一些最近的网络世界文章已有个足球雷竞技app经写了一些关于组织在其上有IPv6流量的事实,即使他们没有在其主机或网络设备上明确启用IPv6。我不希望你过度反应这个消息,或者不必要地传播恐惧 - 不确定 - 怀疑关于IPv6。就协议进行了而言,它并不与IPv4不同。有些步骤您可以在准备迁移到IPv6时保护您的组织。
如果您在7月6日至13日的网络世界打印副本,第26卷,23号有个足球雷竞技app,您将看到由Carolyn Duffy Marsan的“隐藏IPv6交通风险”的前封面上的文章。如果您阅读网络世界的在线版本,您可能已经阅读了标题的同一篇文章“有个足球雷竞技app隐形IPv6流量造成严重的网络威胁“也是Carolyn Duffy Marsan。Carolyn还在网上写出了另一个标题的网络世界网上文章”有个足球雷竞技app最大的IPv6基于IIO的威胁五个威胁“。
这些文章涵盖了许多组织在其网络上有某种形式的IPv6流量,并且他们甚至没有意识到这一点。由于许多现代操作系统默认启用了IPv6,并且被配置为作为首选协议,这些计算机即使在IPv4网络上也能够使用IPv6进行通信。隧道转换机制6to4,teredo和isatap可以允许IPv4-ops-ock,当用户在IPv4接入网络上时,可以访问对其他IPv6的能力系统。因此,如果DNS响应包含IPv6 AAAA资源记录,则支持IPv6的主机将尝试与该IPv6主机建立连接。如果用户没有本机IPv6连接,则计算机可以尝试在IPv4数据包内部的IPv6数据包隧道,具体取决于操作系统和主机设置。
网络管理员的问题缺乏对遍历其网络的流量的理解并不新鲜。几十年来,网络管理员已经忙碌,以至于它们通常不需要时间深入了解其网络上的数据流量。网络一切正常的事实是祝福。使用简单的Ping用于测试,然后它截止到下一个火钻。此IPv6流量在其他类型的IPv4数据包中隧道隧道隧道隧道隧道隧道进行了不容易检测到。如物品中提到的,IPv6分组可以在IPv4协议41,IPv4 / UDP端口3544或甚至在更高层协议内进行隧道隧道进行隧道。许多防火墙和IPS都不看出隧道的IPv6流量。因此,周边是不稳定的,以发现这些出站连接。因此,我们必须为网络管理员提供信用,因为这些IPv6数据包不容易识别。大多数网络管理工具具有更多IPv4功能,其制造商尚未开发所需的IPv6监控功能。
不要被警告,但相当了解遍历网络的流量。您只需要执行一些数据包捕获,并更加关注进入和退出周边的流量。在耗尽之前并启动阻止所有隧道IPv6流量,您应该知道当前的隧道IPv6流量如何适合您的IPv6迁移策略。如果您今天禁用它,那么当您决定将过渡到IPv6正式化时,您需要删除这些过滤器。
您也不需要担心网络上的Rogue IPv6设备。许多计算机操作系统默认具有启用IPv4和IPv6协议栈。但是,大多数网络设备都需要明确配置IPv6。如果您发现有人在没有知识的情况下在网络设备上启用IPv6或者最终用户计算机将ICMPv6路由器广告(RA)消息发送ICMPv6路由器广告(RA)消息,则应开始担心。
几年前,IPv6类型的0路由标题(RH0)有很多重点。RFC 5095于2007年12月标准化以来,RH0已被弃用。旧网络设备默认转发RH0数据包以及处理RH0数据包的终端节点只是需要使用过滤或软件禁用此功能。任何较新的设备都不会转发或处理这些数据包和配置设置,以完全禁用包含RH0的数据包的处理和转发。除非您今天部署IPv6,否则您无需关注此功能。
也没有必要害怕ICMPv6协议或IPv6大量使用多播的事实。虽然IPv6的这些改进允许自动配置,邻居发现,路径MTU发现(PMTUD),碎片化和高效数据包转发,但它们不是邪恶的。相反,它是如何由导致关注的攻击者使用这些协议。
我建议您使用协议分析器,看看您是否可以在网络上找到此流量。在网络的周边特别注意。看起来就在防火墙内,并在防火墙的外面。你发现的可能是启发。我会鼓励您了解有关IPv6的更多信息,以及与您最熟悉的IP版本不同的协议的独特特征。有些方法可以保护您的网络从这些IPv6特定的威胁中保护您的网络。他们中的大多数都在我们的书中详细说明IPv6安全。通过您对协议的理解,您将知道如何将威胁放入角度。凭借IPv6的教育,可以创建有效策略来帮助缓解IPv6安全漏洞。
斯科特