近几年出口的软硬件产品都已经内置了IPv6支持,特别是大量的移动终端几乎都已经支持IPv6,然而一向被认为安全性较高的IPv6并不像传 说中的那样,甚至相反会严重挑战现有的安全保护体系。
下一代互联网协议IPv6逐渐被商用企业采纳,管理机构和运营商也开始规划和测试工作,尽管迁移的路子仍然比较漫长,但它也日益成为IT 基础架构人员的谈资。
近几年出口的软硬件产品都已经内置了IPv6支持,特别是大量的移动终端几乎都已经支持IPv6,然而一向被认为安全性较高的IPv6并不像传 说中的那样,甚至相反会严重挑战现有的安全保护体系。
首先,IPv6的通道功能会影响现有的网络访问控制,IPv4防火墙在针对IPv6流量的细力度控制上几乎无力,基于协议和端口的动态包过滤对 于能够灵活变化的通道也几近失效,不当配置的企业网络边界控管措施在IPv6面前形同虚设。
其次,IPv6的加密通道及自动配置功能让端到端的通讯更为便捷也更为危险,还令传统的基于特征检测与分析的入侵检测、内容过滤及监控 审计系统失效。
最后,基于IPv6的攻击已经开始现身,分布式拒绝服务攻击、网络穿透攻击、IPv6加密蠕虫等等开始零星出现于安全媒体,但却没有引起安 全界的重视。
应对这些挑战并非难事,首先,觉醒起来是最好的安全防线,加强IT及最终用户关于IPv6的安全意识教育应该被纳入到安全管理的议事日程 ;接着,制定和设置严格的访问控制策略,必要时实施白名单政策;最后,加强安全监管,特别是针对加密安全通讯的监管,阻断不必要的加密通讯宜早不宜晚。
WOWO小结:IPv4地址正在枯竭,IPv6也随着技术的催生来改善IP地址不够分配的问题,这无疑是项大举措,它的部署以及切换越来越受到政 府和企业的重视。技术催生的这一大工程意味着现有协议架构的升级变革,作为公司在迁移IPv6之前,网络管理员应当对网络改造方案有基础的了解,对网络协议的过渡加强意识 ,同时新的技术的采用,安全问题应当被重视,例如,在实施中是否有漏洞,如何来纠正并成熟部署?
目前,IPv6的安全评估工具还不多以来对网络安全进行监管和评估,而且在 IPv6部署前应考虑兼容企业安全设备和硬件,最重要的是,那些采纳了安全策略的众多企业, 无论是边界管控还是内网管理,都需要让安全策略适应新的技术的改革需求。