尽管供应商编写的,这种贡献一块不提倡的位置是特别的,作者的雇主,已经被编辑和批准足球竞猜app软件editors.
2011年2月3日,来无影去无大张旗鼓,但它是为互联网利益的一个里程碑,他们是否知道这一点。上周四,最后可用的IPv4地址被分配由互联网编号分配机构(IANA)。虽然一些区域互联网注册管理机构(RIR)有可能再持续一年或两个IP地址的合理库存,“新” IPv4地址分配的时代已经基本结束。
现在,我们的IPv4分配出来,它的时间来认真对待采用下一代互联网协议的,IPv6。对于128位的地址空间(与IPv4相比的32位空间),IPv6的可以容纳互联网,目前是增加约每小时一百万新设备的不断并呈指数增长。事实上,与4.3十亿的IP地址是IPv4的允许相比,IPv6将启用另外3.4万亿,万亿,万亿地址 - 足以容纳可预见的未来全球互联网的需求。
加上DNS的继续部署安全扩展(DNSSEC),IPv6将最终为未来互联网的稳定和安全的基础。但对于从IPv4到IPv6的过渡是成功的,从基础设施运营商和服务提供商的应用程序开发者和用户的每个人都将在一系列的活动,包括一起工作:
• supporting and developing IPv6 capabilities and establishing functional IPv4 parity;
•新的纯IPv6的软件调试问题,applications;
• refining interworking and transitional co-existence with IPv4.
A crucial part of that effort will involve security. IPv6代表了大多数互联网利益相关者的新领地,它的推出将介绍一些独特的安全挑战。虽然下面的列表并不全面,但它确实点到八个注意事项和问题领域,由于采用IPv6延续了行业需要解决。因为我们现在还处于早期阶段,一些这些风险的解决方案将只来实际使用导致成熟的最佳实践之后。
*翻译从IPv4到IPv6,交易可能会变得脆弱。Because IPv4 and IPv6 are not "bits on the wire" compatible,protocol translation被看作是一个路径到更宽的部署和应用。从翻译IPv4流量向IPv6势必造成交易中介,他们通过网络移动。想在邮局传输设施,必须打开所有的IPv4的信封把每个字母在IPv6之一,以确保其达到正确的地址的邮件分拣机,有时在文档中变化的内容,以包含在重合用新的IPv6外部包络信息。每次发生这种情况时,一个机会出现的执行不力或坏人来挠痒痒或利用一个潜在的漏洞。此外,通过引入必须保持交易状态和网络复杂中间盒损害年底到终端的原理。在一般情况下,保安人员应注意的所有翻译和转换机制(包括隧道)的安全性方面,只有使这种机制后,明确地已被彻底评估。
*Large network segments are both good and bad.IPv6引入网段那些比我们今天所看到显著较大。对于IPv6子网目前推荐的前缀长度是/ 64(264),其可容纳在单个段约18百万的三次主机!虽然这使几乎无限局域网的增长,其规模也提出了挑战。举例来说,这将需要多年才能扫描漏洞单个的IPv6 / 64块,而单个/ 24的IPv4子网28将只需要秒。由于全面扫描是不可能的,更好的方法可以是仅利用所述第一/ 118(相同的数量的主机在IPv4中的/ 22)地址的缩小IP的范围进行扫描,或者可能明确地分配所有的地址和拒绝所有其他含蓄。这将使谨慎的知识产权管理和监控更加重要比今天。人们可能还期望被动域名系统(DNS)要由攻击者代替传统扫描使用的分析和其他侦察技术。
*邻居发现和请求可能会暴露网络问题。在IPv6邻居发现(ND)利用五种不同类型的因特网控制消息协议版本用于多种用途6(ICMPv6的)消息,其中包括以确定所连接的链路上的邻居的链路层地址,该成为无效清洗高速缓存的值,并发现邻居愿意代为转发数据包。虽然ND提供了许多有用的功能 - 包括重复地址检测(DAD) - 它还可表现出对攻击的机会。在IPv6中ND攻击很有可能取代IPv4同行such as ARP spoofing. In general, it's a good idea to keep ports disabled unless explicitly provisioned, implement link layer access control and security mechanisms, and be sure to disable IPv6 completely where it's not in use.
*窒息的大扩展头,防火墙和安全网关会堕入DDoS攻击。In IPv6, the IP options function has been removed from the main header and is instead implemented via a set of additional headers called extension headers (EH) that specify destination options, hop-by-hop options, authentication and an array of other options. These extension headers follow the IPv6 main header, which is fixed at 40 bytes, and are linked together to create an IPv6 packet (fixed header + extension headers + payload). IPv6 traffic with large numbers of extension headers could overwhelm firewalls and security gateways, or perhaps even introduce router forwarding performance degradation, and thus serve as a potential vector for DDoS and other attacks. Disabling "IPv6 source routing" on routers may be necessary to protect against DDoS threats, and explicitly codifying which extension headers are supported and checking network equipment for proper implementation is critical. In general, IPv6 adds many more components to be filtered or require scoped propagation, to include some extension headers, multicast addressing, and increased uses for ICMP.
*的6to4和6RD代理可能会鼓励的攻击和虐待。的6to4 - 其ISP快速部署的表妹,6RD沿 - 让IPv6数据包跳出IPv4的护城河,而无需配置专用隧道。但部署IPv6代理服务器可以利用代理运营商的麻烦的世界,包括发现攻击,欺骗和反射攻击,和代理运营商自己可以利用的“源”的攻击和虐待。
*对IPv6服务的支持可能使现有的IPv4应用程序或系统。一个限制是,现有的安全修补程序可能只适用于IPv4的支持,但大多数内核会,以促进更迅速的IPv6部署等活动的DNS查找互动时的IPv4之前喜欢IPv6接口。事实上,IPv6和IPv4之间的动态可能会导致交通的每个DNS查找加倍(既AAAA和A记录的要求,或者更糟,每过IPv4和IPv6)。这可能会导致不必要的DNS流量大量以优化用户体验。OS和媒体内容供应商经常把黑客到位,以减轻或优化针对此行为(例如,白名单AAAA),其产生加到系统负载和状态。此外,它当然应该观察到,新的IPv6堆栈被访问的新的安全漏洞是一定要面。在很长的过渡时期共存的双堆栈, and inter-dependences between routers, end systems, and network services such as the DNS are sure to serve as fertile ground for miscreants.
*很多用户可能后面固定套的地址被遮蔽。后面的大用户模糊网络地址解读协议转换(NAT-PT)设备可以像断线的地理位置或工具,使恶意网络行为的归属,使数字和基于信誉的命名空间的安全控制问题更多有用的功能。
*甚至安全隧道到其他网络时,可能会带来问题。IP安全(IPSec)能够发送者进行身份验证,提供完整性保护和可选加密IP数据包提供传输数据的机密性。安全是IPv4的一个可选功能,但它必须使用IPv6。在隧道模式下 - 其基本上创建一个VPN网络到网络,主机到网络和主机到主机的通信 - 整个分组被封装到一个新的IP包,并赋予新的IP报头。But a VPN connection with a network that's beyond the originator's control could result in security exposures or be used to exfiltrate data, etc. Because the negotiation and management of IPSec security protections and the associated secret keys are handled by additional protocols (e.g., Internet Key Exchange -- IKE) and adds complexity, it isn't likely IPSec will be any more widely supported with IPv6 than it is with IPv4 initially.
这将需要一段时间才能IPv6的普遍部署和IPv4设备开始下降。在此之前,我们都将努力建设上启用了互联网的第一个4台十亿设备的协议。
现在,2月3日的里程碑来了又走,我们很快将别无选择,只能开发和传播的最佳实践,这将使下一代IP地址稳定,可靠和安全,并配合意识和知识,开始网络和安全人员。
VeriSign公司(纳斯达克股票代码:VRSN)是互联网基础设施服务网络世界的可靠供应商。数十亿次的每一天,威瑞信帮助企业和消费者在世界各地有信心在线连接。