監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉
外貿(mào)ERP

當(dāng)前位置:工程項目OA系統(tǒng) > 行業(yè)ERP > 外貿(mào)ERP

關(guān)于IPv6部署安全性的八點考慮

申請免費試用、咨詢電話:400-8352-114

來源:泛普軟件

2011年2月3日悄無聲息的到來又逝去,這一天看似普通,但對互聯(lián)網(wǎng)人士來說,卻非比尋常,無論他們是否知曉,這一天卻是一個里程碑。在那個周四,互聯(lián)網(wǎng)數(shù)字分配機構(gòu)(IANA)將最后可用的IPv4地址分配殆盡。雖然某些地區(qū)的互聯(lián)網(wǎng)注冊管理機構(gòu)(RIR)還有夠一兩年使用的庫存,但全新IPv4地址分配的時代已基本成為歷史。

既然IPv4已經(jīng)用盡,那么是時候認(rèn)真考慮采用下一代互聯(lián)網(wǎng)協(xié)議IPv6了。當(dāng)前,每小時就會增加一百萬臺新設(shè)備,而IPv6具有128位的地址空間(IPv4具有32 位空間),可以適應(yīng)互聯(lián)網(wǎng)當(dāng)前及未來的發(fā)展需求。實際上,與IPv4的43億個IP地址相比,IPv6可以再增加340萬億萬億萬億地址,足以滿足可預(yù)見未來的全球互聯(lián)網(wǎng)需求。

隨著DNS安全擴展協(xié)議(DNSSEC)的持續(xù)部署,IPv6將為未來互聯(lián)網(wǎng)提供穩(wěn)定而安全的基礎(chǔ)。但是,要實現(xiàn)從IPv4向IPv6的成功過渡,無論是基礎(chǔ)架構(gòu)運營商、服務(wù)提供商,還是應(yīng)用開發(fā)人員與用戶,所有人都必須在一系列工作中團結(jié)合作,這些工作包括:

·支持并開發(fā)IPv6能力,并建立與IPv4相當(dāng)?shù)墓δ?/P>

·調(diào)試并修正那些僅使用IPv6的新軟件與應(yīng)用程序中的問題

·改善與IPv4的交互工作與過渡共存問題

安全性將成為這一工作的關(guān)鍵。IPv6為大多數(shù)互聯(lián)網(wǎng)參與者展示了新的疆界,它的出現(xiàn)也將帶來一些獨特的安全挑戰(zhàn)。雖然下述內(nèi)容并不完全,但它給出了八個需要注意的問題領(lǐng)域,業(yè)界需要在采用IPv6的過程中,不斷地解決這些問題。要知道我們?nèi)匀惶幱诓捎玫某跫夒A段,所以某些風(fēng)險的解決方案只能來自于被實際應(yīng)用所證明的最佳實踐。

* 從IPv4向IPv6的轉(zhuǎn)換過程中,事務(wù)處理(Transaction)可能更容易受到攻擊。由于IPv4與IPv6并非“逐位 (bits on the wire)”地兼容,因此協(xié)議轉(zhuǎn)換就成為更廣泛的部署與采納的一種途徑。從IPv4到IPv6的轉(zhuǎn)換中,當(dāng)轉(zhuǎn)換流通過網(wǎng)絡(luò)時,必然產(chǎn)生需要協(xié)調(diào)事務(wù)處理。設(shè)想一個郵局的信件分揀員,他必須打開每個IPv4信封,再將每封信裝入一個IPv6信封中,以確保它能投遞到正確的地址,此時要修改文件包含的內(nèi)容,從而使之與新的IPv6信封外的信息相符。每做一次這個操作,都給執(zhí)行不善和執(zhí)行不力者提供了一個機會,從而產(chǎn)生或觸發(fā)一個潛在的漏洞。另外,這種方法引入了必須維護事務(wù)處理狀態(tài)的中間環(huán)節(jié)(middle boxes),使網(wǎng)絡(luò)復(fù)雜化,從而危及了端到端的原則。通常情況下,安全人員應(yīng)注意所有轉(zhuǎn)換與事務(wù)處理機制(包括隧道)的安全問題,只有經(jīng)過了徹底評估以后,才能明確地啟用這些機制。

* 大網(wǎng)絡(luò)段既有優(yōu)點也有缺點。IPv6的網(wǎng)絡(luò)段規(guī)模要遠(yuǎn)遠(yuǎn)大于我們現(xiàn)有的網(wǎng)絡(luò)段?,F(xiàn)在,為一個IPv6子網(wǎng)絡(luò)推薦使用的前綴長度為/64 (264),它可以在一個網(wǎng)絡(luò)段中容納約18 x 1018個主機!雖然這能夠?qū)崿F(xiàn)幾乎無限制的LAN長度,但這一規(guī)模也帶來了挑戰(zhàn)。例如,掃描一個IPv6/64塊網(wǎng)絡(luò)的漏洞要花數(shù)年時間,而掃描一個/24的IPv4子網(wǎng)(28)只需花幾秒鐘。既然不可能做完整的掃描,那么比較好的辦法或許是只使用地址的前/118(與一個/22的IPv4中主機數(shù)量相同),縮小要掃描IP的區(qū)間范圍,或者明確地分配掉所有地址,并且暗中拒絕余下的所有地址。這樣便可以做到細(xì)致的IP管理,以及較今天而言更為嚴(yán)格的監(jiān)控。另外還可以預(yù)測到,攻擊者可能將采用被動式域名系統(tǒng)(DNS)分析以及其它偵測技術(shù)來代替?zhèn)鹘y(tǒng)的掃描方法。

* 鄰居發(fā)現(xiàn)及請求都可能使網(wǎng)絡(luò)出現(xiàn)問題。IPv6中的鄰居發(fā)現(xiàn)(Neighbor Discovery)使用了五種不同類型的第6版互聯(lián)網(wǎng)控制信息協(xié)議(ICMPv6),用于多種目的,如在鏈接中包含可確定鄰居的鏈路層地址,清空已失效的緩存值,以及發(fā)現(xiàn)那些想要自己轉(zhuǎn)發(fā)分組數(shù)據(jù)包的鄰居。雖然鄰居發(fā)現(xiàn)提供了很多有用的功能,包括重復(fù)地址檢測(DAD)以及對不可及鄰居的檢測(NUD),但它也給攻擊者提供了很多機會。IPv6中的鄰居發(fā)現(xiàn)攻擊將很快取代IPv4中的同類攻擊,如ARP Spoofing攻擊。一般而言,除非明確地提供并實現(xiàn)了鏈路層訪問控制以及安全機制,否則保持所有端口的關(guān)閉是一個好主意,而且要在不使用IPv6時,將其完全禁用。

* 阻塞大型擴展頭、防火墻與安全網(wǎng)關(guān),可能成為DDoS攻擊者的目標(biāo)。在IPv6中,IP選項功能已被從主頭中移出,而通過一組附加頭來實現(xiàn)。這些附加頭叫做擴展頭,其定義了一組目標(biāo)選項、逐跳躍(hop-by-hop)選項、身份認(rèn)證,以及一個其它選項的數(shù)組。這些擴展頭跟隨著固定為40字節(jié)的IPv6主頭,它們相互鏈接,構(gòu)成一個IPv6分組數(shù)據(jù)包(固定頭 + 擴展頭 + 有效負(fù)載)。有大量擴展頭的IPv6流會淹沒防火墻和安全網(wǎng)關(guān),甚至?xí)率孤酚善鬓D(zhuǎn)發(fā)性能下降,因此成為了DDoS和其它攻擊者的一種潛在動力。在路由器上禁用“IPv6源路由(IPv6 source routing)”可能是防止DDoS威脅的必要方式,并且明確地寫明支持哪種擴展頭,以及檢查網(wǎng)絡(luò)設(shè)備的正確實現(xiàn),這些都很重要。一般而言,IPv6增加了很多需要過濾或區(qū)域性傳播的部件,包括一些擴展頭、組播地址,以及增加了互聯(lián)網(wǎng)控制信息協(xié)議(ICMP)的使用。

* 6to4和6RD代理可能會導(dǎo)致攻擊與濫用行為。6to4及其ISP快速部署的6RD均無需配置專用的隧道,就能使IPv6數(shù)據(jù)包跳出IPv4的空間。但部署IPv6代理服務(wù)器可能會使代理運營商進入一個麻煩的世界,包括發(fā)現(xiàn)式攻擊、欺騙,以及反射式攻擊,而代理運營商自身可能被利用,成為一個攻擊和濫用的“源頭”。

* 對IPv6服務(wù)的支持可能暴露現(xiàn)有的IPv4應(yīng)用程序或系統(tǒng)。有一個局限便是,現(xiàn)有的安全補丁可能僅適用于IPv4支持,而大多數(shù)核心程序在做DNS查表等動作時,偏向于優(yōu)先采用IPv6接口(而不是IPv4),以促進IPv6的更快部署。實際上,IPv6與IPv4之間的這種互動可能使每次DNS查表的流量翻番(同時請求AAAA和A記錄,或更糟糕的情況,即每次都要通過IPv4和IPv6)。為了優(yōu)化用戶體驗,可能產(chǎn)生出大量非必需的DNS流量。OS與內(nèi)容供應(yīng)商在不斷采用措施,以減輕或優(yōu)化這個性能(如:AAAA白名單),但它也增加了系統(tǒng)負(fù)荷和狀態(tài)。另外應(yīng)注意到,使用新的IPv6棧后,肯定會逐步顯現(xiàn)新的漏洞。一個過渡周期內(nèi)長期存在兩個棧,以及路由器、最終系統(tǒng)與網(wǎng)絡(luò)服務(wù)(如DNS)之間的相互依存,顯然會為犯罪分子提供充分施展的空間。

* 很多用戶可能被隱藏在固定地址集后面。被大型網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議(NAT-PT)設(shè)備所隱藏的用戶可能會廢除一些有用功能(如地理定位)或工具,使惡意網(wǎng)絡(luò)行為有了空間,并且讓基于信譽的號碼與命名空間的安全控制問題更為嚴(yán)重。

* 與其它網(wǎng)絡(luò)做隧道操作時,即使IPSec也可能帶來問題。IP安全機制(IPSec)能夠?qū)Πl(fā)送者做出認(rèn)證,提供完全的保護,并且可選采用加密的IP分組數(shù)據(jù)包以提供傳輸數(shù)據(jù)的可信性。IPSec在IPv4中是一個可選功能,而在IPv6中是強制使用的。在隧道模式下(基本上是建立一個網(wǎng)絡(luò)間、主機—網(wǎng)絡(luò)和主機間通信的VPN),整個數(shù)據(jù)包被封裝在一個新的IP包內(nèi),并給它一個新的IP頭。但當(dāng)與某個超出原發(fā)方控制的網(wǎng)絡(luò)建立VPN連接時,則可能產(chǎn)生安全性暴露問題,或被用于漏出數(shù)據(jù)等。由于IPSec要用附加協(xié)議(如互聯(lián)網(wǎng)密鑰交換–IKE)去處理對安全保護以及相關(guān)安全密鑰的協(xié)商與管理,從而增加了復(fù)雜性,因此IPv6初期對IPSec支持的廣泛程度也許并不會超過IPv4。

在IPv6開始廣泛部署且IPv4設(shè)備開始減少以前,還會有一段時間。到那時,我們都將致力于可實現(xiàn)互聯(lián)網(wǎng)第40億臺設(shè)備的協(xié)議。

2月3日這個里程碑的日子已成歷史,我們將別無選擇地去發(fā)展和傳播一些最佳實踐,從而使下一代IP地址更加穩(wěn)定、可靠和安全,而它的開始要依賴網(wǎng)絡(luò)與安全人員的認(rèn)知與知識。

發(fā)布:2007-04-29 10:20    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普外貿(mào)ERP其他應(yīng)用

制藥行業(yè)ERP 機械設(shè)備ERP 煤炭行業(yè)ERP 采礦行業(yè)ERP 集團企業(yè)ERP 餐飲行業(yè)ERP 紡織行業(yè)ERP 鋼管行業(yè)ERP 電力行業(yè)ERP 化工行業(yè)ERP 汽車行業(yè)ERP 摩托車ERP 酒店行業(yè)ERP 汽配行業(yè)ERP 手機制造ERP 膠粘帶ERP 食品行業(yè)ERP 手袋箱包ERP 皮革行業(yè)ERP LED行業(yè)ERP 鑄造行業(yè)ERP 陶瓷行業(yè)ERP 造紙行業(yè)ERP 肉食行業(yè)ERP 內(nèi)燃機工程ERP 房地產(chǎn)ERP 化妝品美容ERP 石材加工ERP 電器行業(yè)ERP 通訊行業(yè)ERP 標(biāo)準(zhǔn)件ERP 珠寶行業(yè)ERP 儀器儀表ERP 快速消費品ERP 太陽能電池ERP 農(nóng)業(yè)ERP 磁材行業(yè)ERP 中小企業(yè)ERP 鋼結(jié)構(gòu)ERP 小家電ERP 薄膜包裝ERP 石油行業(yè)ERP 百貨行業(yè)ERP 煙草行業(yè)ERP 金融行業(yè)ERP 乳制品ERP 石化行業(yè)ERP 電梯行業(yè)ERP 美容連鎖ERP 電纜行業(yè)ERP 涂料企業(yè)ERP 玩具ERP系統(tǒng) 醫(yī)療器械ERP 印刷企業(yè)ERP 鐘表ERP 薄板鋼帶ERP 電動車ERP 零售行業(yè)ERP 中國軟包ERP 裝飾裝潢ERP 流通行業(yè)ERP 租賃行業(yè)ERP 鋁板行業(yè)ERP 教育行業(yè)ERP 裝修行業(yè)ERP 物流行業(yè)ERP 工程公司ERP 機電行業(yè)ERP 服務(wù)企業(yè)ERP 軟件企業(yè)ERP 電腦行業(yè)ERP 商貿(mào)行業(yè)ERP 針織行業(yè)ERP 特殊行業(yè)ERP 銷售行業(yè)ERP 快遞行業(yè)ERP 設(shè)計行業(yè)ERP 重工行業(yè)ERP 商業(yè)ERP系統(tǒng) 校園ERP系統(tǒng) 藥品ERP系統(tǒng) 家裝ERP 生鮮ERP系統(tǒng) 門店ERP系統(tǒng) 制衣ERP系統(tǒng) 商場ERP系統(tǒng) 線路板ERP 網(wǎng)店ERP 旅行社ERP 保險行業(yè)ERP 能源行業(yè)ERP 廣告行業(yè)ERP 培訓(xùn)ERP 批發(fā)行業(yè)ERP 銀行ERP 政府ERP 漁業(yè)ERP 畜牧行業(yè)ERP 飼料行業(yè)ERP 企業(yè)ERP 物業(yè)ERP 房屋中介ERP 商業(yè)銀行ERP 園藝行業(yè)ERP 水資源管理軟件 財務(wù)公司ERP 中央銀行ERP 醫(yī)藥行業(yè)ERP 傳媒行業(yè)ERP 服裝ERP 鞋業(yè)ERP 印刷ERP 家具ERP 制造業(yè)ERP 機械ERP 混凝土ERP 生產(chǎn)ERP系統(tǒng) 倉庫ERP系統(tǒng) 外貿(mào)ERP 電子行業(yè)ERP 五金ERP 模具ERP 電商ERP系統(tǒng) 農(nóng)副加工ERP 食品制造業(yè)ERP 飲料制造業(yè)ERP 煙草制品業(yè)ERP 服裝鞋帽制造ERP 皮革毛皮及其羽絨制品業(yè)ERP 木材加工ERP 人造板制造ERP 文教體育用品ERP 醫(yī)藥制造業(yè)ERP 化學(xué)纖維制造業(yè)ERP 橡膠制品業(yè)ERP 塑料制品業(yè)ERP 非金屬礦物制品業(yè)ERP 黑色金屬冶煉加工業(yè)ERP 有色金屬冶煉加工業(yè)ERP 金屬制品業(yè)ERP 通用設(shè)備制造業(yè)ERP 專用設(shè)備制造業(yè)ERP 交通運輸設(shè)備制造業(yè)ERP 電氣機械制造ERP 通信設(shè)備制造業(yè)ERP 油氣開采ERP 儀器儀表機械制造業(yè)ERP 工藝品及其他制造業(yè)ERP 危廢固廢處理行業(yè)erp 石油加工行業(yè)ERP 正餐服務(wù)行業(yè)ERP 綜合零售行業(yè)ERP 紡織服裝批發(fā)行業(yè)ERP 農(nóng)產(chǎn)品ERP 林業(yè)ERP 有色金屬礦采選行業(yè)ERP 環(huán)境保護管理軟件 電信傳輸服務(wù)行業(yè)erp 水上運輸行業(yè)ERP 公共設(shè)施管理行業(yè)ERP 衛(wèi)生行業(yè)ERP 鐵路運輸行業(yè)ERP 商務(wù)服務(wù)行業(yè)ERP 體育行業(yè)ERP 住宿行業(yè)ERP 出版社行業(yè)ERP 高等教育行業(yè)ERP 娛樂行業(yè)ERP 居民服務(wù)行業(yè)ERP 體育場館行業(yè)ERP 電力熱力生產(chǎn)供應(yīng)ERP 證券行業(yè)ERP 倉儲行業(yè)ERP 游樂園行業(yè)ERP 航空運輸行業(yè)ERP 醫(yī)院ERP管理系統(tǒng) 社會保障行業(yè)ERP 中藥材種植行業(yè)ERP 生產(chǎn)和供水行業(yè)ERP 社會福利行業(yè)ERP 農(nóng)林牧漁行業(yè)ERP 金屬家具制造ERP 醫(yī)療器械批發(fā)ERP 修理與維護服務(wù)行業(yè)ERP 研究與試驗發(fā)展行業(yè)ERP 農(nóng)業(yè)服務(wù)行業(yè)ERP 造紙及紙制品行業(yè)ERP 專業(yè)技術(shù)服務(wù)行業(yè)ERP 學(xué)前教育ERP 木質(zhì)家具制造ERP 農(nóng)畜批發(fā)ERP 文化藝術(shù)軟件 養(yǎng)殖業(yè)ERP 化學(xué)原料ERP 裝卸搬運軟件 紡織制成品ERP 公共軟件服務(wù)系統(tǒng) 人壽保險ERP 郵政行業(yè)ERP 典當(dāng)行業(yè)ERP 采鹽行業(yè)ERP 計算機維修ERP 塑料家具制造ERP 初等教育行業(yè)ERP 中等教育行業(yè)ERP 化肥行業(yè)ERP 職業(yè)教育行業(yè)ERP