IPv4和IPv6协议之间的一些纠葛我们总是常常想到。这个也就是来源于一些方面的。首先在地址方面,这个应该是更偏向于IPv6的使用,应用方面,IPv4则是更占有优势。那么在于安全问题呢?似乎这个更是一个敏感的话题了。
◆哪些地址选择问题与IPv6协议相关,它们是如何威胁网络安全的?
IPv6主机使用默认地址选择规则,因为每台计算机的网络接口上都有很多不同的IPv6地址。这些规则管理所使用的地址。如果这些默认的地址选择规则被修改了,那么将导致无法预测的后果。这可能是攻击者创建中间人条件或者DoS主机的方式。因此,确保这些地址选择规则与默认规则一致是很重要的。
◆由于IPv6并不向后兼容现有的产品,那么我们必须升级或者实现哪些产品和保护机制来维护IPv6网络的安全?这与IPv4网络有何不同?
你必须确保你使用的安全保护机制是兼容IPv6的。你必须使用防火墙来对IPv6包实施相同的政策,正如你目前配置IPv4一样。同时,防火墙必须能够智能地处理不同的IPv6头。同时,你必须有IPS探测器来检测IPv4包或者 IPv6包上的攻击。因此,你可能需要根据你目前供应商的IPv6功能升级软件或硬件。
在安全性方面,IPv4和IPv6协议之间并没有任何真正的不同。因此,完全相同的工具可以也应该用来保护IPv4和IPv6协议。这其中包括防火墙、入侵防御系统(IPSs)、检测异常行为的行为分析、网络勘测以及所有应用安全性产品,如反垃圾邮件和反病毒,它们可以检查网络上的邮件和Web流量。
强烈推荐你使用相同的设备或者相同的服务器来同时运行IPv4和IPv6协议保护,以便简化管理、减少操作花费,并确保安全性策略对于IPv4和IPv6协议是相同的。
◆IPv6协议是否可能修改为向后兼容IPv4?
这是不可能的。IPv6是完全独立于IPv4的协议。它们可以同时在同一网络链路上运行,但是它们是以“夜航(ships in the night)”方式工作的,并且彼此之间是互相排斥的。在同一网络上运行IPv6 和 IPv4类似于许多年以前我们在同一网络上同时运行IPX 和AppleTalk。它们两者是共存的,但是它们并不是互操作的协议。
IPv6是无法修改来向后兼容IPv4的。但是IETF已经提议了几个迁移机制来协助将IPv4只迁移到双重堆栈并且最后迁移到只使用IPv6的网络(后者还需要很长时间)。在2011年的期限之前,IETF会一直致力于研究其它的迁移机制。目标是,IPv4地址耗尽并迁移到IPv6操作完全对现在和将来的用户透明。
◆哪些工具和产品可以使用来监控和识别IPv6协议网络的弱点?
你可以使用与IPv4主机一样的IPv6漏洞扫描器。唯一的不同点在于在IPv6网络上执行PING扫描是很不实际的,因为地址空间相当的大。然而,当你查找一个主机的IPv6地址时,执行一个有IPv6或者IPv4主机的端口扫描是相当容易的。大多数流行的IPv4工具也同样具备IPv6的功能。
你可以使用目前你用来监控IPv4网络的同一套工具来监控你的IPv6网络。它们很可能需要更新为最近的版本以便支持IPv6。这些工具包括入侵防御系统(IPS)和网络自动勘测,如NetFlow。
◆这些工具也处理安全性问题吗?如果没有,哪些产品可以帮助你处理安全性问题?
典型地,这些工具只能分析出你遇到了问题,它们并不自动帮助你修复问题。修复都是需要系统或者网络管理员通过一个手动过程完成。
现有安全工具的升级版本完全可以消除所有IPv6协议攻击。重新使用相同的工具对于IPv4和IPv6协议都相同的操作会有附加的好处,它们都有财务上的好处(更少的培训)和安全上的好处,因为操作者已经知道如何使用这些工具。
