斯科特·霍格,cisco批准的IPv6安全指南的合著者,讨论了网络如何可以在所有者不知情的情况下被IPv6流量影响
尽管他承认企业还没有接受IPv6,安全专家Scott Hogg说,这并不意味着IT主管们可以忽略下一代互联网协议可能带来的安全问题。毕竟,他指出,操作系统如微软VistaLinux已经支持IPv6,因此任何使用它们的网络都可能在运营商不知情的情况下处理IPv6流量。在这个问答环节,Hogg,他也是cisco认证的共同作者IPv6安全旅行指南,并定期为有个足球雷竞技app网络世界思科子网的博客,谈到了网络运营商可以采取的措施,以确保他们不会无意中让他们的网络被秘密IPv6数据包破坏。
你说很多组织可能已经在他们的网络上运行了IPv6,而没有意识到这一点。你能举个例子说明这是怎么发生的吗?
如果他们有支持IPv6的主机,这可能会发生,这意味着可能他们自己的网络本身并不运行IPv6,但流量可以通过IPv4系统进行隧道传输。如果你的网络上有运行Vista的机器,那么它将同时运行两种协议。即使你的网络没有使用IPv6栈,也有方法唤醒IPv6栈。例如,Windows XP系统可以配置为运行IPv6,因此黑客可以通过感染你的机器蠕虫来改变你的设置来启动IPv6。
你能更详细地解释一下你所说的通过IPv4系统“挖隧道”的IPv6流量是什么意思吗?
确定。所以现在的IPv6地址还没有IPv4地址多。当你需要在IPv4网络的海洋中让两个IPv6孤岛相互通信时,问题就出现了。因此,解决方案是我们将IPv6通信封装在内部,而外部看起来就像IPv4通信,这样就可以通过IPv4网络发送。如果我有一个简单的防火墙,它只看到一个IPv4盒子,而没有对它进行足够的解析,以发现里面还有其他东西,那么这就会带来安全隐患。防火墙没有足够仔细地观察封装的数据包,因为现在典型的防火墙没有能力打开这个胶囊。一些供应商已经开始合作解决这个问题,但他们还没有做到。
在确保支持IPv4和IPv6的双栈网络安全方面有哪些独特的挑战?
如果某个应用程序存在安全问题,黑客可以使用IPv4或IPv6对其进行攻击,那么您的脆弱性就会增加一倍。因此,如果黑客攻击一个运行两个协议的系统,他们可以得到其中任何一个。例如,他们可以找到运行IPv4的主机,然后使用IPv6作为秘密通道,从而利用一种协议实现另一种协议。
IPv6网络的安全挑战与IPv4网络有何不同?
我已经提到的一个关键区别是,IPv6要求我们使用可以创建黑客可利用的隧道的迁移技术。IPv6与IPv4的另一个不同之处是,IPv6的数据包使用扩展报头,通过简化数据包报头结构来提高性能。IPv6扩展标头本质上是可选的标头,让您指定某些方式,您希望数据包的行为。例如,您可能想要通过网络上的某个路径路由数据包,或者您可能有一个碎片头来分解数据包,然后重新组装它。在IPv4中,我们必须将所有这些头包含在一个头中,但在IPv6中它们是可选的。而且因为它们是可选的,安全协议需要解析一个头部变量集。
最后,如果一家公司来找你,让你帮他们做一个清单,在转换到IPv6之前他们需要做的事情,你会告诉他们什么?
在很多方面,这与他们保护IPv4网络的做法非常相似。他们会先保护周边地区。然后,他们将需要加强他们的网络设备,并确保他们的路由器和交换机运行IPv6之前,打开他们的特定区域的网络。一般来说,他们的迁移策略应该从核心开始。使用与从核心到边缘保护IPv4网络相同的做法。