| 摘要:有许多因素——技术的和非技术的——大大地影响着新兴的IPv6部署的安全性。本文确定了这些因素,讨论了它们可能对企业IPv6部署造成的影响,并提出了用来减轻这些安全隐患的可采取的行动。 |
缺乏IPv6安全性评估工具
与IPv6有限的安全研究密切相关的是,缺乏公开可用的IPv6测试工具来评估IPv6实施和部署的安全性。只有一些很少的公开可用的用于IPv6协议组(诸如THC的IPv6攻击组和scapy6)的攻击/评估工具,与之形成反差的是过剩的用于IPv4协议组的工具。这样一来,使得网络和安全管理员缺乏工具,来评估它们想要执行的网络安全控制的有效性,从而可能导致一个错误的安全意识。最近的一个关于RA-Guard evasion的工作应该被视为对这个问题的警告。
很可能会这样:随着IPv6部署的增加,IPv6安全评估工具的生产也会增加。然而,这只不过是关于当前IPv6安全工具的缺乏该如何解决,以及需要更多工具的推测。
在安全设备中有限的IPv6支持
诸如防火墙和网络侦察系统等安全设备,与IPv4相比,它们通常对IPv6协议提供的支持很少。这可能会在功能或性能方面反映出来。比如,一个安全设备可能为IPv4提供深度包检测支持,但是不为IPv6提供;它可能支持IPv4和IPv6的一些功能,但是对IPv4的支持是通过硬件实现的,而对IPv6的支持是通过软件实现的。显然,IPv4和IPv6安全功能对等性的缺乏会导致IPv6网络中的安全性降低,并可能在新兴的IPv6部署中阻碍当前对IPv4有效的安全策略的执行。
在选购新设备或者升级现有设备时,网络和安全管理员应该考虑到IPv6支持性。在评估安全性产品的性能时,一些一致性和互用性测试程序(比如IPv6ReadyLogoProgram)可能会有所帮助。
缺乏关于IPv6过渡/共存技术的意识
因为IPv6不是对IPv4向后兼容的,许多过渡/共存技术已经被研发出来促进IPv6的部署。然而,这些技术会导致由此产生的流量中的复杂性增加,攻击者可以利用它来掩盖他或她的绕过网络安全控制的企图。NATs是很多网络用来抵御来自互联网入侵攻击的第一道防线,一些技术(特别是Teredo)已经被研发出来绕过诸如网络地址转换器(NATs)等设备,从而潜在地增加了主机暴露在外部攻击下的风险。
因此,过渡/共存技术的安全问题应该被所有网络和安全管理员了解,因为这些技术甚至可能在仅支持IPv4的网络上引起安全问题。另外,安全设备应该“意识到”这些技术,并能够执行它们在原生的IPv4和IPv6流量中执行的同样的安全策略。
责任编辑:Lily
评论表单加载中...
