當(dāng)前位置:工程項目OA系統(tǒng) > 行業(yè)ERP > 外貿(mào)ERP
關(guān)于IPv6部署安全性的八點考慮
2011年2月3日悄無聲息的到來又逝去,這一天看似普通,但對互聯(lián)網(wǎng)人士來說,卻非比尋常,無論他們是否知曉,這一天卻是一個里程碑。在那個周四,互聯(lián)網(wǎng)數(shù)字分配機構(gòu)(IANA)將最后可用的IPv4地址分配殆盡。雖然某些地區(qū)的互聯(lián)網(wǎng)注冊管理機構(gòu)(RIR)還有夠一兩年使用的庫存,但全新IPv4地址分配的時代已基本成為歷史。
既然IPv4已經(jīng)用盡,那么是時候認(rèn)真考慮采用下一代互聯(lián)網(wǎng)協(xié)議IPv6了。當(dāng)前,每小時就會增加一百萬臺新設(shè)備,而IPv6具有128位的地址空間(IPv4具有32 位空間),可以適應(yīng)互聯(lián)網(wǎng)當(dāng)前及未來的發(fā)展需求。實際上,與IPv4的43億個IP地址相比,IPv6可以再增加340萬億萬億萬億地址,足以滿足可預(yù)見未來的全球互聯(lián)網(wǎng)需求。
隨著DNS安全擴展協(xié)議(DNSSEC)的持續(xù)部署,IPv6將為未來互聯(lián)網(wǎng)提供穩(wěn)定而安全的基礎(chǔ)。但是,要實現(xiàn)從IPv4向IPv6的成功過渡,無論是基礎(chǔ)架構(gòu)運營商、服務(wù)提供商,還是應(yīng)用開發(fā)人員與用戶,所有人都必須在一系列工作中團結(jié)合作,這些工作包括:
·支持并開發(fā)IPv6能力,并建立與IPv4相當(dāng)?shù)墓δ?/P>
·調(diào)試并修正那些僅使用IPv6的新軟件與應(yīng)用程序中的問題
·改善與IPv4的交互工作與過渡共存問題
安全性將成為這一工作的關(guān)鍵。IPv6為大多數(shù)互聯(lián)網(wǎng)參與者展示了新的疆界,它的出現(xiàn)也將帶來一些獨特的安全挑戰(zhàn)。雖然下述內(nèi)容并不完全,但它給出了八個需要注意的問題領(lǐng)域,業(yè)界需要在采用IPv6的過程中,不斷地解決這些問題。要知道我們?nèi)匀惶幱诓捎玫某跫夒A段,所以某些風(fēng)險的解決方案只能來自于被實際應(yīng)用所證明的最佳實踐。
* 從IPv4向IPv6的轉(zhuǎn)換過程中,事務(wù)處理(Transaction)可能更容易受到攻擊。由于IPv4與IPv6并非“逐位 (bits on the wire)”地兼容,因此協(xié)議轉(zhuǎn)換就成為更廣泛的部署與采納的一種途徑。從IPv4到IPv6的轉(zhuǎn)換中,當(dāng)轉(zhuǎn)換流通過網(wǎng)絡(luò)時,必然產(chǎn)生需要協(xié)調(diào)事務(wù)處理。設(shè)想一個郵局的信件分揀員,他必須打開每個IPv4信封,再將每封信裝入一個IPv6信封中,以確保它能投遞到正確的地址,此時要修改文件包含的內(nèi)容,從而使之與新的IPv6信封外的信息相符。每做一次這個操作,都給執(zhí)行不善和執(zhí)行不力者提供了一個機會,從而產(chǎn)生或觸發(fā)一個潛在的漏洞。另外,這種方法引入了必須維護事務(wù)處理狀態(tài)的中間環(huán)節(jié)(middle boxes),使網(wǎng)絡(luò)復(fù)雜化,從而危及了端到端的原則。通常情況下,安全人員應(yīng)注意所有轉(zhuǎn)換與事務(wù)處理機制(包括隧道)的安全問題,只有經(jīng)過了徹底評估以后,才能明確地啟用這些機制。
* 大網(wǎng)絡(luò)段既有優(yōu)點也有缺點。IPv6的網(wǎng)絡(luò)段規(guī)模要遠(yuǎn)遠(yuǎn)大于我們現(xiàn)有的網(wǎng)絡(luò)段?,F(xiàn)在,為一個IPv6子網(wǎng)絡(luò)推薦使用的前綴長度為/64 (264),它可以在一個網(wǎng)絡(luò)段中容納約18 x 1018個主機!雖然這能夠?qū)崿F(xiàn)幾乎無限制的LAN長度,但這一規(guī)模也帶來了挑戰(zhàn)。例如,掃描一個IPv6/64塊網(wǎng)絡(luò)的漏洞要花數(shù)年時間,而掃描一個/24的IPv4子網(wǎng)(28)只需花幾秒鐘。既然不可能做完整的掃描,那么比較好的辦法或許是只使用地址的前/118(與一個/22的IPv4中主機數(shù)量相同),縮小要掃描IP的區(qū)間范圍,或者明確地分配掉所有地址,并且暗中拒絕余下的所有地址。這樣便可以做到細(xì)致的IP管理,以及較今天而言更為嚴(yán)格的監(jiān)控。另外還可以預(yù)測到,攻擊者可能將采用被動式域名系統(tǒng)(DNS)分析以及其它偵測技術(shù)來代替?zhèn)鹘y(tǒng)的掃描方法。
* 鄰居發(fā)現(xiàn)及請求都可能使網(wǎng)絡(luò)出現(xiàn)問題。IPv6中的鄰居發(fā)現(xiàn)(Neighbor Discovery)使用了五種不同類型的第6版互聯(lián)網(wǎng)控制信息協(xié)議(ICMPv6),用于多種目的,如在鏈接中包含可確定鄰居的鏈路層地址,清空已失效的緩存值,以及發(fā)現(xiàn)那些想要自己轉(zhuǎn)發(fā)分組數(shù)據(jù)包的鄰居。雖然鄰居發(fā)現(xiàn)提供了很多有用的功能,包括重復(fù)地址檢測(DAD)以及對不可及鄰居的檢測(NUD),但它也給攻擊者提供了很多機會。IPv6中的鄰居發(fā)現(xiàn)攻擊將很快取代IPv4中的同類攻擊,如ARP Spoofing攻擊。一般而言,除非明確地提供并實現(xiàn)了鏈路層訪問控制以及安全機制,否則保持所有端口的關(guān)閉是一個好主意,而且要在不使用IPv6時,將其完全禁用。
* 阻塞大型擴展頭、防火墻與安全網(wǎng)關(guān),可能成為DDoS攻擊者的目標(biāo)。在IPv6中,IP選項功能已被從主頭中移出,而通過一組附加頭來實現(xiàn)。這些附加頭叫做擴展頭,其定義了一組目標(biāo)選項、逐跳躍(hop-by-hop)選項、身份認(rèn)證,以及一個其它選項的數(shù)組。這些擴展頭跟隨著固定為40字節(jié)的IPv6主頭,它們相互鏈接,構(gòu)成一個IPv6分組數(shù)據(jù)包(固定頭 + 擴展頭 + 有效負(fù)載)。有大量擴展頭的IPv6流會淹沒防火墻和安全網(wǎng)關(guān),甚至?xí)率孤酚善鬓D(zhuǎn)發(fā)性能下降,因此成為了DDoS和其它攻擊者的一種潛在動力。在路由器上禁用“IPv6源路由(IPv6 source routing)”可能是防止DDoS威脅的必要方式,并且明確地寫明支持哪種擴展頭,以及檢查網(wǎng)絡(luò)設(shè)備的正確實現(xiàn),這些都很重要。一般而言,IPv6增加了很多需要過濾或區(qū)域性傳播的部件,包括一些擴展頭、組播地址,以及增加了互聯(lián)網(wǎng)控制信息協(xié)議(ICMP)的使用。
* 6to4和6RD代理可能會導(dǎo)致攻擊與濫用行為。6to4及其ISP快速部署的6RD均無需配置專用的隧道,就能使IPv6數(shù)據(jù)包跳出IPv4的空間。但部署IPv6代理服務(wù)器可能會使代理運營商進入一個麻煩的世界,包括發(fā)現(xiàn)式攻擊、欺騙,以及反射式攻擊,而代理運營商自身可能被利用,成為一個攻擊和濫用的“源頭”。
* 對IPv6服務(wù)的支持可能暴露現(xiàn)有的IPv4應(yīng)用程序或系統(tǒng)。有一個局限便是,現(xiàn)有的安全補丁可能僅適用于IPv4支持,而大多數(shù)核心程序在做DNS查表等動作時,偏向于優(yōu)先采用IPv6接口(而不是IPv4),以促進IPv6的更快部署。實際上,IPv6與IPv4之間的這種互動可能使每次DNS查表的流量翻番(同時請求AAAA和A記錄,或更糟糕的情況,即每次都要通過IPv4和IPv6)。為了優(yōu)化用戶體驗,可能產(chǎn)生出大量非必需的DNS流量。OS與內(nèi)容供應(yīng)商在不斷采用措施,以減輕或優(yōu)化這個性能(如:AAAA白名單),但它也增加了系統(tǒng)負(fù)荷和狀態(tài)。另外應(yīng)注意到,使用新的IPv6棧后,肯定會逐步顯現(xiàn)新的漏洞。一個過渡周期內(nèi)長期存在兩個棧,以及路由器、最終系統(tǒng)與網(wǎng)絡(luò)服務(wù)(如DNS)之間的相互依存,顯然會為犯罪分子提供充分施展的空間。
* 很多用戶可能被隱藏在固定地址集后面。被大型網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議(NAT-PT)設(shè)備所隱藏的用戶可能會廢除一些有用功能(如地理定位)或工具,使惡意網(wǎng)絡(luò)行為有了空間,并且讓基于信譽的號碼與命名空間的安全控制問題更為嚴(yán)重。
* 與其它網(wǎng)絡(luò)做隧道操作時,即使IPSec也可能帶來問題。IP安全機制(IPSec)能夠?qū)Πl(fā)送者做出認(rèn)證,提供完全的保護,并且可選采用加密的IP分組數(shù)據(jù)包以提供傳輸數(shù)據(jù)的可信性。IPSec在IPv4中是一個可選功能,而在IPv6中是強制使用的。在隧道模式下(基本上是建立一個網(wǎng)絡(luò)間、主機—網(wǎng)絡(luò)和主機間通信的VPN),整個數(shù)據(jù)包被封裝在一個新的IP包內(nèi),并給它一個新的IP頭。但當(dāng)與某個超出原發(fā)方控制的網(wǎng)絡(luò)建立VPN連接時,則可能產(chǎn)生安全性暴露問題,或被用于漏出數(shù)據(jù)等。由于IPSec要用附加協(xié)議(如互聯(lián)網(wǎng)密鑰交換–IKE)去處理對安全保護以及相關(guān)安全密鑰的協(xié)商與管理,從而增加了復(fù)雜性,因此IPv6初期對IPSec支持的廣泛程度也許并不會超過IPv4。
在IPv6開始廣泛部署且IPv4設(shè)備開始減少以前,還會有一段時間。到那時,我們都將致力于可實現(xiàn)互聯(lián)網(wǎng)第40億臺設(shè)備的協(xié)議。
2月3日這個里程碑的日子已成歷史,我們將別無選擇地去發(fā)展和傳播一些最佳實踐,從而使下一代IP地址更加穩(wěn)定、可靠和安全,而它的開始要依賴網(wǎng)絡(luò)與安全人員的認(rèn)知與知識。
- 1成功實施ERP要做到幾個關(guān)注點
- 2ERP實施服務(wù)系統(tǒng)是由什么組成的系統(tǒng)?
- 3集團企業(yè)全面預(yù)算管理探討
- 4化妝品行業(yè)解決方案能給廣大顧客什么價值呢?
- 5服裝貿(mào)易erp
- 6什么erp系統(tǒng)適合外貿(mào)
- 7企業(yè)經(jīng)營戰(zhàn)略的規(guī)劃
- 8外貿(mào)ERP管理軟件定制的好處有哪些
- 9從信息超載中重新掌控自己的時間
- 10十問云數(shù)據(jù)存儲管理
- 11CRM發(fā)展十年為何企業(yè)還不滿意?
- 12外貿(mào)業(yè)erp企業(yè)管理系統(tǒng)介紹
- 13如何制定圍繞客戶的跨渠道的CRM策略
- 14如何正確選擇IT企業(yè)績效評估的參數(shù)
- 15服裝供應(yīng)鏈信息化管理解決方案
- 16如何打造高績效團隊
- 17公司全面預(yù)算管理的三個基本問題
- 18企業(yè)對于流程管理的需要
- 19中小外貿(mào)企業(yè)erp云服務(wù)平臺
- 20ERP網(wǎng)絡(luò)的敏捷制造技術(shù)與功能特征
- 21企業(yè)信息化:ERP價格戰(zhàn)背后思考
- 22物流優(yōu)化提高企業(yè)運作效能
- 23ERP系統(tǒng)的企業(yè)戰(zhàn)略管理有哪些?
- 24CRM項目成功的關(guān)鍵的一點是實現(xiàn)“統(tǒng)一視野”
- 255件能外包,5堅決不能外包的事情
- 26ERP中成本計算的重組和實現(xiàn)
- 27金融行業(yè)“e路”通航:大集中領(lǐng)航 CRM 跟進
- 28在CRM中有效利用數(shù)據(jù)挖掘 制定最優(yōu)企業(yè)營銷策略
- 29填補行業(yè)空白,暢捷通稱雄餐飲酒店軟件市場
- 30外貿(mào)軟件erp
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓