私人高清影院

咨询热线:
0769-2288 1533
部署IPV6应该考虑的8个安全问题
分享到:
作者:admin  发布于:2019-06-14  浏览次数:180

      2011年2月3日星期四,它的到来和离去都没有许多炫耀,但是,它是互联网利益相关者的一个里程碑,无论这些人是否知道这件事。在那个星期四,互联网编号分配机构(IANA)分配了最后的可用IPv4地址。虽然一些地区性互联网注册机构(RIGs)还有可维持一、两年的合理的IP地址库存,但是,“新的”IPv4地址分配的日子基本上过去了。

        现在,我们的IPv4地址分配已经用完,是认真考虑应用下一代互联网协议IPv6的 时候了。采用128位地址空间(相比 之下IPv4是32位地址),IPv6能够容纳互联网目前的增长和成倍的增长。目前,互联网每个小时增加大约100万个新设备。事实上,与IPv4允许的43亿IP地址相比,IPv6将增加340万亿万亿万亿个地址,足以满足在可以预见的未来的全球互联网需求。

        伴随着DNS安全扩展(DNSSEC)不断地应用,IPv6最终将为未来的互联网提供稳定的和安全的基地。但是,为了成功地从IPv4向IPv6过渡,丛基础设施运营商和服务提供商到应用程序开发商和用户的每一个人都必须在广泛的活动方面进行合作。这些合作包括:

      ·支持和开发IPv6功能并且建立起作用的IPv4对等功能;

      ·排除新的仅用于IPv6的软件和应用程序的故障;

      ·完善与IPv4的配合工作和过渡性的共存。

       这项努力的至关重要的部分是安全。IPv6对于大多数互联网利益相关者来说是一个新的领域。IPv6的推出会带来一些独特的安全难题。虽然下面这个列表还不是很全面,但是,它指出了这个行业在继续应用IPv6的时候需要考虑的8个安全问题。由于我们仍处在早期阶段,某些风险的解决方案只有在现实世界中应用 之后才能证明是最佳的做法。

      1、从IPv4翻译至IPv6,这个处理过程也许会成为安全漏洞。因为IPv4和IPv6不是完全兼容的,协议翻译被看作是扩大部署和应用的一个途径。把IPv4通讯翻译为IPv6通讯将不可避免地导致这些通讯在网络上通过的时候调解处理过程。想想一个邮局传送设施中的邮件分类装置,这个邮件分类装置打开每一个IPv4信封,在每一个信封中放入IPv6信封中的信以保证这封信发送到正确的地址,在此过程中要不时地修改信封内文件的内容以便使文件内容与新的IPv6外部信封的信息一致。每一次做这样的事情的时候,都会出现利用潜在的安全漏洞的机会。此外,这种做法引进必须包含处理状态的中间设备将破坏端对端的原则,使网络更加复杂。总的来说,安全人员应该关注所有的翻译和转变机制(包括建立隧道)的安全方面,只在进行全面评估 之后才明确使用这种机制。

     2、大型网段即是好的也是坏的。IPv6引进了比我们现在所看到的更大的网段。当前建议的IPv6子网的前缀是/64(264),能够在一个网段容纳大约18 quintillion(百万的三次方)个主机地址!虽然这能够实现局域网的无限增长,但是,它的规模也带来了难题。例如,扫描一个IPv6 /64网段的安全漏洞会需要几年的时间,而扫描一个/24 IPv4子网28这需要几秒钟。由于全面扫描是不可能的,一个较好的方法是仅利用第一个/118的地址(与IPV4的一个/22网段的主机数量相同)以便缩小需要扫描的IP地址范围,或者明确地分配所有的地址,完全拒绝其它的地址。这将使认真的IP地址管理和监视比现在更加重要。人们预计还将看到攻击者使用被动域名系统分析和其它侦查技术取代传统的扫描。

      3、邻居发现协议和邻居请求能够暴露网络问题。IPv6的邻居发现协议使用五个不同类型ICMPv6(互联网控制消息协议第6版)信息用于若干目的,如确定在附加链路上的邻居的链路层地址、清除非法的缓存值和发现愿意代表他们发送数据包的邻居。虽然邻居发现协议提供了许多有用的功能(包括重复地址检测),但是,它还给攻击者带来了机会。IPv6中的攻击很可能取代ARP(地址解析协议)欺骗攻击等IPv4中的攻击。总的来说,关闭明确配置的以外的其它端口、采用链路层访问控制和安全机制、保证在不使用的时候完全关闭IPv6是一个好主意。

      4、阻塞大型扩展标头(header) 、防火墙和安全网关可能成为分布式拒绝服务攻击的目标。在IPv6中,IP地址选择功能已经从主标头中删除,取而代 之的是采用名为扩展标头的一套额外的标头,这些扩展标头将指定目的地选择、逐个跳点的选择、身份识别和其它许多选择。这些扩展标头在IPv6主标头后面并且连接在一起创建一个IPv6数据包(固定标头+扩展标头+负载)。IPv6主标头固定为40字节。有大量扩展标头的IPv6通讯可能淹没防火墙和安全网关或者甚至降低路由器转发性能,从而成为分布式拒绝服务攻击和其它攻击潜在的目标。关闭路由器上的IPv6源路由对于防御分布式拒绝服务攻击的威胁也许是必要的。明确规定支持哪些扩展标头并且检查网络设备是否正确安装是非常重要的。总的来说,IPv6增加了更多的需要过滤的组件或者需要广泛传播的组件,如一些扩展标头、多播地址和增加的ICMP(网际消息控制协议)的应用。