目前最大的IPv6安全風(fēng)險有哪些?
盡管IPv6已經(jīng)開始啟用,但網(wǎng)絡(luò)工程師仍然很謹(jǐn)慎,因?yàn)樗麄儞?dān)心IPv6的安全問題。下面是95000位網(wǎng)絡(luò)工程師投票選出的IPv6網(wǎng)絡(luò)安全中前6大安全風(fēng)險。
● 缺乏IPv6安全培訓(xùn)/教育。
現(xiàn)在最大的風(fēng)險是缺乏IPv6安全知識。企業(yè)在部署IPv6之前,必須投入時間和金錢來進(jìn)行IPv6安全培訓(xùn)。否則,過后,企業(yè)將需要花費(fèi)更多的時間和金錢來堵塞漏洞。在規(guī)劃階段考慮網(wǎng)絡(luò)安全更加有效,而不應(yīng)該在部署后才考慮。根據(jù)GTRI首席技術(shù)官Scott Hogg表示,“所有安全從業(yè)人員現(xiàn)在都應(yīng)該了解IPv6,因?yàn)樗械钠髽I(yè)在其環(huán)境中都有啟用IPv6的操作系統(tǒng)。未能保護(hù)IPv6系統(tǒng)就像打開了很大的后門。”
● 通過未過濾的IPv6和通道流量繞過安全設(shè)備。
與安全產(chǎn)品本身相比,只有缺乏知識被認(rèn)為是更大的風(fēng)險。概念上,這很簡單,安全產(chǎn)品需要做兩件事情:識別可疑的IPv6數(shù)據(jù)包并部署控制。然而,在實(shí)際中,這在v4中計(jì)劃是不可能的,更不用說可能存在流氓流量或未知通道流量的環(huán)境。目前有16種不同的通道和過渡方法—更不用提上層通道,例如SSH、IPv4-IPSec、SSL/TLS甚至DNS。IPv6論壇網(wǎng)絡(luò)安全主題專家兼SRA InterNATional專家網(wǎng)絡(luò)架構(gòu)師Joe Klein表示:“第一步是知道你正在尋找什么。”目前我們使用的安全產(chǎn)品(特別是那些從IPv4轉(zhuǎn)換到IPv6的產(chǎn)品)并不一定足夠成熟來抵御威脅。
● 互聯(lián)網(wǎng)服務(wù)供應(yīng)商和供應(yīng)商缺乏對IPv6的支持。
為了確保IPv6安全功能和穩(wěn)定性與IPv4看齊,全面的測試是至關(guān)重要的。對所涉及的所有協(xié)議制定一個測試計(jì)劃,并部署一個測試網(wǎng)絡(luò),必須測試所有設(shè)備,特別是來自供應(yīng)商的新的安全技術(shù)。每個網(wǎng)絡(luò)都是獨(dú)特的,需要一個獨(dú)特的測試計(jì)劃。讓這個問題進(jìn)一步復(fù)雜化的是,你的供應(yīng)商沒有提供本地IPv6連接。連接到你的接口的通道進(jìn)一步提高了安全的復(fù)雜性,并可能帶來中間人攻擊和拒絕服務(wù)攻擊。對此,你可以要求你的供應(yīng)商提供本地IPv6。
● 安全政策。
糟糕的IPv6安全政策直接導(dǎo)致了目前大家對IPv6安全知識的不了解。IPv6安全政策的深度不僅需要與IPv4看齊,同時,其廣度必須更寬,來應(yīng)對IPv4環(huán)境中不需要考慮的新的漏洞。
● 新代碼中的錯誤。
任何新代碼都會有錯誤。而在這種情況下,我們可能在還不完全支持IPv6的NICS、TCP/UDP和網(wǎng)絡(luò)軟件庫的代碼中發(fā)現(xiàn)錯誤。SIP、VoIP和虛擬化等技術(shù)也可能存在問題。在最壞的情況下,代碼中的錯誤可能在你的網(wǎng)絡(luò)中引入新的漏洞。同樣地,這里的解決辦法也是測試。測試網(wǎng)絡(luò)和全面的測試計(jì)劃能夠幫助發(fā)現(xiàn)錯誤,以及隔離它們,并可以找到解決辦法,或者關(guān)閉部署,直到修復(fù)問題。
● 沒有NAT。
大家對NAT普遍存在誤解,以至于NAT沒有出現(xiàn)在IPv6中被誤解為頭號安全風(fēng)險。在IPv6環(huán)境中有NAT可能也不錯,但事實(shí)上,它們并不提供任何的額外的安全性。防火墻提供了安全性,而不是網(wǎng)絡(luò)地址轉(zhuǎn)譯。
IPv6安全不能只是IPv4安全的簡單克隆,這種想法是非常危險的。我們必須安排培訓(xùn)、擴(kuò)大政策,以及在網(wǎng)絡(luò)中部署新的技術(shù)來抵御新的威脅。從同質(zhì)IPv4網(wǎng)絡(luò)過度到異構(gòu)IPv4/v6網(wǎng)絡(luò)帶來了新的流量類型以及設(shè)備,企業(yè)必須重新考慮。
此外,由于IPv6相對較新,其市場才剛剛開始,IPv6安全產(chǎn)品也還不夠成熟。在圍繞IPv6的安全性完善之前,在運(yùn)營商讓IPv6與IPv4看齊之前,這是一個有趣的危險的時期。(鄒錚編譯)
