我知道IPv6安全的议题可能会看到在未来几年许多变化来,因为它是这样一个动态发展的技术领域。其中之一是没能到我们的书的主题IPv6安全是思科入侵防御系统(IPS)6.2。2008年11月该书已到印刷过程中,当思科宣布其IPS软件的新版本。因此,我一直急于测试软件,看到了新的IPv6功能。
其中一个,我遇到的问题是,IPS 6.2不支持思科4215 IPS传感器。事实上,4215是终止销售和生命的结束(EOS / EOL)。这是唯一的传感器模型,我在我们的实验室随时获得。该发行说明对于IPS 6.2(1)E3确认的4215已经扔在一旁,我们将有我们的实验室升级到当前的逗留。所以,我没有测试它的方式,但我一直在阅读上的软件版本和Cisco的文件4200个IPS传感器。
下面是一些链接到重要文件,如果你要部署这个最新的IPS 6.2软件,你应该阅读。IPS 6.2安装指南
思科司机纳入IPv6功能到他们的IPS传感器是谁有一个任务是有某种形式的IPv6能力的只有购买产品美国政府客户的把握业务。而“支持IPv6的”的定义已经被激烈争论,采购人员寻找在产品说明以帮助证明购买的话IPv6的地方。思科表示,他们有“对IPv6的支持”,“思科IPS软件提供保护IPv4和IPv6网络”,“原子IP先进的发动机提高了检测能力的思科IPS与本地IPv6检测能力平台”和“IME过滤,分组和报告要素支持IPv6地址和IPv4地址。”
思科IPS 6.2支撑在4200系列IPS传感器,ASA的AIP模块,将IDSM-2,AIM-IPS的中断服务程序,而NME-IPS。思科IPS设备管理器(IDM)或Cisco IPS经理快递(IME)仍然可以用来管理IPS除了CLI 6.2传感器。
IPS 6.2仍然具有相同的原子IPv6的签名,1600至1607年为以前版本的IPS。然而,IPS 6.2增加了配置IPv6地址的能力。您可以配置使用的关键主机的IPv6地址的目标价值分级(TVR)。
问题是,在IPv6功能仅支持4200个设备IPS传感器。这是在记录发行说明。问题是,与AIM-IPS,ASA AIP-SSM,IDSM-2,和NME-IPS没有任何能力来从他们的基地路由器/交换机或防火墙平台发送到这些模块的IPv6流量。IPS的6.2软件可以检查IPv6流量,但如果你不能从路由器发送的IPv6通信的模块,则模块不能甚至开始检查通信对IPv6的签名。在Cisco Catalyst交换机的VACLs不支持处理IPv6流量。因此,要获得唯一的选择IPS从交换机到ISDM-2 6.2的流量是使用交换机端口分析器(SPAN)端口。
詹姆Heary在他的题为博客文章写道:这个“另一个伎俩思科交换机端口跨越和捕捉交通”和“VACL捕获提供思科客户SPAN端口的数量不受限制“。
而IPS 6.2发行说明还记载与IPv6相关的业务服务器的其他注意事项。发行说明中提到,“AD不支持IPv6流量;只有IPv4流量被定向到AD处理器”和‘IPv6的不支持以下事件动作:请求块主机,请求块连接,或请求速率限制’。另外还有一点是与期号的发行说明文件的IPS 6.2软件中的错误“CSCsj14632-IP碎片通过与IPv4中的IPv6隧道,可能会错过的攻击。”这个警告似乎表明,如果IPv6的流量是在IPv4隧道封装的IPS传感器将无法检查通信。这不一定是一个惊喜,因为它已经众所周知,封装IPv6流量将有助于避免由检测防火墙和入侵防御系统。
我认为,思科正在朝着正确的方向将更多的IPv6功能到他们的安全产品移动。即使在IPS 6.2 IPv6的支持并不完美,但我觉得它更是大多数企业需要在目前的时间,因为IPv6的迁移步伐缓慢的。我认为,大多数组织需要完整的IPv6 IPS功能的时候,思科将有一个产品,远远领先于其竞争对手。我期待着检查出的新的IPv6安全特性,思科的发展。
斯科特