虽然供应商撰写,但这贡献的作品不会倡导提交人的雇主特别的职位,并被编辑和批准有个足球雷竞技app编辑器。
2011年2月3日,出现并没有太大的粉丝,但它是互联网利益相关者的里程碑,无论他们是否知道它。在那个星期四,分配了最后一个可用的IPv4地址因特网号码分配机构(IANA)。尽管一些区域互联网注册中心(rir)有一个合理的IP地址目录,可以再持续一两年,但“新”IPv4地址分配的日子基本上已经结束了。
现在我们脱离了IPv4分配,是时候认真地采用下一代互联网协议来了解了IPv6.使用128位地址空间(与IPv4的32位空间相比),IPv6可以适应互联网的持续和指数增长,目前正在每小时增加大约一百万个新设备。实际上,与IPv4允许的43亿IP地址相比,IPv6将使另一个340万亿,万亿,亿万的地址 - 足以满足可预见的未来的全球互联网需求。
再加上DNS的持续部署安全扩展(DNSSEC),IPv6将最终为未来互联网提供稳定和安全的基础。但是对于从IPv4转换到IPv6成功的,从基础设施运营商和服务提供商到应用程序开发人员和用户的每个人都必须在一系列活动中共同努力,包括:
•支持和开发IPv6能力,并建立功能的IPv4平价;
•使用新的IPv6软件调试问题应用程序;
•细化与IPv4的互联和过渡共存。
这一努力的关键部分将涉及安全问题。IPv6代表大多数互联网利益相关者的新领域,它的卷展栏将引入一些独特的安全挑战。虽然以下名单绝不是全面的,但它确实指出了八个考虑因素和问题领域,即该行业需要解决,因为IPv6采用继续存在。因为我们仍处于早期阶段,但其中一些风险的解决方案只会在现实世界使用导致验证最佳实践后来。
*从IPv4转换为IPv6,事务可能变得脆弱。因为IPv4和IPv6不兼容“网络位”,协议转换被视为更广泛部署和采用的途径之一。将流量从IPv4转换到IPv6将不可避免地导致在通过网络时进行中介交易。在邮局把邮件分类器传输设施,必须打开每一个IPv4信封把每个字母在IPv6,以确保其达到正确的地址,有时改变内容的文档中包含为了配合新的IPv6外部包裹的信息。每当这种情况发生时,就会出现一个机会,让糟糕的实现或糟糕的参与者去挖掘或利用潜在的漏洞。此外,它还引入了必须维护事务状态的中间框,使网络复杂化,从而破坏了端到端原则。一般来说,安全人员应该注意所有转换和转换机制(包括隧道)的安全方面,并且只有在彻底评估后才显式启用这些机制。
*大的网段有好有坏。IPv6推出了比我们今天看到的网络段显着大。IPv6子网的当前推荐的前缀长度为/ 64(264),可以在单个段上容纳约18个千兆的主机!虽然这实现了几乎无限制的LAN增长,但其规模也存在挑战。例如,扫描单个IPv6 / 64块进行漏洞需要数年时间,而单个/ 24个IPv4子网28只需要几秒钟。由于不可能进行全面的扫描,因此可以仅使用更好的方法来利用地址仅利用第一个/ 118(IPv4中的IPv4中的相同数量的主机,以缩小IP扫描范围,或者可能明确地分配所有地址拒绝隐含所有其他人。这将使仔细的知识产权管理和监测比今天更关键。人们也可能期望被动域名系统(DNS)攻击者用来代替传统扫描的分析和其他侦察技术。
*邻居发现征求可以将网络暴露出现问题。邻居发现(ND)在IPv6采用五种不同类型的网络控制消息协议版本6 (ICMPv6)消息数的目的,包括确定邻居的链路层地址附加链接,清除缓存的值变得无效,发现邻居愿意转发数据包。虽然ND提供了许多有用的功能——包括重复地址检测(DAD)——但它也为攻击者提供了机会。IPv6中的ND攻击将很有可能取代它们的IPv4对手,如ARP欺骗。一般来说,保持端口禁用是一个好主意,除非明确提供,实现链路层访问控制和安全机制,并确保完全禁用IPv6,在它不使用。
*在大型延伸标头上窒息,防火墙和安全网关可能会落下猎物DDOS攻击.在IPv6中,IP选项功能已经从主报头中移除,而是通过一组称为扩展报头(EH)的附加报头来实现,它指定目标选项、逐跳选项、认证和其他选项的数组。这些扩展头跟随IPv6主头,固定为40字节,并链接在一起创建一个IPv6包(固定头+扩展头+有效载荷)。带有大量扩展头的IPv6流量可能会淹没防火墙和安全网关,甚至可能导致路由器转发性能下降,从而成为DDoS和其他攻击的潜在载体。在路由器上禁用“IPv6源路由”可能是必要的,以防止DDoS威胁,明确编码哪些扩展头是支持的,并检查网络设备的正确实现是至关重要的。一般来说,IPv6添加了更多需要过滤的组件或需要限定范围的传播,包括一些扩展头、多播寻址和增加的ICMP使用。
*6to4和6RD代理可能会鼓励攻击和虐待。6to4——以及它的ISP快速部署表亲6RD——允许IPv6数据包跳过IPv4护城河,而不必配置专用隧道。但是部署IPv6代理服务器可能会给代理运营商带来很多麻烦,包括发现攻击、欺骗和反射攻击,而且代理运营商本身也可能成为攻击和滥用的“源头”。
*对IPv6服务的支持可能会暴露现有的IPv4应用程序或系统。一个限制的是,现有的安全修复只能应用于IPv4支持,但在作为DNS查找的这种活动中,大多数内核将在IPv4之前更喜欢IPv6接口,以便培养更快的IPv6部署。实际上,IPv6和IPv4之间的动态可能导致每个DNS查找的流量加倍(具有AAAA和所请求的记录,或者更差,每个IPv4和IPv6)。这可能会导致不必要的DNS流量大量,以便优化用户体验。操作系统和内容供应商经常将黑客放置到适当的地方,以减轻或优化此行为(例如,AAAA白名单),这会产生添加的系统负载和状态。此外,它肯定应该观察到,使用新的IPv6堆栈可访问新的漏洞肯定会曲面。在长过渡共存期间的双层堆叠,以及路由器、终端系统和DNS等网络服务之间的相互依赖,肯定会为不法分子提供肥沃的土壤。
*许多用户可能会在固定的一组地址后面遮挡。模糊用户背后的大网络地址转换协议翻译(NAT-PT)设备可能会破坏像地理定位或工具等有用的功能,以实现恶意网络行为的归属,并使基于数字和基于命名空间的信誉的安全控制更有问题。
*甚至IPsec.可能会在隧道到其他网络时构成问题。IP安全(IPSec)使验证发送方、提供完整性保护以及可选地加密IP数据包以提供传输数据的机密性成为可能。IPSec是IPv4的可选特性,但IPv6是必须的。在隧道模式下,整个数据包被封装到一个新的IP数据包中,并获得一个新的IP报头。隧道模式实际上为网络到网络、主机到网络和主机到主机的通信创建了一个VPN。但如果VPN连接的网络超出了发起者的控制,可能会导致安全暴露或被用来窃取数据,等等。由于IPSec安全保护的协商和管理以及相关的密钥是由附加协议(例如,Internet密钥交换——IKE)处理的,这增加了复杂性,所以IPSec在IPv6中不太可能比在IPv4中得到更广泛的支持。
IPv6的普及还需要一段时间IPv4设备开始衰落。在那之前,我们都将致力于在互联网上最初40亿台设备使用的协议基础上发展。
现在的里程碑2月3日已经来了,我们很快就将别无选择,只能开发和传播的最佳实践,这将使下一代IP地址的稳定、可靠和安全,从网络和安全人员的意识和知识。
Verisign Inc .)VRSN是网络世界中值得信赖的互联网基础设施服务提供商。每天,Verisign帮助世界各地的公司和消费者信心十足地在线连接数十亿次。