IPv6网络协议的安全疑云

随着互联网的更新,我们迎来了IPv6网络协议的使用,在我们不断赞扬IPv6网络协议的诸多优点后,我们也同样对它的一些漏洞和问题产生了担心。计算机网络协议版本6(IPv6) 并不提高企业的Web安全性,但是,当从IPv4迁移过来时,对于IPv6网络安全性问题的了解有助于你防范公司网络中针对IPv6的潜在威胁。Scott Hogg和Eric Vyncke是《IPv6安全性:下一个计算机网络协议的防护措施》一书的合著者,他们在这次的采访中将探讨IPv6安全性的含义。使用他们的建议来缓解围绕协议安全性的忧虑,并了解能够减少风险的网络安全性工具和产品特性。

◆IPv6网络协议能够提高企业的Web安全性吗?客户的安全性呢?

IPv6不会改变运行在传输层之上的任何应用。目前,在IPv4应用上存在的威胁在IPv6应用上也同样存在。例如,你的双重协议Web服务器很容易受跨站脚本攻击,那么当使用IPv6作为Layer 3协议时也仍然是会受到攻击的。引进IPv6对于双重堆栈的客户计算机也同样不受影响。然而,如果是一个企业或者一个客户使用的防火墙并不过滤IPv6包,那么他们基本上都是完全开放的。同时,计算机能够在用户不知情的情况下创建到IPv6 Internet的通道,同时,这些通道能够绕过目前所有只用于IPv4的安全保护。

下一代的Internet协议IPv6主要是为了引进一个更大型的地址空间,但是在Web安全性方面几乎没有任何提高。主要的原因是Web安全性是一个与应用安全性相关的(这些攻击包括SQL注入,跨网站脚本等等);同时,应用安全性是在部署了新的IPv6后仍然与网络层完全独立的。

◆IPv6网络协议安全性与IPv4安全性相比较,是怎样的?

在LAN攻击(ARP、邻近发现、DHCP、DHCPv6)、分片攻击、拒绝服务攻击(DoS)等方面,IPv4 和 IPv6安全性之间有一些相似之处。由于IPv6的头结构和对ICMPv6的大量使用,使得IPv6网络协议有一些新的漏洞。在IPv6中过滤未分配的地址比在IPv4中要容易很多,因为IPv4地址空间是非常分散的。由于NAT并不与IPv6一起使用,所以IPSec更容易用AH和ESP实现,在这个方面IPv6有一些优势。IPv6 和 Mobile IPv6为安全移动通信提供了新的机遇和新的挑战。同时,IPv6的传输机制也同样是攻击的目标。

如果我们在局域网(LAN)或者Internet的网络层上比较IPv4和IPv6,那么它们几乎是一样的。

巨大数量的IPv6地址使网络扫描无法检查所有的地址(发现网络上所有计算机);但是黑客可以很容易地通过使用DNS或者其它的信息资源来查找可能的目标。因此,这并不是一个安全的优势。

标准要求IPv6网络协议的计算机实现IPsec(使用加密技术进行保密和认证),但是,事实上IPv6计算机是可以自由选择使用或不使用IPsec的。此外,广泛地使用IPsec将使信息安全部门的工作更艰难,因为他们无法再使用防火墙(对于加密流量,防火墙是无效的)。

至于Layer 2安全性(Ethernet),我们都知道在IPv4中围绕ARP的问题很多,其中它可以恶意地重定向流量。IPv6也存在非常类似的问题,只是名称有所改变:NDP(Neighbor Discovery Protocol)中毒,而不是ARP中毒。这里可以使用相同的减缓技术。此外,SEcure Neighbor Discovery (SEND)甚至通过加密来保护NDP,唯一需要说明的是它仍然未在Microsoft Windows 或者 Mac OS/X上实现。

总的来说,IPv4 和IPv6网络协议对于安全性是几乎相同的。唯一的问题是大多数网络和安全架构师和员工都不知道IPv6,并且他们目前缺乏这个新协议的操作技能。这几个月是相当危险的,只有所有的人都接受了培训和具备了经验才可以有效规避风险。


转自:http://network.51cto.com/art/201006/205868.htm


阅读更多
个人分类: 网络安全及汇编
想对作者说点什么? 我来说一句

windows 下手动安装IPV6协议的方法

2012年07月03日 507KB 下载

网络协议IPv6技术

2009年04月12日 4.87MB 下载

ipv6协议.zip

2013年07月13日 2.32MB 下载

互联网协议版本6——IPv6简介

2010年06月16日 46KB 下载

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭