漫谈IPv6部署安全性

  作者:Danny McPherson
2011/6/15 12:53:51
IPv6为大多数互联网参与者展示了新的疆界,它的出现也将带来一些独特的安全挑战。虽然下述内容并不完全,但它给出了八个需要注意的问题领域,业界需要在采用IPv6的过程中,不断地解决这些问题。

2011年2月3日悄无声息的到来又逝去,这一天看似普通,但对互联网人士来说,却非比寻常,无论他们是否知晓,这一天却是一个里程碑。在那个周四,互联网数字分配机构(IANA)将最后可用的IPv4地址分配殆尽。虽然某些地区的互联网注册管理机构(RIR)还有够一两年使用的库存,但全新IPv4地址分配的时代已基本成为历史。

既然IPv4已经用尽,那么是时候认真考虑采用下一代互联网协议IPv6了。当前,每小时就会增加一百万台新设备,而IPv6具有128位的地址空间(IPv4具有32位空间),可以适应互联网当前及未来的发展需求。实际上,与IPv4的43亿个IP地址相比,IPv6可以再增加340万亿万亿万亿地址,足以满足可预见未来的全球互联网需求。

随着DNS安全扩展协议(DNSSEC)的持续部署,IPv6将为未来互联网提供稳定而安全的基础。但是,要实现从IPv4向IPv6的成功过渡,无论是基础架构运营商、服务提供商,还是应用开发人员与用户,所有人都必须在一系列工作中团结合作,这些工作包括:

•支持并开发IPv6能力,并建立与IPv4相当的功能

•调试并修正那些仅使用IPv6的新软件与应用程序中的问题

•改善与IPv4的交互工作与过渡共存问题

安全性将成为这一工作的关键。IPv6为大多数互联网参与者展示了新的疆界,它的出现也将带来一些独特的安全挑战。虽然下述内容并不完全,但它给出了八个需要注意的问题领域,业界需要在采用IPv6的过程中,不断地解决这些问题。要知道我们仍然处于采用的初级阶段,所以某些风险的解决方案只能来自于被实际应用所证明的最佳实践。

* 从IPv4向IPv6的转换过程中,事务处理(Transaction)可能更容易受到攻击。由于IPv4与IPv6并非“逐位(bits on the wire)”地兼容,因此协议转换就成为更广泛的部署与采纳的一种途径。从IPv4到IPv6的转换中,当转换流通过网络时,必然产生需要协调事务处理。设想一个邮局的信件分拣员,他必须打开每个IPv4信封,再将每封信装入一个IPv6信封中,以确保它能投递到正确的地址,此时要修改文件包含的内容,从而使之与新的IPv6信封外的信息相符。每做一次这个操作,都给执行不善和执行不力者提供了一个机会,从而产生或触发一个潜在的漏洞。另外,这种方法引入了必须维护事务处理状态的中间环节(middle boxes),使网络复杂化,从而危及了端到端的原则。通常情况下,安全人员应注意所有转换与事务处理机制(包括隧道)的安全问题,只有经过了彻底评估以后,才能明确地启用这些机制。

共2页: 上一页1 [2]
责编:刘书畅
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918