备,从而潜在地增加了主机暴露在外部攻击下的风险。

因此,过渡/共存技术的安全问题应该被所有网络和安全管理员了解,因为这些技术甚至可能在仅支持IPv4的网络上引起安全问题。另外,安全设备应该“意识到”这些技术,并能够执行它们在原生的IPv4和IPv6流量中执行的同样的安全策略。

责任编辑:佟健 来源: TechTarget中国
相关推荐

2019-07-08 12:19:24

TLS网络安全密钥

2014-03-11 10:04:57

2011-01-13 10:06:20

IPv6IPv4

2024-10-08 15:12:57

2011-10-19 07:55:12

2015-02-10 09:16:14

2024-10-08 08:11:39

2010-06-02 10:41:06

IPv4与IPv6综合

2012-11-28 13:20:30

IPv6

2019-04-29 10:29:22

IPv6网络管理

2011-03-02 09:59:38

2010-07-21 21:52:31

IPv4IPv6

2012-10-19 15:31:58

2010-05-10 11:08:28

IPv6

2019-07-01 10:09:09

IPv6IPv4运营商

2013-10-22 09:26:26

云安全云安全部署

2012-06-28 13:55:10

2010-09-14 22:30:31

2018-11-28 08:57:55

2011-07-10 14:59:14

IPv6企业IPv6部署
点赞
收藏

51CTO技术栈公众号