如果IPv6的策略是拖延执行,只要你能,你仍然必须解决的IPv6安全现在的担忧。
如果您计划部署IPv6的与IPv4的双栈配置,你仍然没有摆脱困境,当涉及到安全性。如果你觉得你可以简单地关闭IPv6,这不会对任何飞行。
恐慌时间:你为IPv6做了多少准备?
最大的迫在眉睫的安全威胁在于一个事实,即企业网络已经吨的IPv6功能的设备,包括所有设备运行视窗Vista或Windows 7和Mac OS / X,所有Linux的设备和BSD。
不像它的前身,IPv6的DHCP,无状态IPv6不需要手动配置。这种无状态的自动配置特性,在大多数操作系统中默认启用,意味着“启用IPv6的设备只是等待一个单独的路由器广告来确定自己在网络上的身份,”Eric Vyncke说,他是思科系统杰出的系统工程师,也是《IPv6安全》一书的合著者。
他警告说,“只有ipv4的路由器和交换机不识别或响应IPv6设备的通知,但流氓IPv6路由器可以发送和解释这些流量。”
无状态自动配置允许任何启用IPv6的设备与同一LAN上的其他IPv6网络设备和服务通信。为此,设备通告它的存在,并通过IPv6邻居发现协议(NDP)定位。
但无人管理,NDP可能有点太睦邻,可能暴露设备攻击者急于了解正在发生的事情在网络内部,甚至允许设备本身被接管,变成了一个搜集信息的“僵尸”。
Vyncke说,威胁是真实的。“我们观察到,全球范围内机器人正在增加对IPv6的使用,将其作为与僵尸主机通信的秘密通道。”在其众多伪装中,支持ipv6的恶意软件可以采用封装在一个或多个IPv4消息中的恶意有效负载的形式。如果没有特定于ipv6的安全措施(如深度包检查),这种类型的有效载荷可能会通过IPv4周长和DMZ防御而未被发现。
发送(安全邻居发现)是IETF解决方案的二层IPv6威胁,如流氓RA和NDP欺骗,这相当于IPv4威胁称为流氓DHCP和ARP欺骗。一些操作系统供应商支持发送,而其他的,值得注意微软和苹果,不要。
Cisco和IETF正在为IPv6实现相同的安全机制,这些机制目前用于保护IPv4免受这些威胁。
IETF的有一个工作组,SAVI(源地址认证)和思科正在实施一项三阶段计划升级其iOS设备在2010年开始,将完全由某个时候在2012年实现,这取决于交换机的类型。
Vyncke指出,一些更常见的IPv6安全风险是由网络上配置不当的终端用户设备意外创建的,而正确的配置和IPv6安全措施将消除许多这些风险。
Vyncke解释说:“这种类型的问题的答案是部署原生IPv6,并在相同的水平上保护IPv6流量,并防止你已经在IPv4中防御的相同类型的威胁。”
IPSec的神话
有一个普遍的看法,即IPv6是本身比IPv4更安全,因为支持IPSec是IPv6中是强制性的。“这是一个需要被揭穿一个神话,” Vyncke说。
他指出,除了与IPSec的大规模实现相关的实际挑战之外,IPSec封装的流量的内容对设备(路由器/交换机/防火墙)变得不可见,从而干扰了它们重要的安全功能。
出于这个原因,Vyncke,谁也是IETF的活跃成员和RFC 3585的作者报告说,一个IETF工作组正在考虑能够支持IPSec的更改“建议”,而不是在IPv6实现“必需的”。
关于关闭IPv6,Vyncke说,这是出于两个原因一个坏主意。一,微软表示,在Windows 2008关闭IPv6构成了不支持的配置。而Vyncke说试图禁用IPv6是一个头在最沙策略,延迟不可避免的,可以使安全性变得更糟,因为启用了IPv6的设备将要显示它是否希望与否在网络上了。
动力大厦
安全威胁之外,有越来越多的商业案例对IPv6是越来越难到地毯下扫。银行和网上经纪公司已经面临失去国际客户,其网络不再支持IPv4通信的挑战。
像Telefonica和T-Mobile这样的公司正在大力拥抱IPv6,特别是在他们的欧洲总部。美国政府一直在稳步转向IPv6,并呼吁供应商和供应商提供更多的IPv6产品和服务。
博科通信系统公司(Brocade Communications Systems)总监基思•斯图尔特(Keith Stewart)表示:“你永远都不想处在无法与客户互动的境地。应用交付产品。尽管如此,共享网络供应商中普遍的观点,认为斯图尔特逐步迁移到IPv6。
“大规模的升级到IPv6在互联网上既不现实也有效,”斯图尔特说。“客户需要一个平衡,实用的方法。”他指出,服务提供商,谁消耗地址比谁都快,都在第一线对IPv6的升级,其次是内容主机(谷歌和Facebook),终于最终用户,他们的家庭路由器仍然是99%,基于IPv4的。
当Brocade需要转移到IPv6时,它使用现有的负载平衡器并将IPv6转换为面向公众的服务,在内部网络上保持IPv4连接。“公共堆栈是最重要的。选择一个较小的项目,在那里您可以创建一个与IPv6客户通信的业务案例。在构建下一组服务时,要求它具有双栈功能或可用于较老的IPv4架构的转换功能。这允许你建立面向业务的ROI,因为你的团队获得了使用IPv6的能力。任何过渡都应该为最终用户设计得无缝衔接,”斯图尔特说。
Juniper网络公司的报告说,到现在为止其大部分客户请求IPv6服务的是来自教育,政府等行业,特别是大学的研究实验室,并努力遵守联邦的IPv6任务的政府单位。
瞻博网络预计增加IPv6的活动,2012年,特别是在服务提供商。“IPv4地址枯竭已成为我们在世界各地的客户提供显著的问题,”阿兰·迪朗,软件工程,平台和系统部CTO组主任。即便如此,杜兰德预计大多数IPv6的部署将是规模较小的项目与IPv6的实现为“插件”(双栈),以现有的IPv4面向公众的服务。“为了应对IPv4地址的日益短缺,客户始终将NAT的另一层的选项,”杜兰德说。
虽然没有办法肯定地预测它究竟会持续多久要等到所有的IPv4地址已经枯竭的,由杰夫·休斯顿,在APNIC首席科学家编制的每日统计,常常被视为一个可靠的来源。休斯顿的模型,它是基于由IANA和区域互联网注册管理机构公布的数据得出的公共数据源,预计全到2014年耗尽所有剩余的未分配IPv4地址。
然而,需要注意的是休斯顿的模型没有因素可以由私人机构以备将来使用或出售举行的地址是很重要的。例如,它会在微软最近收购了北电网络破产资产的下获得了超过60万个的IPv4地址不是因素。虽然它可能是安全的假设,足够的IPv4地址将在短期内获得,许多人预测的成本上升,因为供应不断减少。
如果没有对IPv6建立的最佳实践,许多网络管理员一直不愿采取行动。但随着越来越失去与谁已经迁移到纯IPv6的系统,等待别人客户的沟通安全威胁和关注走在其间第一,无所事事不是“位置中立”立场,它似乎。
规划阶段是与可信赖的网络供应商建立或重新建立关系的好时机,这些供应商可以提供架构和安全指导,以及针对广泛迁移选项的可伸缩解决方案。
Perschke是两家IT服务公司的共同所有者,他们专门从事web托管、SaaS(云)应用程序开发和RDBMS建模与集成。Susan还负责公司的风险管理和网络安全。2020欧洲杯预赛。请联系她susan@arcseven.com。