您現在的位置:融合網首頁 > 工信 > IPTV >

專家談IPv6安全事項:是神話還是現實?

來源:it168 作者:粟薇 責任編輯:admin 發表時間:2018-10-25 11:18 閱讀:
核心提示:根據早期宣傳IPv6的描述,IPv6當時的主要賣點是具備比IPv4更優越的安全性,因為IPv6對帶有IPsec的端到端加密提供強制支持。但是這僅僅是一個神話,因為IPv4也同樣支持IPsec。

根據早期宣傳IPv6的描述,IPv6當時的主要賣點是具備比IPv4更優越的安全性,因為IPv6對帶有IPsec的端到端加密提供強制支持。但是這僅僅是一個神話,因為IPv4也同樣支持IPsec。

你可以在不部署任何IPsec加密運算法則的情況下實現IPv6一致性,而主要的分布式(或遠程端點驗證)問題仍然和以前一樣棘手。

為了了解IPv6安全事項,我們不應該迷信IPv6的安全神話,而應該考慮更為困難的實踐性問題:較之IPv4,IPv6具有怎樣的安全優勢?

IPv4和IPv6協議在結構上具有相似性。IPv6其實就是在IPv4的基礎上增加了地址長度,修復并增加了更為復雜的標頭,而一些額外的協議(地址解析協議ARP,已經被ICMP Neighbor Discovery來替代。)

專家談IPv6安全事項:是神話還是現實?

我們即將在IPv6世界中使用的安全機制幾乎與我們在IPv4中所使用的一樣,包括:

端點安全帶有嵌入操作系統的防火墻;

單獨的防火墻執行第四層數據包過濾或者深層數據包檢測;

路由和交換機上的訪問列表(數據包過濾器);

內部子網安全機制(DHCP竊聽);

IPv6不會讓網絡層發生任何改變。TCP和UDP沒有被改變,運行在IPv6上的協議也和IPv4上的無異。唯一的區別是網絡層和傳輸層之間銜接。

IPv4在第三層標頭中含有第四層協議標記符(TCP=6,UDP=17;對于其他協議,需要檢查這個IANA協議端口對應文件)。

IPv6允許一系列的標頭擴展,這就間接增加了第四層檢測的難度。過長的標頭擴展甚至會減少硬件中部署數據包過濾器設備的運行性能。

以上的討論都是讓我們認清一個事實,即IPv4和IPv6安全之間的區別主要是部署獨立性,我們不妨對IPv6安全性的期待放低一些。

IPv6協議堆積在未被完全測試過的端點托管和網絡設備內用來替代IPv4。但愿漏洞不會被覆蓋(或許還會出現零日攻擊利用程序員已知的漏洞),這樣IPv6被普及的范圍更廣。

網絡和安全工程師缺乏IPv6的暴露和操作性經驗,因此其部署可能會出現一些阻礙和安全性問題。

由于存在多種IPv6-over-IPv4隧道技術,對企業網絡的無意識連接會引發與IPv6相關的入侵和其他安全事故。我們可以通過多種方式從IPv4轉變為IPv6,而公共的隧道破壞者可以讓我們在幾分鐘內就連接到IPv6。除非你的防火墻部署有嚴格的安全策略,否則某些大意的用戶就有可能創建IPv6-over-IPv4隧道并且暴露其工位,甚至是暴露整個子網。

從網絡供應商那里部署的IPv6部署和現在的IPv4完了相比,仍然缺乏足夠的安全性。與IPv4一樣,有很多有名的攻擊可供駭客破壞IPv6。

欺騙路由器的廣告和引誘終端用戶進行檢測和修改。

欺騙性的DHCPv6信息會衍生大量終端站的DNS服務器地址。

思科已經部署了路由器廣告防守特性來保護已更改網絡上的路由器廣告,一些供應商會讓你部署安全的Neighbor Discovery(SEND),它添加了比IPsec簡單的密碼層組來保護ND機制。但是在這些工具中,沒有哪一個方法比我們在IPv4世界中所擁有的ARP檢測和DHCP竊取更簡單。

只有當設備供應商填補了這些空白,并且在IPv4和IPv6安全性能之間提供真實對等性時,我們才能期望IPv6網絡更加安全。這并非是指IPv6不安全,而是它目前的部署還滯后于IPv4。

(責任編輯:admin)
    • “掃一掃”關注融合網微信號

    熱門關鍵字

    關于我們 - 融合文化 - 媒體報道 - 在線咨詢 - 網站地圖 - TAG標簽 - 聯系我們
    Copyright © 2010-2018 融合網|www.fulwiderpartners.com 版權所有 聯系郵箱:dwrh@www.fulwiderpartners.com 京公網安備11011202001892號 京ICP備11014553號
    亚洲黄色网站,好看的网站你懂的,欧美一级a视频免费放,黄色网站视频