6月6日,全球IPv6网络正式启动(World IPv6 Launch)。当天,主要的内容和网络服务供应商开始永久启用IPv6支持, 创造了本地IPv6流量高峰,同时也采用6in4和Teredo等链路协议。从促进IPv6使用的目的来看,大会是非常成功的。但是当IPv6发布日已经过去,如何处理IPv6流量的安全问题却还没有解决。
首要的安全问题是黑客可利用IPv6链路技术隐藏在IPv4流量中,产生了一条没有防护的进出企业网络的通道。关闭这些通道需要了解IPv6转换机制的运作及其可视性。
要理解机构需要实施IPv6的原因是很容易的。简单来说,就是第一个互联网协议版本IPv4空间耗尽。每个与网络相连的设备都有固定的IP地址,IPv4协议允许32位的IP地址,也就是232 个的可能地址,而IPv6则将IP地址数量增加到2128。虽然目前IPv4运行良好,但持续增长的网络连接设备终会将其空间消耗殆尽。IPv6也在其他方面对IPv4进行了优化,比如说,简化地址分配。
但是启用IPv6对网络运营者还许多其他的影响。过去,企业一直重点保护IPv4网络,现在他们必须投入相同的力度在IPv6的运行上。安全管理员需要学习IPv6新协议的基本内容,以应对变化带来的挑战。在这方面,网上公布的最佳实践是美国国家标准和技术研究所 (National Institute of Standards and Technology)的纲要。
如果安全设备支持IPv6,现在就是启用它的时候。一些操作系统,诸如Windows Vista和Windows 7 中IPv6转换机制是默认设置。这意味着IT部门并不知道正在运行IPv6,最终让使用户绕开防火墙和网络入侵防御系统(IPS)。
这些链路通过启用IPv6主机和路由器,在IPv4互联网上与其他IPv6设备连接来运行。链路的问题在于,它们可以穿过防火墙——攻击者或许能逃出企业安全控制并连接到企业网络内部资源。因此,使用如6 to 4的链路协议支持转换到IPv6需要慎重考虑,尽可能保持在最低限度。
事实情况是,IPv6可能在企业不知情的情况下,已经在网络中运行,且可能被僵尸网络和黑客用作隐蔽通道。虽然企业可能不会主动在网络中运行IPv6,但是,他们的安全基础设置应具备检测IPv6的流量的功能。毕竟,你不能阻止你无法看到的。
谈及保护IPv6部署,最重要的是可视性。企业需要部署支持IPv6并使IPv6运作的安全产品。在某些情况下,这可能需要升级,例如,传统的入侵防御系统(IPS)和防火墙,就可能已经无法检测到IPv6流量。可喜的是,在过去的几年中,许多主要的防火墙和网络安全厂商已经增加了对IPv6的支持。尽管如此,企业仍应向供应商反应,以确保产品提供了他们所需的所有功能,并且开始在他们的环境中应用。被认可的IPv6测试方案有NIST的USGv6 Profile和测试计划。
随着越来越多的企业部署IPv6,管理员需要特别注意转换机制和设备配置,以避免向网络开放未经授权的途径。保护网络安全首要关键是监控所有网络的流量,如果管理员发现未经授权的链路,那么他们要立即关闭这些链路避免被利用为攻击流量。IPv6的必然性意味着企业需要现在便开始采取措施来支持其安全使用。
Check Point认为,对于很多企业和全球服务提供商来说,过渡至IPv6并部署可以同时为IPv6和IPv4提供保护的网络安全解决方案至关重要。企业应该清楚地认识到这次迁移所带来的安全挑战。客户想要弥补协议转换带来的安全缺口,最直接的方法就是采用获得IPv6标识认证的安全产品。
在向IPv6过渡的浪潮中,安全厂商也在一直在寻求不断满足客户实施需求的解决方案。例如,Check Point R75.40软件刀片和 GAiA 统一的操作系统(OS)就通过了UNH互操作性实验室(UNH Interoperability Laboratory)的评测,并获得了IPv6论坛授予的第二阶段(金)标识(Phase Two (Gold) Logo)。这表示此两款产品包含所有强制的IPv6核心协议,并且能够与其他IPv6 和 IPv4实施方案互相操作,满足IPv6标识认证委员会的所有技术要求。Check Point R75.40,GAiA和新型安全设备能够轻松与新版本的网络协议实现互相操作,让客户无缝且安全地过渡到IPv6时代。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:保护IPv6部署 警惕隐藏的IPv6流量