實現(xiàn)IPv6安全部署須考慮的因素_第1頁
實現(xiàn)IPv6安全部署須考慮的因素_第2頁
實現(xiàn)IPv6安全部署須考慮的因素_第3頁
免費預覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

實現(xiàn)IPv6安全部署須考慮的因素

除了IPv6協(xié)議組自身的安全性能外,有許多因素——技術的和非技術的——大大地影響著新興的IPv6部署的安全性。本文確定了這些因素,討論了它們可能對企業(yè)IPv6部署造成的影響,并提出了用來減輕這些安全隱患的可采取的行動。IPv6,互聯(lián)網(wǎng)協(xié)議的新版本,預期是與其長期使用的前身IPv4共存并最終取代IPv4。IPv6會提供更多的地址空間來促進互聯(lián)網(wǎng)的成長。從安全的角度看,有許多因素使得IPv6協(xié)議組變得更復雜,并且這些因素很可能會影響到新興IPv6部署的安全性。下面,讓我們來一個一個地考查每個因素。缺乏訓練有素的人員據(jù)評估,全世界大概有2千萬工程師需要IPv6培訓。他們當中有些工程師具有一些IPv6知識,與IPv4相比,他們通常對IPv6協(xié)議更沒有信心,因為IPv4出現(xiàn)的時間更長。在他們對這個協(xié)議的信心趕得上對IPv4的信心之前,這些工程師很有可能會被要求部署IPv6,這個過程中,安全問題可能被不知不覺地忽略了。這意味著,除了這個協(xié)議自身的安全性能之外,新興的IPv6部署的安全性將會落后于現(xiàn)有的同類IPv4產(chǎn)品。很顯然,無論一個企業(yè)在將來是否計劃部署IPv6,IT高管和經(jīng)理們必須促進對技術員工的IPv6培訓,尤其是考慮到安全性,同時在部署前應該鼓勵在他們的環(huán)境中對IPv6進行試驗,從而使他們在在產(chǎn)品環(huán)境中部署IPv6前獲得必要的實踐知識。雖然近幾年,一些針對IPv6安全配置的最佳實踐已經(jīng)得到了發(fā)展,但這個問題應該(在一定程度上)仍被視為一個“進展中的工作”,技術人員應該做好準備去適應針對IPv6部署的新興的最佳做法,無論它們是由諸如互聯(lián)網(wǎng)工程任務組(IETF)等標準組織,還是由諸如NIST或CPNI等政府組織所制定的。不成熟的實施IPv6的實施在總體上不是安全性研究社區(qū)的一個焦點。迄今為止,只有幾十個關于IPv6漏洞的報告被公布,但這不意味著IPv6的實施比IPv4更加安全,這反而表示了在IPv6的實施中仍有許多漏洞尚未被發(fā)現(xiàn),這個協(xié)議應該成為更重大研究的焦點。顯然,在短期內(nèi),就協(xié)議實施的安全性而言,IPv6很可能成為“這個鏈條中最薄弱的環(huán)節(jié)”,而且當把雙堆疊站點作為目標時,它很可能會被攻擊者利用。讓安全研究人員和供應商們發(fā)現(xiàn)并糾正IPv6漏洞,使IPv6實施的成熟度可以比得上IPv4的成熟度,還需要一段時間。缺乏IPv6安全性評估工具與IPv6有限的安全研究密切相關的是,缺乏公開可用的IPv6測試工具來評估IPv6實施和部署的安全性。只有一些很少的公開可用的用于IPv6協(xié)議組(諸如THC的IPv6攻擊組和scapy6)的攻擊/評估工具,與之形成反差的是過剩的用于IPv4協(xié)議組的工具。這樣一來,使得網(wǎng)絡和安全管理員缺乏工具,來評估它們想要執(zhí)行的網(wǎng)絡安全控制的有效性,從而可能導致一個錯誤的安全意識。最近的一個關于RA-Guardevasion的工作應該被視為對這個問題的警告。很可能會這樣:隨著IPv6部署的增加,IPv6安全評估工具的生產(chǎn)也會增加。然而,這只不過是關于當前IPv6安全工具的缺乏該如何解決,以及需要更多工具的推測。在安全設備中有限的IPv6支持諸如防火墻和網(wǎng)絡偵察系統(tǒng)等安全設備,與IPv4相比,它們通常對IPv6協(xié)議提供的支持很少。這可能會在功能或性能方面反映出來。比如,一個安全設備可能為IPv4提供深度包檢測支持,但是不為IPv6提供;它可能支持IPv4和IPv6的一些功能,但是對IPv4的支持是通過硬件實現(xiàn)的,而對IPv6的支持是通過軟件實現(xiàn)的。顯然,IPv4和IPv6安全功能對等性的缺乏會導致IPv6網(wǎng)絡中的安全性降低,并可能在新興的IPv6部署中阻礙當前對IPv4有效的安全策略的執(zhí)行。在選購新設備或者升級現(xiàn)有設備時,網(wǎng)絡和安全管理員應該考慮到IPv6支持性。在評估安全性產(chǎn)品的性能時,一些一致性和互用性測試程序(比如IPv6ReadyLogoProgram)可能會有所幫助。缺乏關于IPv6過渡/共存技術的意識因為IPv6不是對IPv4向后兼容的,許多過渡/共存技術已經(jīng)被研發(fā)出來促進IPv6的部署。然而,這些技術會導致由此產(chǎn)生的流量中的復雜性增加,攻擊者可以利用它來掩蓋他或她的繞過網(wǎng)絡安全控制的企圖。

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論