带你了解IPv6网络安全策略 -pc6资讯

您的位置：首页 → 网络冲浪 → 网络技术 → 带你了解IPv6网络安全策略

带你了解IPv6网络安全策略 时间：2011/1/4 20:49:50来源：本站整理作者：学学我要评论(1)

ipv4升级到ipv6可能大家很清楚了

可是从IPv4到IPv6的过渡势必会迫使许多企业重新思考他们对于网络所做的安全措施。其结果将是，从得到确定的安全证实之前认定所有进入的信息流量均不安全这种做法，趋向一种"偏执的开放性"策略。
这就是Cisco著名的工程师Eric Vyncke的观点。在上个月于伦敦举行的RSA大会上，他指出只有当企业对于流入的信息流量更为开放，他们才能从IPv6中最终获益。
许多企业可能会考虑延迟加入下一代IPv6互联网协议的时间，因为第一个吃螃蟹的人总是得不到什么利益安全策略,IPv6。

      但是，停留于IPv4免费的IP地址中高枕无忧的日子最终还是会走到头的。届时，所有人都将步入到IPv6的世界中去，它将提供128位地址（取代IPv4的32位地址），其结果是惊人的2 ^128 个不同的可用IP地址。这个数字足以为地球表面的每个原子分配一个唯一的IP地址，更不用说让每台连接到网络的办事器、台式电脑、笔记本、智能手机、网络摄像头和任何其它连接到企业网络中的设置装备摆设享受一个单独的IP地址了。这是因为默认的IPv6子网络拥有2^64的IP地址，所以即就是以10Mpps的速度，一个黑客也需要花上五万年的时间来完成整个网络扫描（Nmap乃至可能不能支持IPv6上的扫描）。
NAPT的安全利益
       在考虑它的安全含义以前，让我们先来看看IPv4中网络安全措施的关键部分。通常，一个企业在它内部的局域网（LAN）中会有一系列呆板，所有这些呆板都设有本地的IP地址。它们位于防火墙之后，并且共享有限的几个使用网络地址转换（NAT）的公共IP地址，大概更准确地说，使用网络地址端口转换（NAPT）。一旦电脑遭到恶意软件的粉碎，那么攻击者就很容易使用网络侦查工具（比如Nmap）从内部浏览你的网络了。
NAPT的利益在于它能够为所有在公司局域网内的设置装备摆设提供足够多的私人IP地址，同时能够保证这些设置装备摆设的安全。这是因为在局域网中的设置装备摆设的地址都不能被任何防火墙之外的人篡改。此外，因为在防火墙内的每台设置装备摆设对于外部攻击者来说都"不可见"，所以想要袭击他们并不容易。攻击者只有通过内部网络才可以进行网络扫描，然后基于其拓扑架构和潜在的攻击弱点形成一个入侵想法。
        不论如何，这些都是传统的思维，但是NAPT真的能够提供足够的安全吗？不可否认，它的确可以阻止来自外部的连接尝试，但是也无异于一个状态性防火墙。任何环境下，都有措施可以绕过NAPT然后通过私人IP地址登岸呆板，比方，像Skype那样使用反向隧道工具。
3.检查出站信息流量，允许返回流量匹配条件，但是仅仅是在它已经通过了IPS，以检测用户无意间带入的任何僵尸网络流量大概恶意软件（也可能是因为钓鱼攻击引发）。

ipv6.exe: 授权：共享软件大小：288KB 语言：简体

下载地址

另有一点值得注意的是，NATP很难进行网络取证，让你不明白哪台设置装备摆设负责何种外部活动。许多类型的攻击（比如网络钓鱼）实际上是神不知鬼不觉地始于防火墙内部用户自己进行的恶意软件下载安全策略,IPv6。NAPT对此则一筹莫展。这里当然也存在入侵防御系统（IPS）来处理5、6、7层的攻击，而这种防御措施也可能是一个应用防火墙。
为什么IPv6更好？
那么这一切与IP v6的安全性又有什么干系呢？这也势必会引发是否存在某种形式的NAPT形式是可取的这个问题。如果你放弃了NAPT，那么在你的网络中的任意设置装备摆设和任何外部设置装备摆设之间就会有潜在的点对点的受益--因为在IPv6下，每台设置装备摆设都可以拥有自己唯一的IP地址安全策略,IPv6。
所以，在IPv6下不使用NAPT并不会因为攻击者可以看到你的网络拓扑结构而让它变得更加脆弱。这种点对点的IPv6连接对许多企业所带来的巨大利益将不言而喻。这并不是说黑客不能对你的网络进行侦查--这意味着他们会使用其它手段，比如对入侵电脑进行DNS记录大概日志和网络状态数据检查，之后锁定其它的攻击目标。
Vyncke的结论是，因为NAPT几乎不能在IPv6环境下提供任何利益，所以为了确保从巨大的新地址空间中得到最大效益，企业应该学会将之遗弃安全策略,IPv6。因此，他建议对所有的信息流量都使用所谓偏执开放政策，而不是阻止所有外部信息流量进入内部网络（除了少数几个特例比如网络办事器流量）。
信息流量检查需要通过多个系统来实现，Vyncke建议安全策略,IPv6。这些将包括一些类型的IP地址信誉系统来检查信息流量并阻止任何来自低信誉IP地址的信息和使用动态署名加载的入侵防御系统。
将来的安全IPv6网络
Vyncke建议，默认的企业安全策略可以基于以下七个准则，取决于企业的特殊需要：
[ Windows XP的安全策略 ]

1.通过采纳单一地址反向传输路径转发来拒绝所有拥有含糊源地址的数据包。
2.阻止一切来自于低信誉IPv6地址的信息流量。
就掩藏位于防火墙之后的网络拓扑结构而言，类似于计数ID领域、TCP协议的时间戳机制大概电子邮件RC 822都可以帮助攻击者看清你的网络设置，Vyncke补充说安全策略,IPv6。
4.允许入站网络流量进入在公共DNS中拥有AAAA记录的地址安全策略,IPv6。
5.如果某个内部地址从来没有发送过任何来自企业外部的信息，阻止一切信息流量进入该内部地址。这是为了保护内部设置装备摆设比如打印机不被外部访问。
6.拦截所有入站SSL/TLS信息流量，用自署名的证书来对它进行解密，在允许它们进入之前对它们进行检查。
7.在通过IPS之后，默认允许所有其它入站信息流量，但是要对它们的速率进行限制，以此来以免设置装备摆设超载。
对于许多企业而言，Vyncke的建议可能有些过于激进，在IPv6式的点到点连接的利益被证实之前尤为如此。但是不要忘记，企业之所以能够乐意面对将局域网连入互联网的风险，唯一的缘故原由就是这么做所带来的利益值得他们去冒这个风险。

相关视频

没有数据

文章评论

查看所有1条评论>>