6月6日,全球IPv6網絡正式啟動(World IPv6 Launch)。當天,主要的內容和網絡服務供應商開始永久啟用IPv6支持, 創造了本地IPv6流量高峰,同時也采用6in4和Teredo等鏈路協議。從促進IPv6使用的目的來看,大會是非常成功的。但是當IPv6發布日已經過去,如何處理IPv6流量的安全問題卻還沒有解決。
首要的安全問題是黑客可利用IPv6鏈路技術隱藏在IPv4流量中,產生了一條沒有防護的進出企業網絡的通道。關閉這些通道需要了解IPv6轉換機制的運作及其可視性。
要理解機構需要實施IPv6的原因是很容易的。簡單來說,就是第一個互聯網協議版本IPv4空間耗盡。每個與網絡相連的設備都有固定的IP地址,IPv4協議允許32位的IP地址,也就是232 個的可能地址,而IPv6則將IP地址數量增加到2128。雖然目前IPv4運行良好,但持續增長的網絡連接設備終會將其空間消耗殆盡。IPv6也在其他方面對IPv4進行了優化,比如說,簡化地址分配。
但是啟用IPv6對網絡運營者還許多其他的影響。過去,企業一直重點保護IPv4網絡,現在他們必須投入相同的力度在IPv6的運行上。安全管理員需要學習IPv6新協議的基本內容,以應對變化帶來的挑戰。在這方面,網上公布的最佳實踐是美國國家標準和技術研究所 (National Institute of Standards and Technology)的綱要。
如果安全設備支持IPv6,現在就是啟用它的時候。一些操作系統,諸如Windows Vista和Windows 7 中IPv6轉換機制是默認設置。這意味著IT部門并不知道正在運行IPv6,最終讓使用戶繞開防火墻和網絡入侵防御系統(IPS)。
這些鏈路通過啟用IPv6主機和路由器,在IPv4互聯網上與其他IPv6設備連接來運行。鏈路的問題在于,它們可以穿過防火墻——攻擊者或許能逃出企業安全控制并連接到企業網絡內部資源。因此,使用如6 to 4的鏈路協議支持轉換到IPv6需要慎重考慮,盡可能保持在最低限度。
事實情況是,IPv6可能在企業不知情的情況下,已經在網絡中運行,且可能被僵尸網絡和黑客用作隱蔽通道。雖然企業可能不會主動在網絡中運行IPv6,但是,他們的安全基礎設置應具備檢測IPv6的流量的功能。畢竟,你不能阻止你無法看到的。
談及保護IPv6部署,最重要的是可視性。企業需要部署支持IPv6并使IPv6運作的安全產品。在某些情況下,這可能需要升級,例如,傳統的入侵防御系統(IPS)和防火墻,就可能已經無法檢測到IPv6流量。可喜的是,在過去的幾年中,許多主要的防火墻和網絡安全廠商已經增加了對IPv6的支持。盡管如此,企業仍應向供應商反應,以確保產品提供了他們所需的所有功能,并且開始在他們的環境中應用。被認可的IPv6測試方案有NIST的USGv6 Profile和測試計劃。
隨著越來越多的企業部署IPv6,管理員需要特別注意轉換機制和設備配置,以避免向網絡開放未經授權的途徑。保護網絡安全首要關鍵是監控所有網絡的流量,如果管理員發現未經授權的鏈路,那么他們要立即關閉這些鏈路避免被利用為攻擊流量。IPv6的必然性意味著企業需要現在便開始采取措施來支持其安全使用。
Check Point認為,對于很多企業和全球服務提供商來說,過渡至IPv6并部署可以同時為IPv6和IPv4提供保護的網絡安全解決方案至關重要。企業應該清楚地認識到這次遷移所帶來的安全挑戰。客戶想要彌補協議轉換帶來的安全缺口,最直接的方法就是采用獲得IPv6標識認證的安全產品。
在向IPv6過渡的浪潮中,安全廠商也在一直在尋求不斷滿足客戶實施需求的解決方案。例如,Check Point R75.40軟件刀片和 GAiA 統一的操作系統(OS)就通過了UNH互操作性實驗室(UNH Interoperability Laboratory)的評測,并獲得了IPv6論壇授予的第二階段(金)標識(Phase Two (Gold) Logo)。這表示此兩款產品包含所有強制的IPv6核心協議,并且能夠與其他IPv6 和 IPv4實施方案互相操作,滿足IPv6標識認證委員會的所有技術要求。Check Point R75.40,GAiA和新型安全設備能夠輕松與新版本的網絡協議實現互相操作,讓客戶無縫且安全地過渡到IPv6時代。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:保護IPv6部署 警惕隱藏的IPv6流量
相關文章
