《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 市場分析 > 專家談IPv6安全事項:是神話還是現(xiàn)實,?

專家談IPv6安全事項:是神話還是現(xiàn)實?

2011-02-25
作者:粟薇
來源:IT168
關(guān)鍵詞: NGN|4G IPv6 安全

    根據(jù)早期宣傳IPv6的描述,,IPv6當(dāng)時的主要賣點是具備比IPv4更優(yōu)越的安全性,,因為IPv6對帶有IPsec的端到端加密提供強(qiáng)制支持,。但是這僅僅是一個神話,因為IPv4也同樣支持IPsec,。

    你可以在不部署任何IPsec加密運算法則的情況下實現(xiàn)IPv6一致性,,而主要的分布式(或遠(yuǎn)程端點驗證)問題仍然和以前一樣棘手,。

    為了了解IPv6安全事項,我們不應(yīng)該迷信IPv6的安全神話,,而應(yīng)該考慮更為困難的實踐性問題:較之IPv4,,IPv6具有怎樣的安全優(yōu)勢?

    推薦閱讀:

    部署IPv6致使僵尸電腦產(chǎn)生更多垃圾郵件和病毒

    應(yīng)用IPv6需要考慮的五個安全問題

    IPv4和IPv6協(xié)議在結(jié)構(gòu)上具有相似性,。IPv6其實就是在IPv4的基礎(chǔ)上增加了地址長度,,修復(fù)并增加了更為復(fù)雜的標(biāo)頭,而一些額外的協(xié)議(地址解析協(xié)議ARP,,已經(jīng)被ICMP Neighbor Discovery來替代,。)

    專家談IPv6安全事項:是神話還是現(xiàn)實?

    我們即將在IPv6世界中使用的安全機(jī)制幾乎與我們在IPv4中所使用的一樣,,包括:

    端點安全帶有嵌入操作系統(tǒng)的防火墻;

    單獨的防火墻執(zhí)行第四層數(shù)據(jù)包過濾或者深層數(shù)據(jù)包檢測;

    路由和交換機(jī)上的訪問列表(數(shù)據(jù)包過濾器);

    內(nèi)部子網(wǎng)安全機(jī)制(DHCP竊聽);

    IPv6不會讓網(wǎng)絡(luò)層發(fā)生任何改變,。TCP和UDP沒有被改變,運行在IPv6上的協(xié)議也和IPv4上的無異,。唯一的區(qū)別是網(wǎng)絡(luò)層和傳輸層之間銜接。

    IPv4在第三層標(biāo)頭中含有第四層協(xié)議標(biāo)記符(TCP=6,,UDP=17;對于其他協(xié)議,,需要檢查這個IANA協(xié)議端口對應(yīng)文件)。

    IPv6允許一系列的標(biāo)頭擴(kuò)展,,這就間接增加了第四層檢測的難度,。過長的標(biāo)頭擴(kuò)展甚至?xí)p少硬件中部署數(shù)據(jù)包過濾器設(shè)備的運行性能。

    以上的討論都是讓我們認(rèn)清一個事實,,即IPv4和IPv6安全之間的區(qū)別主要是部署獨立性,,我們不妨對IPv6安全性的期待放低一些。

    IPv6協(xié)議堆積在未被完全測試過的端點托管和網(wǎng)絡(luò)設(shè)備內(nèi)用來替代IPv4,。但愿漏洞不會被覆蓋(或許還會出現(xiàn)零日攻擊利用程序員已知的漏洞),,這樣IPv6被普及的范圍更廣。

    網(wǎng)絡(luò)和安全工程師缺乏IPv6的暴露和操作性經(jīng)驗,,因此其部署可能會出現(xiàn)一些阻礙和安全性問題,。

    由于存在多種IPv6-over-IPv4隧道技術(shù),對企業(yè)網(wǎng)絡(luò)的無意識連接會引發(fā)與IPv6相關(guān)的入侵和其他安全事故,。我們可以通過多種方式從IPv4轉(zhuǎn)變?yōu)镮Pv6,,而公共的隧道破壞者可以讓我們在幾分鐘內(nèi)就連接到IPv6。除非你的防火墻部署有嚴(yán)格的安全策略,,否則某些大意的用戶就有可能創(chuàng)建IPv6-over-IPv4隧道并且暴露其工位,,甚至是暴露整個子網(wǎng)。

    從網(wǎng)絡(luò)供應(yīng)商那里部署的IPv6部署和現(xiàn)在的IPv4完了相比,,仍然缺乏足夠的安全性,。與IPv4一樣,,有很多有名的攻擊可供駭客破壞IPv6。

    欺騙路由器的廣告和引誘終端用戶進(jìn)行檢測和修改,。

    欺騙性的DHCPv6信息會衍生大量終端站的DNS服務(wù)器地址,。

    思科已經(jīng)部署了路由器廣告防守特性來保護(hù)已更改網(wǎng)絡(luò)上的路由器廣告,一些供應(yīng)商會讓你部署安全的Neighbor Discovery(SEND),,它添加了比IPsec簡單的密碼層組來保護(hù)ND機(jī)制,。但是在這些工具中,沒有哪一個方法比我們在IPv4世界中所擁有的ARP檢測和DHCP竊取更簡單,。

    只有當(dāng)設(shè)備供應(yīng)商填補(bǔ)了這些空白,,并且在IPv4和IPv6安全性能之間提供真實對等性時,我們才能期望IPv6網(wǎng)絡(luò)更加安全,。這并非是指IPv6不安全,,而是它目前的部署還滯后于IPv4。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。