尽管IPv6数据包已经开始流动,网络工程师仍然小心翼翼,因为挥之不去的安全担忧。以下是今天由gogoNET成员投票选出的IPv6网络安全的六大安全风险,gogoNET是一个由95000名网络专业人士组成的社区。
缺乏IPv6安全培训/教育。今天的1号风险是缺乏IPv6安全知识。企业必须投入时间和金钱在IPv6安全培训前期,在部署之前。这或风险妥协和花费更多的时间和更多的钱的安全性后,以堵塞漏洞。网络安全是作为规划阶段的一部分,而不是部署后更有效。这是不吝啬的区域。据斯科特·霍格,IPv6安全作者和GTRI的首席技术官,“所有的安全从业者现在应该了解IPv6,因为所有的组织都支持IPv6的,并在其环境中启用操作系统。未取得IPv6系统就像是允许巨大的后门存在“。
*通过未经过滤的IPv6和隧道流量安全装置旁路。只有缺乏知识才被认为比安全产品本身的风险更大。从概念上讲,这很简单,安全产品需要做两件事——识别可疑的IPv6数据包,并在识别时进行控制。但是在实际中,这在v4中几乎不可能实现,更不用说可能存在异常或未知隧道流量的环境了。“有16种不同的隧道和转换方法——更不用说上层隧道:SSH, IPv4-IPSec, SSL/TLS,甚至DNS,”Joe Klein说,他是IPv6论坛的网络安全主题专家和SRA国际的专家网络架构师。“第一步是知道你在寻找什么。目前使用的安全产品,特别是那些从v4转换到v6的安全产品,还没有足够成熟到能够与它们所保护的威胁相匹配。
*缺乏在互联网服务供应商和销售商对IPv6的支持。彻底的测试是至关重要的,直到IPv6安全功能和稳定性上与IPv4的票面。测试网络和所有相关协议的测试必须想出测试所有设备 - 从供应商尤其是新的安全技术。每个网络都是独特的,需要独特的测试计划,但是可以帮助乔找到克莱恩的和斯科特霍格的博客。更复杂的问题是没有从您的提供商本地IPv6连接。隧道连接到您的界面进一步提高安全性的复杂性和提供人在这方面的中间人攻击和拒绝服务攻击的开口。从上游供应商要求本地IPv6。
*在V4和V6的安全策略的同余。弱V6的安全策略,在IPv6的安全知识当前赤字的直接结果。不仅做到了IPv6安全策略的深度必须等于他们的IPv4同行,但其广度必须更宽以涵盖并不需要在IPv4环境齐被认为是新的漏洞。
*在新的代码中的错误。伴随着任何新代码将是错误。在这种情况下,他们可以在周围网卡,TCP / UDP和网络软件库中的代码不完全支持IPv6还没有被发现。技术,如SIP,VoIP和虚拟化也可以是脆弱的。在最好的错误是一个烦恼,在最坏的情况,他们可以在网络中引入新的安全漏洞。补救的办法,和以前一样,是测试。测试网络和全面的测试计划将暴露缺陷不够好,孤立他们,允许找到解决方法,或者直到他们修复干脆关闭了部署。
* NAT的缺位。对NAT的误解是如此广泛,以至于IPv6中没有它被误解为一个顶级的安全风险。在v6环境中使用NATs可能会让人感到安慰,但实际上它们并不提供任何额外的安全性。防火墙的有状态性提供了安全性,而不是网络地址的转换。
IPv6安全不能到位什么是对IPv4的简单克隆 - 这种想法是危险的。必须进行培训,政策必须扩大和新技术必须被引入到网络,以抵御新的威胁。从同质V4网络和网络的网络异构V4 / V6现实的转变与它的新类型的流量和设备的,必须考虑到带来的。
此外,由于V6是相对较新的市场也刚刚起步,IPv6安全产品无法预计那样强劲。这使得现在和之间时有趣的和危险的时候周围V6日趋成熟和运营商的安全性已获得的经验同样的水平,因为他们目前与IPv4的。
想要更深入地了解IPv6安全,请收听IPv6 Show的播客,第3和第4集iTunes的或出席gogoNET生活!IPv6会议2013年11月14日在线或现场圣何塞的讨论小组,“前6安全隐患IPv6的今天。”
Sinclair自2006年以来一直是IPv6市场的一部分,他是gogo6的首席执行官,IPv6产品、社区和服务的供应商。他的博客最初的市场见解来自gogoNET社交网络,该网络由超过95,000名注册网络专业人士组成。布鲁斯在iTunes上主持“IPv6秀”播客,并为网络供应商编写了IPv6市场情报简报。