IPv6之安全观察

日期: 2011-11-08 来源:TechTarget中国

  对于网络管理员来说,是否还记得死亡之ping、源路由选择、无边界防火墙、地址欺骗攻击以及其它无数充满TCP/IP“特色”的攻击模式?为了防范所有类型的攻击,大家需要不断学习并对网络进行调整,规划和配置。

  1994年,笔者开始从事与TCP/IP相关的技术工作。那时,商业公共互联网就像才露尖尖角的小荷。在我参与TCP/IP相关工作的同一年,无类型域间选路(CIDR)作为节约IPv4有限地址空间的概念被提出;并且直到今天为止,TCP/IP依然是互联网和局域网中使用最普遍的协议。

  我们现在使用的IPv4协议是在1980年发布的RFC 760中初次出现,它在1981年制定的RFC 791中进行了更新。内容方面,它已经基本上就等同于全球正在使用的网络规范了。这也就是说,IPv4协议的两个主要部分是如此地简单,几乎到了荒谬的地步。

  当前IPv4所有问题的核心

  因此,对于IPv4协议来说,当前面临着两个需要解决的重要问题。实际上,从某些方面来看,它们也是所有问题的根源。

  • 与大多数其它互联网核心协议相同,TCP/IP协议最初的构想模式也是友好环境中的使用。
  • 在协议设计阶段,开发者并没有意识到互联网的实际发展速度会如此之快。

  现在,就让我们来认清面临现实情况——至少是过去的十五年里一直处于这样的状态:所谓的安全机制已经基本上属于亡羊补牢的处理模式,在通过互联网传输数据时出现补丁落补丁的情况也开始属于常见现象。不仅如此,我们连所有的地址空间也都用完了。2011年2月3日,最后一个IPv4地址块被分配了出去。

  现在,作为从设计阶段就考虑到互联网在规模和安全方面需求的协议,IPv6协议就成为必然的选择。它将可用地址空间数量扩展到不可思议的等级。举例来说,一个/64地址,也就是标准用户地址,可以提供的地址空间地址容量就比整个IPv4协议所提供的高40亿倍。

  此外,IPv6还可以支持IPsec、针对TCP/IP协议的加密和完整性等日常工作中的必须功能。从很多年前开始,它们就已经属于IPv4协议中的必备功能,并且得到了广泛应用,特别是在虚拟专用网络(VPNs)中。因此,这些技术是非常有用的。

  从安全历史中可以获取的经验

  不过,现实情况并非都如此美好。早在四年前,研究人员菲利普·比翁迪和阿诺·埃巴拉德就发现IPv6协议路由头与IPv4源路由过于相似,会导致在安全方面出现大量问题,最终的选择就是不得不给予禁用。首先是网络管理员,然后是供应商都对IP协议栈进行了这样的处理。看起来,新标准的设计者并没有从过去的教训中吸取到经验。

  在迁移到IPv6协议的过程中,成千上万家硬件制造商在固件中添加的大量不同功能以及应用功能中使用到的随机软件栈,将会给兼容性带来不可估量的问题。

  数以百万计的新代码中存在着成千上万的潜在漏洞。这让我几乎不敢想象TCP/IP栈更新带来的问题会有多大,即便回到1994年,仅在单独供应商遵循IPv4标准的情况下也不例外。

  对于企业来说,既定目标已经非常明确,这就是:开始进行前期规划,就实际问题咨询供应商,确保技术和安全团队已经准备好相应的迁移计划。尽管在未来一段时间中,IPv4和IPv6协议将保持共存的局面,但边界防火墙、虚拟专用网、入侵防御系统和渗透测试之类传统安全模式的使用需要被重新进行分析和评估;并且,与往常一样犯罪分子还将继续占据先机。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • IP地址0.0.0.0能做什么?

    IP地址0.0.0.0是一个不可路由的IPv4地址,具有多种用途,主要作为默认或占位符地址。尽管0.0.0.0在计算机网络上有多种用途,但它不是通用的设备地址……

  • 无视IPv6连接?后果自负!

    如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。

  • IPv6扩展报头:是好是坏?

    IETF最近的一项研究表明,当部署扩展报头时,发送到公网服务器的IPv6数据包丢包率在10%至50%。

  • 如何避免IPv6“友邻发现”威胁?

    IPv6友邻发现是IPv6协议套件的一个核心部件。如果企业正着手准备部署IPv6,那么一定要了解“友邻发现(ND)”及其漏洞。