快速业务通道

IPv6的安全风险分析

作者 佚名技术 来源 网络技术 浏览 发布时间 2012-07-02

关于IPv6,我们比较了它与IPv4相比的差异和优势。但是有一点使我们不曾触及的,那便是其安全性。

IT专家必须记住IPv6可以追溯到上世纪九十年代,也就是许多现在的安全威胁演化或广泛传播之前。因此,IPv6有自己已知的和未知的安全漏洞需要解决。

在这篇文章中,我们提到了IPv6如何使用SLAAC而不是DHCP为端点提供IP地址。只有当你认识到许多管理员将DHCP snooping作为了解网络设备的方式时,你才会明白这是个很棒的系统。带有DHCP snooping的LAN交换机只允许访问授权IP或是MAC地址。此外,该功能也可以让管理员追踪主机地址并阻止未授权的DHCP服务器被安装到网络中。

不过,使用IPv6的话,就没有DHCP服务器可在给定IP地址及其相关MAC地址间查询链接信息。相反,IPv6使用SEND来保护邻居发送协议安全,通过若干策略的使用保护主机以及路由,其中包括加密生成的地址,有RSA密钥保护的网络发现信息以及信息时间戳。

思科安全系统单位副主席兼总经理Pat Calhoun透露了一个坏消息——很多目前领先的操作系统,包括微软和苹果公司的系统都不支持SEND技术。

不过有很多方法可以填补这一安全空白。通用的方法是在交换机端口部署一个访问控制列表(ACL),大多数供应商都支持这一性能,因为该性能在IPv4下同样可以使用,不过 IPv6中更为复杂的标头使得ACL在IPv4下部署起来要复杂一些。有些供应商部署的是室内方案,如思科使用Router Advertisement Guard。但是,即便是安全补丁也可能存在漏洞。

另一个存在危险的区域是隧道技术。IPv4和IPv6协议之间的隧道技术虽然加强了两个网络的互操作性,但是如果它没有受到监管就会是另一个安全隐患。在这一的隧道中,恶意链接可能对未经合理配置的IPv4系统中的IPv6数据流加以利用。

据Meyran透露,一些联网硬件声称自己具备IPv6安全性,但难免言过其实。很多情况下,做好IPv6的准备意味着下载和安装可能不遵循行业标准IPv6分支机构的特殊补丁,因此可能会删除某些安全性能。

入侵防御装置将深层数据包检测放入以硬件为基础的引擎中。只是因为这些设备声称自己支持IPv6并不意味着该装置的深层数据包检测引擎也为其提供支持。IPv4防火墙被用来卸下IPv6数据,因为新协议完全属于外来物。这意味着缺乏IPv6安全配置的情况,别人可能在网络上运行恶意的IPv6数据流。

通常,IPv6中已经包含了合适的安全工具,但是用户需要学习如何配置和管理新协议才能将其优势发挥到极致。

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号