應(yīng)用IPv6需要考慮的五個(gè)安全問題
網(wǎng)界網(wǎng)
摘要: 雖然IPv6是一個(gè)具有安全功能的協(xié)議,但從IPv4向IPv6過渡會(huì)產(chǎn)生新的風(fēng)險(xiǎn),,并且會(huì)削弱機(jī)構(gòu)的安全策略,。了解潛在的危害以及如何在不損害公司安全的情況下實(shí)現(xiàn)過渡是非常重要的,。
Abstract:
Key words :
雖然IPv6是一個(gè)具有安全功能的協(xié)議,但從IPv4向IPv6過渡會(huì)產(chǎn)生新的風(fēng)險(xiǎn),并且會(huì)削弱機(jī)構(gòu)的安全策略。了解潛在的危害以及如何在不損害公司安全的情況下實(shí)現(xiàn)過渡是非常重要的,。相關(guān): IPv6要來 你準(zhǔn)備好了嗎?
如果你還沒有考慮IPv6對你的網(wǎng)絡(luò)安全的影響,,那么現(xiàn)在是時(shí)候開始考慮了!
你可能知道推動(dòng)IPv6協(xié)議應(yīng)用的主要因素是什么,,我們的IPv4地址即將耗盡!目前IPv4協(xié)議使用的32位地址方案只能容納43億個(gè)獨(dú)特的地址。雖然這個(gè)數(shù)量聽起來很多,,但是就地球人來說,,每個(gè)人還不能擁有一個(gè)IP地址。并且有些人還不止需要一個(gè)IP地址,,如工作地點(diǎn)和家庭之間的IP地址,、以及其它網(wǎng)絡(luò)設(shè)備等。IPv6協(xié)議使用128位尋址技術(shù)解決了這個(gè)問題,。IPv6協(xié)議允許的IP地址數(shù)量是3.4x10的38次方;這樣大的數(shù)量我們要很長時(shí)間才能用完。
那么,,IPv6協(xié)議的出現(xiàn)對我們的安全意味著什么呢,?讓我們看一下對我們的網(wǎng)絡(luò)有影響的五個(gè)問題:
1.安全人員需要有關(guān)IPv6協(xié)議的教育和培訓(xùn)。IPv6協(xié)議將在你的控制之下進(jìn)入你的網(wǎng)絡(luò),,這只是個(gè)時(shí)間問題,。同許多新的網(wǎng)絡(luò)技術(shù)一樣,學(xué)習(xí)IPv6的基礎(chǔ)知識(shí)是非常重要的,,特別是學(xué)習(xí)尋址方案和協(xié)議,,以便適應(yīng)事件的處理和相關(guān)的活動(dòng)。
2.安全工具需要升級(jí),。IPv6不向下兼容,。用于整個(gè)網(wǎng)絡(luò)的通信路由和安全分析的硬件和軟件都要進(jìn)行升級(jí),以支持IPv6協(xié)議,否則這些硬件和軟件都不支持IPv6,。當(dāng)使用邊界保護(hù)設(shè)備的時(shí)候,,記住這一點(diǎn)是非常重要的。為了兼容IPv6,,路由器,、防火墻和入侵檢測系統(tǒng)都需要軟件或者硬件升級(jí)。
3.現(xiàn)有的設(shè)備需要額外設(shè)置,。支持IPv6的設(shè)備把它當(dāng)成一個(gè)完全獨(dú)立的協(xié)議,。因此,訪問控制列表,、規(guī)則庫和其它設(shè)置參數(shù)要重新進(jìn)行評(píng)估,,并且要轉(zhuǎn)換為支持IPv6的環(huán)境。
4.隧道協(xié)議產(chǎn)生新的風(fēng)險(xiǎn),。網(wǎng)絡(luò)和安全團(tuán)體已經(jīng)耗費(fèi)了很多時(shí)間和精力確保IPv6是一個(gè)具有安全功能的協(xié)議,。然而,這種轉(zhuǎn)換的最大的風(fēng)險(xiǎn)之一是使用隧道協(xié)議支持向IPv6的轉(zhuǎn)換,。這些協(xié)議允許在IPv4數(shù)據(jù)流通過非兼容設(shè)備時(shí)把IPv6的通信隔離開,。因此,在你準(zhǔn)備好正式支持IPv6之前,,你的網(wǎng)絡(luò)用戶可以使用這些隧道協(xié)議運(yùn)行IPv6,。如果這是一個(gè)令人擔(dān)心的問題,在你的邊界內(nèi)封鎖IPv6隧道協(xié)議,。
5.IPv6自動(dòng)設(shè)置可造成尋址的復(fù)雜性,。IPv6另一個(gè)有趣的功能是自動(dòng)設(shè)置。自動(dòng)設(shè)置功能允許系統(tǒng)自動(dòng)獲得一個(gè)網(wǎng)絡(luò)地址,,而不需要管理員的干預(yù),。IPv6支持兩種不同的自動(dòng)設(shè)置技術(shù)。監(jiān)控狀態(tài)的自動(dòng)設(shè)置使用DHCPv6,,這是對目前的DHCP協(xié)議的簡單升級(jí),,從安全的角度看并沒有很大的不同。另外,,關(guān)注一下非監(jiān)控狀態(tài)的自動(dòng)設(shè)置功能,。這個(gè)技術(shù)允許系統(tǒng)產(chǎn)生自己的IP地址,并且檢查地址的重復(fù)性,。從系統(tǒng)管理的角度說,,這種非集中化的方式可能更容易一些,但是,,對于跟蹤網(wǎng)絡(luò)資源使用(或者濫用!)情況的網(wǎng)絡(luò)管理員來說,,這種做法提出了很大的難題,。
正如你所說,IPv6是革命性的,。IPv6允許我們?yōu)槲磥硎甑臒o處不在的接入做好準(zhǔn)備,。但是,同其它的技術(shù)創(chuàng)新一樣,,我們需要從安全的角度認(rèn)真關(guān)注IPv6,。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。