如何防止IPv6的VPN突围

企业不知道IPv6的发挥远程用户的设备的作用，运行这些机器可能访问尽管使用被禁网站的风险vpn这意味着限制他们访问的内容。

这个漏洞源于这样一个事实:一些远程访问VPN被配置为只在IPv4流量通过VPN集中器时检查和应用安全控制，而没有为IPv6流量提供类似的保护。

这使得IPv6流量可以直接访问互联网，而不需要应用这些控制。众所周知，IPv6 VPN爆发，这个问题是众所周知的，但经常被忽视。

IPv6 VPN突破有解决方案，但第一步是理解它以便理解它的重要性。

为什么IPv6的VPN突破被忽视

许多企业没有意识到通过VPN访问他们网络的设备使用IPv6的频率有多高。用于远程访问公司网络的手机、平板电脑和笔记本电脑通常支持IPv6，就像宽带和移动服务一样，它们可能会使用IPv6访问互联网。

其结果是，企业往往不承认作为IPv6的安全系数。他们配置自己的VPN检查仅IPv4流量，它可以给自由，可以证明是危险的企业网络，设备和数据访问IPv6站点的移动设备。

该方法的IPv4保护工作，一旦VPN已经建立，VPN集中器检测流量开往开往通过企业已配置的策略界限的判断出目的地互联网和堵塞交通。（参见图1）。

有个足球雷竞技app网络世界/ IDG

大多数企业VPN执行所谓没有split-tunneling通过强制所有的IPv4连接，穿越VPN来增强安全性。由于没有拆分隧道，一旦VPN连接已经建立，远程设备不能让广大的互联网单独的连接。

这通常通过通过VPN隧道向VPN客户机发布IPv4默认路由(0.0.0.0/0.0.0.0)来实现。这个IPv4默认路由被插入到VPN客户机的路由表中，如图1中笔记本屏幕上的红色字段所示。因此，当终端用户运行VPN时，他们对IPv4网站的所有连接尝试都要通过企业内部网进行检查。

安全问题是，公司通常不应用VPN上的no split-tunneling设置来包括IPv6默认路由，也在VPN客户端路由表(::/0)中，在图中由笔记本电脑屏幕上的蓝色字段表示。这使得IPv6通信有了一条直接通往互联网的路径，从而绕过了任何企业互联网周边的安全措施。

企业要面对的事实是他们已经在他们的网络和移动员工手中IPv6的设备，所以他们应该采取积极的办法，消除这个安全漏洞。

如何防止IPv6的VPN突围

产生最佳结果的推荐方法是通过在VPN上和公司范围内启用IPv6来控制这种情况。企业应该开始启用IPv6连接他们的互联网周长，然后建立IPv6连接到他们的vpn。现代企业周边防火墙和他们的VPN软件已经能够使用IPv6，它只需要启用和配置。当它出现时，交通流将如图2所示。

有个足球雷竞技app网络世界/ IDG

第二个选项是使用VPN客户端，防止当IPv6自身的泄漏。例如，思科的AnyConnect客户端搭配思科ASA安全设备可以控制拆分隧道是如何支持IPv6的客户端配置。同样，帕洛阿尔托网络GlobalProtect VPN和Fortinet公司SSL VPN的FortiClient都支持IPv6。这只是启用IPv6，并与VPN策略控制它的问题。

不幸的是，一些组织采用的方法是在建立VPN隧道时中断IPv6连接。在这种情况下，VPN服务器向VPN客户机的路由表发布IPv6默认路由(::/0)，将所有IPv6连接通过VPN隧道。然而，当VPN和公司内部网络仅为ipv4时，所有IPv6连接都将被删除。如果企业没有到VPN的IPv6连接，就不应该宣传这种IPv6默认路由，因为这会导致所有试图访问使用IPv6的应用程序的VPN客户端出现应用程序连接问题。需要访问启用了ipv6的站点的用户最初会遇到连接失败，然后由于客户端快速回退到IPv4而延迟。

第三个选择是使用域名系统(DNS)，以防止IPv6 VPN爆发。在这种情况下，将保留仅使用ipv4的VPN，但所有DNS地址解析将被迫通过隧道进行。IPv6 DNS查询将被压制，但IPv4查询将会成功。

这种方法的缺点是，当IPv6 DNS解析和连接尝试超时并回退到IPv4时，一些支持IPv6的应用程序的性能会很差。这也使得应用程序问题的故障排除更加困难，因为IT管理员需要查找可能使用IPv4和/或IPv6的应用程序，并尝试将问题与DNS、连接、VPN策略和VPN客户端配置隔离开来。

较长的企业等待打造出支持IPv6的企业远程接入VPN，越差的IPv6 VPN突破的问题得到。最终用户设备将越来越多地使用IPv6，少和少IPv4流量会回来通过企业VPN。企业应该意识到的IPv6 VPN的突破问题，并努力积极采取措施，使IPv6在他们的互联网范围以及远程访问vpn。