IPv6不是解决网络安全问题的万能药_绿色软件之家

绿色软件之家:您身边最放心的安全下载站! 最新更新|软件分类|软件专题|手机版|系统之家|纯净系统

您当前所在位置:首页系统集成网络管理 → IPv6不是解决网络安全问题的万能药

IPv6不是解决网络安全问题的万能药

时间:2015/6/28来源:绿色软件之家作者:网管联盟我要评论(0)

  由于仅剩下10%的IPv4预留地址,所以迁移到IPv6是指日可待了,只不过大多数人都还没有明白这一新协议的真实含义。相当一部分人只是简单将其看做IP安全的救世主,而对于它的缺陷却不闻不问。

  虽然IPv6提供了诸如加密等改进功能,但是它的设计目的并不是要更改IP层的安全状况。传统观念想当然地认为只要加密了的东西就是安全的,可是考虑到加密技术的发展和复杂性,这种观念在如今的互联网社会已经不适用了。例如,在最近一次Black Hat会议上,黑客Moxie Marlinspike揭秘了SSL加密技术的缺陷,他利用这些缺陷实现了无效终端认证对数据的拦截。

  遗憾的是,IPsec,作为IPv6的加密标准,被视为加密的万能药。这里应提醒大家注意:

  IPv6中强制要求对的IPsec支持;而是否使用则具有可选性。

  受到规模,互操作性和传输等问题的限制,当前IPv4空间中极度缺乏IPsec流量。这一问题会遗留到IPv6空间里,而IPsec的采用将会很少。

  IPsec支持多加密法则的特性极大地增强了部署的复杂性,而这一事实常常被忽略。

  许多企业认为如果不部署IPv6,就可以避免其漏洞带来的安全隐患。这种观点也是普遍存在的误解。IPv6流量在网络中的几率越来越多。大多数新的操作系统都会默认启用IPv6。

  以IPv4为基础的安全设备和网络监控工具既不能检测也不能阻止IPv6数据。通过代理将IPv6数据链接到IPv4网络是一项很重要的性能。但是,这一性能也让黑客有机会把IPv6链路放在不理解IPv6的网络上,然后再随意携带恶意代码。由此,我们不得不问,为什么有如此多的用户通过未知的,不受信任的IPv6代理来传输数据?

  不要用IPv6通道来输送敏感信息,即便是一些医疗保健或是政府部门的相关链接,也要尽量避免。在客户端启用通道特性后,就会将我们的网络暴露给开放的,未验证,未加密,未注册的远程IPv6网关。用户尝试该性能并由此遭遇恶意网关的几率令人担忧。

  IPv6的高级网络发现功能可以网管们选择输送数据包的路径。理论上,这一功能是一大改进,但是,从安全角度考虑的话却成了隐患。如果本地IPv6网络受到损坏,黑客利用这一功能就可以不费吹灰之力地追踪远程网络。

  那么要多久供应商们才能够帮助我们解决这些安全问题呢?答案是,很快。和大多数行业一样,供应商们还处在技术跟进中。由于现在没有任何机构强制要求转移到IPv6,所以这些供应商是按照业内的发展速度在进行互操作性的开发。

  由此便产生了一个问题:IPv6的延迟部署会给黑客们可乘之机吗?肯定会! 随着我们逐步转移到IPv6,应用与设备中互操作性的缺失会暴露出漏洞。这将带来混乱的补丁发布和更新周期,而应用程序对攻击的防御也会变得很被动。

  不论我们掌握了多少与IPv4相关的专业知识,都应该用极高的警惕性来对待IPv6部署。IPv6不仅仅是扩充IP地址库而已。对于技术人员的培训要从头开始,这项工作可不是如同为Windows应用打上补丁一样容易。许多基础网络准则,如路由,DNS,QoS,多点播放和IP选址等,都需要重新了解。在IPv6中,由于互联网不断适应新的IP结构,我们对垃圾邮件控制和DOS保护等安全功能的依赖程度将大为减轻。

  实际上,我们的网络安全情况在向IPv6的过渡中应该是最先要考虑的因素。企业主在把IPv6当成安全法宝之前要考虑到所有可能的安全挑战。

关键词标签:IPv6,网络安全

相关阅读

文章评论
发表评论

热门文章 路由器地址大全-各品牌路由设置地址路由器地址大全-各品牌路由设置地址各品牌的ADSL与路由器出厂默认IP、帐号、密各品牌的ADSL与路由器出厂默认IP、帐号、密Nslookup命令详解-域名DNS诊断Nslookup命令详解-域名DNS诊断站长装备:十大网站管理员服务器工具软件站长装备:十大网站管理员服务器工具软件

相关下载

人气排行 各品牌的ADSL与路由器出厂默认IP、帐号、密码路由器地址大全-各品牌路由设置地址腾达路由器怎么设置?腾达路由器设置教程ADSL双线负载均衡设置详细图文教程路由表说明(详解route print)网管员实际工作的一天用此方法让2M带宽下载速度达到250K/S左右网管必会!了解交换机控制端口流量