IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁系統(tǒng)集成網(wǎng)絡管理 → IPv6不是解決網(wǎng)絡安全問題的萬能藥

IPv6不是解決網(wǎng)絡安全問題的萬能藥

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  由于僅剩下10%的IPv4預留地址,所以遷移到IPv6是指日可待了,只不過大多數(shù)人都還沒有明白這一新協(xié)議的真實含義。相當一部分人只是簡單將其看做IP安全的救世主,而對于它的缺陷卻不聞不問。

  雖然IPv6提供了諸如加密等改進功能,但是它的設計目的并不是要更改IP層的安全狀況。傳統(tǒng)觀念想當然地認為只要加密了的東西就是安全的,可是考慮到加密技術的發(fā)展和復雜性,這種觀念在如今的互聯(lián)網(wǎng)社會已經(jīng)不適用了。例如,在最近一次Black Hat會議上,黑客Moxie Marlinspike揭秘了SSL加密技術的缺陷,他利用這些缺陷實現(xiàn)了無效終端認證對數(shù)據(jù)的攔截。

  遺憾的是,IPsec,作為IPv6的加密標準,被視為加密的萬能藥。這里應提醒大家注意:

  IPv6中強制要求對的IPsec支持;而是否使用則具有可選性。

  受到規(guī)模,互操作性和傳輸?shù)葐栴}的限制,當前IPv4空間中極度缺乏IPsec流量。這一問題會遺留到IPv6空間里,而IPsec的采用將會很少。

  IPsec支持多加密法則的特性極大地增強了部署的復雜性,而這一事實常常被忽略。

  許多企業(yè)認為如果不部署IPv6,就可以避免其漏洞帶來的安全隱患。這種觀點也是普遍存在的誤解。IPv6流量在網(wǎng)絡中的幾率越來越多。大多數(shù)新的操作系統(tǒng)都會默認啟用IPv6。

  以IPv4為基礎的安全設備和網(wǎng)絡監(jiān)控工具既不能檢測也不能阻止IPv6數(shù)據(jù)。通過代理將IPv6數(shù)據(jù)鏈接到IPv4網(wǎng)絡是一項很重要的性能。但是,這一性能也讓黑客有機會把IPv6鏈路放在不理解IPv6的網(wǎng)絡上,然后再隨意攜帶惡意代碼。由此,我們不得不問,為什么有如此多的用戶通過未知的,不受信任的IPv6代理來傳輸數(shù)據(jù)?

  不要用IPv6通道來輸送敏感信息,即便是一些醫(yī)療保健或是政府部門的相關鏈接,也要盡量避免。在客戶端啟用通道特性后,就會將我們的網(wǎng)絡暴露給開放的,未驗證,未加密,未注冊的遠程IPv6網(wǎng)關。用戶嘗試該性能并由此遭遇惡意網(wǎng)關的幾率令人擔憂。

  IPv6的高級網(wǎng)絡發(fā)現(xiàn)功能可以網(wǎng)管們選擇輸送數(shù)據(jù)包的路徑。理論上,這一功能是一大改進,但是,從安全角度考慮的話卻成了隱患。如果本地IPv6網(wǎng)絡受到損壞,黑客利用這一功能就可以不費吹灰之力地追蹤遠程網(wǎng)絡。

  那么要多久供應商們才能夠幫助我們解決這些安全問題呢?答案是,很快。和大多數(shù)行業(yè)一樣,供應商們還處在技術跟進中。由于現(xiàn)在沒有任何機構強制要求轉移到IPv6,所以這些供應商是按照業(yè)內(nèi)的發(fā)展速度在進行互操作性的開發(fā)。

  由此便產(chǎn)生了一個問題:IPv6的延遲部署會給黑客們可乘之機嗎?肯定會! 隨著我們逐步轉移到IPv6,應用與設備中互操作性的缺失會暴露出漏洞。這將帶來混亂的補丁發(fā)布和更新周期,而應用程序對攻擊的防御也會變得很被動。

  不論我們掌握了多少與IPv4相關的專業(yè)知識,都應該用極高的警惕性來對待IPv6部署。IPv6不僅僅是擴充IP地址庫而已。對于技術人員的培訓要從頭開始,這項工作可不是如同為Windows應用打上補丁一樣容易。許多基礎網(wǎng)絡準則,如路由,DNS,QoS,多點播放和IP選址等,都需要重新了解。在IPv6中,由于互聯(lián)網(wǎng)不斷適應新的IP結構,我們對垃圾郵件控制和DOS保護等安全功能的依賴程度將大為減輕。

  實際上,我們的網(wǎng)絡安全情況在向IPv6的過渡中應該是最先要考慮的因素。企業(yè)主在把IPv6當成安全法寶之前要考慮到所有可能的安全挑戰(zhàn)。

關鍵詞標簽:IPv6,網(wǎng)絡安全

相關閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設置地址 路由器地址大全-各品牌路由設置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務器工具軟件 站長裝備:十大網(wǎng)站管理員服務器工具軟件

相關下載

    人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設置地址 騰達路由器怎么設置?騰達路由器設置教程 ADSL雙線負載均衡設置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量