2月3日,移动到IPV6得到了一剂强心针理查德·道金斯通知最后的5 /8个地址块已由IANA分配,表明未分配的IPv4地址现在已完全从全局池中消失。虽然这并没有引起大规模的恐慌,也没有阻止任何人访问魔兽世界(这对世界各地的魔兽迷来说是一个令人欣慰的想法),但它应该为企业敲响警钟,开始计划最终过渡到IPv6。
IPv4给了我们大约43亿个IP地址,考虑到地球上的人口,这些地址应该比现在用得更早。通过使用网络地址转换,我们已经设法极大地扩展了相对较小的地址空间的有用性,但这并不是一个解决方案。随着移动设备的爆炸式增长,用不了多久你就会需要一个内衣的IP地址,这意味着需要一个更健壮的地址结构。从舞台右侧输入,IPv6。已经有很多关于IPv6提供给我们的地址数量的文章,用一个又一个创造性的类比来描述这个地址空间是多么的巨大。340 undeciln(是的,这实际上是一个度量单位)地址绝对足以确保我们不会再用完地址!
因此,似乎如果我们转向v6,我们得到的地址比我们知道的要多,这标志着一个新的世界和谐,甚至民主党和共和党都开始合作。问题解决了,对吗?角落里那个多疑的保安说没那么快!IPv6对安全政策的影响是什么?很多。为了实现这一转变,企业将不得不应对大量的因素,其中最重要的是,他们如何继续提供服务,而不破坏访问或打开来自另一个协议的漏洞之门。没有人需要在一夜之间做出改变,但保持冷静的头脑和可靠的计划可以极大地简化这个过程,并确保你不会搬起石头砸自己的脚。
从安全角度来看,一些最重要的问题是:
IPv6防火墙策略:祝贺你,你的防火墙策略一夜之间扩大了一倍。在过渡期间,你很可能不得不操作IPv4和IPv6的双重堆栈。虽然跨两个版本的IP的大多数上层协议仍然以类似的方式运行,但设备寻址结构和ICMP是不同的。这意味着您必须为这两种协议创建规则。两倍的工作和两倍的机会,错误潜入您的安全策略。
IPv4中的IPv6隧道化:隧道化通常是迁移的第一步。现在许多服务提供者已经在这样做了,创建了一种替代的连接机制,如果没有适当的控制,可能会使您的组织受到外部攻击。把这些隧道想象成一个vpn,它应该被阻塞,除非你正在使用它并控制隧道的目的地。
硬件支持:你知道在你还穿着尿布的时候就安装在壁橱里的古老路由器吧?它可能不支持IPv6。事实上,您的网络中许多较老的设备可能没有硬件支持加速IPv6数据包处理。虽然可以在软件中启用它,但性能下降可能使它无法在您的千兆网络中使用。现在就开始识别遗留设备,这样您就可以相应地规划您的迁移策略。从带有网络卸载功能的网卡到交换机、路由器、防火墙和其他设备,都应该为IPv6支持进行评估。
网络地址转换:我没有这方面的任何统计数据,但我敢打赌,你很难在网络的某个地方找到任何没有做NAT的组织。IPv6有340万亿组地址,使得NAT看起来像14个古老的地址th世纪的管道。每个设备都有一个全局可路由的ip地址,策略由防火墙处理。虽然不执行NAT对安全人员来说可能听起来像是异端邪说,但它在IPv6世界的价值确实值得怀疑。典型的网络扫描工具,如NMAP,由于潜在地址的绝对数量,无法扫描IPv6子网。网络侦察攻击将集中在DNS上寻找目标主机。在迁移期间,NAT将用于IPv4和IPv6之间的转换,但在那之后,它的日子就屈指可数了。
你对IPv6有什么计划?等等看还是现在就开始迁移计划过程?点击下方的评论,分享你的想法。