IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → IPv6不是解決網(wǎng)絡(luò)安全問題的萬能藥

IPv6不是解決網(wǎng)絡(luò)安全問題的萬能藥

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  由于僅剩下10%的IPv4預(yù)留地址,所以遷移到IPv6是指日可待了,只不過大多數(shù)人都還沒有明白這一新協(xié)議的真實(shí)含義。相當(dāng)一部分人只是簡單將其看做IP安全的救世主,而對于它的缺陷卻不聞不問。

  雖然IPv6提供了諸如加密等改進(jìn)功能,但是它的設(shè)計(jì)目的并不是要更改IP層的安全狀況。傳統(tǒng)觀念想當(dāng)然地認(rèn)為只要加密了的東西就是安全的,可是考慮到加密技術(shù)的發(fā)展和復(fù)雜性,這種觀念在如今的互聯(lián)網(wǎng)社會已經(jīng)不適用了。例如,在最近一次Black Hat會議上,黑客Moxie Marlinspike揭秘了SSL加密技術(shù)的缺陷,他利用這些缺陷實(shí)現(xiàn)了無效終端認(rèn)證對數(shù)據(jù)的攔截。

  遺憾的是,IPsec,作為IPv6的加密標(biāo)準(zhǔn),被視為加密的萬能藥。這里應(yīng)提醒大家注意:

  IPv6中強(qiáng)制要求對的IPsec支持;而是否使用則具有可選性。

  受到規(guī)模,互操作性和傳輸?shù)葐栴}的限制,當(dāng)前IPv4空間中極度缺乏IPsec流量。這一問題會遺留到IPv6空間里,而IPsec的采用將會很少。

  IPsec支持多加密法則的特性極大地增強(qiáng)了部署的復(fù)雜性,而這一事實(shí)常常被忽略。

  許多企業(yè)認(rèn)為如果不部署IPv6,就可以避免其漏洞帶來的安全隱患。這種觀點(diǎn)也是普遍存在的誤解。IPv6流量在網(wǎng)絡(luò)中的幾率越來越多。大多數(shù)新的操作系統(tǒng)都會默認(rèn)啟用IPv6。

  以IPv4為基礎(chǔ)的安全設(shè)備和網(wǎng)絡(luò)監(jiān)控工具既不能檢測也不能阻止IPv6數(shù)據(jù)。通過代理將IPv6數(shù)據(jù)鏈接到IPv4網(wǎng)絡(luò)是一項(xiàng)很重要的性能。但是,這一性能也讓黑客有機(jī)會把IPv6鏈路放在不理解IPv6的網(wǎng)絡(luò)上,然后再隨意攜帶惡意代碼。由此,我們不得不問,為什么有如此多的用戶通過未知的,不受信任的IPv6代理來傳輸數(shù)據(jù)?

  不要用IPv6通道來輸送敏感信息,即便是一些醫(yī)療保健或是政府部門的相關(guān)鏈接,也要盡量避免。在客戶端啟用通道特性后,就會將我們的網(wǎng)絡(luò)暴露給開放的,未驗(yàn)證,未加密,未注冊的遠(yuǎn)程IPv6網(wǎng)關(guān)。用戶嘗試該性能并由此遭遇惡意網(wǎng)關(guān)的幾率令人擔(dān)憂。

  IPv6的高級網(wǎng)絡(luò)發(fā)現(xiàn)功能可以網(wǎng)管們選擇輸送數(shù)據(jù)包的路徑。理論上,這一功能是一大改進(jìn),但是,從安全角度考慮的話卻成了隱患。如果本地IPv6網(wǎng)絡(luò)受到損壞,黑客利用這一功能就可以不費(fèi)吹灰之力地追蹤遠(yuǎn)程網(wǎng)絡(luò)。

  那么要多久供應(yīng)商們才能夠幫助我們解決這些安全問題呢?答案是,很快。和大多數(shù)行業(yè)一樣,供應(yīng)商們還處在技術(shù)跟進(jìn)中。由于現(xiàn)在沒有任何機(jī)構(gòu)強(qiáng)制要求轉(zhuǎn)移到IPv6,所以這些供應(yīng)商是按照業(yè)內(nèi)的發(fā)展速度在進(jìn)行互操作性的開發(fā)。

  由此便產(chǎn)生了一個問題:IPv6的延遲部署會給黑客們可乘之機(jī)嗎?肯定會! 隨著我們逐步轉(zhuǎn)移到IPv6,應(yīng)用與設(shè)備中互操作性的缺失會暴露出漏洞。這將帶來混亂的補(bǔ)丁發(fā)布和更新周期,而應(yīng)用程序?qū)舻姆烙矔兊煤鼙粍印?/p>

  不論我們掌握了多少與IPv4相關(guān)的專業(yè)知識,都應(yīng)該用極高的警惕性來對待IPv6部署。IPv6不僅僅是擴(kuò)充IP地址庫而已。對于技術(shù)人員的培訓(xùn)要從頭開始,這項(xiàng)工作可不是如同為Windows應(yīng)用打上補(bǔ)丁一樣容易。許多基礎(chǔ)網(wǎng)絡(luò)準(zhǔn)則,如路由,DNS,QoS,多點(diǎn)播放和IP選址等,都需要重新了解。在IPv6中,由于互聯(lián)網(wǎng)不斷適應(yīng)新的IP結(jié)構(gòu),我們對垃圾郵件控制和DOS保護(hù)等安全功能的依賴程度將大為減輕。

  實(shí)際上,我們的網(wǎng)絡(luò)安全情況在向IPv6的過渡中應(yīng)該是最先要考慮的因素。企業(yè)主在把IPv6當(dāng)成安全法寶之前要考慮到所有可能的安全挑戰(zhàn)。

關(guān)鍵詞標(biāo)簽:IPv6,網(wǎng)絡(luò)安全

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會!了解交換機(jī)控制端口流量