如何防止IPv6的VPN突围

没有正确配置的远程访问vpn,来自远程设备的IPv6流量可以逃脱公司的安全控制。

盖蒂图片社

企业不知道IPv6的发挥远程用户的设备的作用,运行这些机器可能访问尽管使用被禁网站的风险vpn这意味着限制他们访问的内容。

这个漏洞源于这样一个事实,即一些远程访问VPN被配置为只对IPv4流量进行检查和应用安全控制,因为它通过VPN集中器,而没有对IPv6流量启用类似的保护。

这使得IPv6流量可以直接访问互联网,而无需进行那些控制。众所周知,IPv6 VPN爆发的问题是众所周知的,但往往仍然被忽视。

IPv6 VPN爆发有解决方案,但第一步是要了解它的重要性。

为什么IPv6的VPN突破被忽视

许多企业没有意识到IPv6在通过VPN访问它们的网络的设备上使用的频率。用于远程访问公司网络的电话、平板电脑和笔记本电脑通常都支持IPv6,它们可能用来访问互联网的宽带和蜂窝服务也支持IPv6。

其结果是,企业往往不承认作为IPv6的安全系数。他们配置自己的VPN检查仅IPv4流量,它可以给自由,可以证明是危险的企业网络,设备和数据访问IPv6站点的移动设备。

该方法的IPv4保护工作,一旦VPN已经建立,VPN集中器检测流量开往开往通过企业已配置的策略界限的判断出目的地互联网和堵塞交通。(参见图1)。

nw ipv6图1 足球竞猜app软件网络世界/ IDG

此图显示了一个典型的企业VPN用户的笔记本电脑仅支持IPv4的VPN隧道建立回到企业网络边界。红线代表的是通过企业定向到应用流量检查和安全控制互联网结合的交通IPv4通信。所有的IPv4流量必须经过VPN隧道并不能直接访问互联网,但IPv6流量,由蓝线表示,可以。

大多数企业VPN执行所谓没有split-tunneling通过强制所有的IPv4连接,穿越VPN来增强安全性。由于没有拆分隧道,一旦VPN连接已经建立,远程设备不能让广大的互联网单独的连接。

这通常是通过将IPv4默认路由(0.0.0.0/0.0.0.0)通过VPN隧道发送到VPN客户机来实现的。这个IPv4默认路由被插入到VPN客户机的路由表中,如图1中笔记本电脑屏幕上的红色字段所示。因此,当最终用户运行VPN时,他们所有的连接都试图通过企业内部网对IPv4网站进行检查。

安全问题是,企业通常不会在VPN上应用no split-tunneling设置来包含IPv6默认路由,这也在VPN客户端路由表(::/0)中,图中笔记本电脑屏幕上的蓝色字段表示IPv6默认路由。这使得IPv6流量可以直接通向互联网,从而绕过任何企业互联网周边的安全措施。

企业要面对的事实是他们已经在他们的网络和移动员工手中IPv6的设备,所以他们应该采取积极的办法,消除这个安全漏洞。

如何防止IPv6的VPN突围

获得最佳结果的推荐方法是通过在VPN和企业范围内启用IPv6来控制这种情况。企业应该开始在他们的互联网周边启用IPv6连接,然后建立到他们的vpn的IPv6连接。现代企业周边防火墙和他们的VPN软件已经能够使用IPv6,它只需要启用和配置。当它是时,交通流看起来就像图2中描述的那样。

nw ipv6图2 足球竞猜app软件网络世界/ IDG

这是其中的VPN客户端使用IPv4和IPv6网络连接推荐启用了IPv6的VPN架构。它同时具有IPv4和均拥有各自的默认路由领先的互联网流量沿着VPN隧道的IPv6路由表。这使企业网络周界系统来检查这两个协议,并同样适用的安全保护,防止IPv6的VPN突破。

第二个选项是使用VPN客户端,防止当IPv6自身的泄漏。例如,思科的AnyConnect客户端搭配思科ASA安全设备可以控制拆分隧道是如何支持IPv6的客户端配置。同样,帕洛阿尔托网络GlobalProtect VPN和Fortinet公司SSL VPN的FortiClient都支持IPv6。这只是启用IPv6,并与VPN策略控制它的问题。

不幸的是,一些组织采取的方法是在VPN隧道建立时中断IPv6连接。在这种情况下,VPN服务器向VPN客户机的路由表宣传IPv6缺省路由(::/0),通过VPN隧道引导所有IPv6连接。然而,当VPN和公司内部网络只支持ipv4时,所有的IPv6连接都会被丢弃。如果企业没有到VPN的IPv6连接,就不应该宣传这种IPv6默认路由,因为这会导致所有试图访问IPv6应用程序的VPN客户端出现应用程序连接问题。需要访问启用了IPv4的站点的用户最初会遇到连接失败,然后由于客户机快速回退到IPv4而出现延迟。

第三个选择是利用域名系统(DNS防止IPv6 VPN爆发。在这种情况下,只使用ipv4的VPN将保留,但是所有DNS地址解析将被强制通过隧道。IPv6 DNS查询将被压制,但是IPv4查询将成功。

这种方法的缺点是,当IPv6 DNS解析和连接尝试超时并退回到IPv4时,一些支持IPv4的应用程序的性能会很差。这也使得应用程序问题的故障排除更加困难,因为IT管理员需要查找可能使用IPv4和/或IPv6的应用程序,并尝试将问题隔离到DNS、连接、VPN策略和VPN客户端配置。

较长的企业等待打造出支持IPv6的企业远程接入VPN,越差的IPv6 VPN突破的问题得到。最终用户设备将越来越多地使用IPv6,少和少IPv4流量会回来通过企业VPN。企业应该意识到的IPv6 VPN的突破问题,并努力积极采取措施,使IPv6在他们的互联网边界以及远程访问vpn。

加入对网络世界的社足球竞猜app软件区Facebook的LinkedIn对那些顶级心态的话题发表评论。

版权©2019足球竞彩网下载

工资调查:结果在