IPv6网络安全威胁(下)

日期: 2009-08-02 作者:Tessa Parmenter翻译:曾少宁 来源:TechTarget中国 英文

哪些地址选择问题与IPv6相关,它们是如何威胁网络安全的?   Hogg:IPv6主机使用默认地址选择规则,因为每台计算机的网络接口上都有很多不同的IPv6地址。这些规则管理所使用的地址。如果这些默认的地址选择规则被修改了,那么将导致无法预测的后果。这可能是攻击者创建中间人条件或者DoS主机的方式。

因此,确保这些地址选择规则与默认规则一致是很重要的。   由于IPv6并不向后兼容现有的产品,那么我们必须升级或者实现哪些产品和保护机制来维护IPv6网络的安全?这与IPv4网络有何不同?   Hogg:你必须确保你使用的安全保护机制是兼容IPv6的。你必须使用防火墙来对IPv6包实施相同的政策,正……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

哪些地址选择问题与IPv6相关,它们是如何威胁网络安全的?

  Hogg:IPv6主机使用默认地址选择规则,因为每台计算机的网络接口上都有很多不同的IPv6地址。这些规则管理所使用的地址。如果这些默认的地址选择规则被修改了,那么将导致无法预测的后果。这可能是攻击者创建中间人条件或者DoS主机的方式。因此,确保这些地址选择规则与默认规则一致是很重要的。

  由于IPv6并不向后兼容现有的产品,那么我们必须升级或者实现哪些产品和保护机制来维护IPv6网络的安全?这与IPv4网络有何不同?

  Hogg:你必须确保你使用的安全保护机制是兼容IPv6的。你必须使用防火墙来对IPv6包实施相同的政策,正如你目前配置IPv4一样。同时,防火墙必须能够智能地处理不同的IPv6头。同时,你必须有IPS探测器来检测IPv4包或者 IPv6包上的攻击。因此,你可能需要根据你目前供应商的IPv6功能升级软件或硬件。

  Vyncke:在安全性方面,IPv4 和 IPv6之间并没有任何真正的不同。因此,完全相同的工具可以也应该用来保护IPv4 和 IPv6。这其中包括防火墙、入侵防御系统(IPSs)、检测异常行为的行为分析、网络勘测以及所有应用安全性产品,如反垃圾邮件和反病毒,它们可以检查网络上的邮件和Web流量。

  强烈推荐你使用相同的设备或者相同的服务器来同时运行IPv4 和 IPv6保护,以便简化管理、减少操作花费,并确保安全性策略对于IPv4 和 IPv6是相同的。

  IPv6是否可能修改为向后兼容IPv4?

  Hogg:这是不可能的。IPv6是完全独立于IPv4的协议。它们可以同时在同一网络链路上运行,但是它们是以“夜航(ships in the night)”方式工作的,并且彼此之间是互相排斥的。在同一网络上运行IPv6 和 IPv4类似于许多年以前我们在同一网络上同时运行IPX 和AppleTalk。它们两者是共存的,但是它们并不是互操作的协议。

  Vyncke:IPv6是无法修改来向后兼容IPv4的。但是IETF已经提议了几个迁移机制来协助将IPv4只迁移到双重堆栈并且最后迁移到只使用IPv6的网络(后者还需要很长时间)。在2011年的期限之前,IETF会一直致力于研究其它的迁移机制。目标是,IPv4地址耗尽并迁移到IPv6操作完全对现在和将来的用户透明。

  哪些工具和产品可以使用来监控和识别IPv6网络的弱点?

  Hogg:你可以使用与IPv4主机一样的IPv6漏洞扫描器。唯一的不同点在于在IPv6网络上执行PING扫描是很不实际的,因为地址空间相当的大。然而,当你查找一个主机的IPv6地址时,执行一个有IPv6或者IPv4主机的端口扫描是相当容易的。大多数流行的IPv4工具也同样具备IPv6的功能。

  Vyncke:你可以使用目前你用来监控IPv4网络的同一套工具来监控你的IPv6网络。它们很可能需要更新为最近的版本以便支持IPv6。这些工具包括入侵防御系统(IPS)和网络自动勘测,如NetFlow。

  这些工具也处理安全性问题吗?如果没有,哪些产品可以帮助你处理安全性问题?

  Hogg:典型地,这些工具只能分析出你遇到了问题,它们并不自动帮助你修复问题。修复都是需要系统或者网络管理员通过一个手动过程完成。

  Vyncke:现有安全工具的升级版本完全可以消除所有IPv6攻击。重新使用相同的工具对于IPv4 和 IPv6都相同的操作会有附加的好处,它们都有财务上的好处(更少的培训)和安全上的好处,因为操作者已经知道如何使用这些工具。

 

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐

  • IP地址0.0.0.0能做什么?

    IP地址0.0.0.0是一个不可路由的IPv4地址,具有多种用途,主要作为默认或占位符地址。尽管0.0.0.0在计算机网络上有多种用途,但它不是通用的设备地址……

  • 无视IPv6连接?后果自负!

    如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。

  • IPv6扩展报头:是好是坏?

    IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。

  • 如何避免IPv6“友邻发现”威胁?

    IPv6友邻发现是IPv6协议套件的一个核心部件。如果企业正着手准备部署IPv6,那么一定要了解“友邻发现(ND)”及其漏洞。