|
|
过渡/共存技术的平安问题应该被所有网络和平安管理员了解,因此。因为这些技术甚至可能在仅支持IPv4网络上引起平安问题。另外,平安设备应该“意识到这些技术,并能够执行它原生的IPv4和IPv6流量中执行的同样的平安战略
IPv6布置和切换越来越受到政府和企业的重视。同时,随着IPv4地址的正式枯竭。这无疑又是一项前所未有的工程,有互联网以来,第一主要面对现有协议架构的升级革新,有哪些我应该考虑的问题呢?
不成熟的实施
只有几十个关于IPv6漏洞的演讲被公布,IPv6实施在总体上不是平安性研究社区的一个焦点。迄今为止。但这不意味着IPv6实施比IPv4更加平安,这反而表示了IPv6实施中仍有许多漏洞尚未被发现,这个协议应该成为更重大研究的焦点。
短期内,显然。就协议实施的平安性而言,IPv6很可能成为“这个链条中最薄弱的环节”而且当把双堆叠站点作为目标时,很可能会被攻击者利用。
使IPv6实施的幼稚度可以比得上IPv4幼稚度,让平安研究人员和供应商们发现并纠正IPv6漏洞。还需要一段时间。
缺乏IPv6平安性评估工具
与之形成反差的过剩的用于IPv4协议组的工具。这样一来,与IPv6有限的平安研究密切相关的缺乏公开可用的IPv6测试工具来评估IPv6实施和部署的平安性。只有一些很少的公开可用的用于IPv6协议组(诸如THCIPv6攻击组和scapy6攻击/评估工具。使得网络和平安管理员缺乏工具,来评估它想要执行的网络平安控制的有效性,从而可能导致一个错误的平安意识。最近的一个关于RA -Guardevas工作应该被视为对这个问题的警告。
IPv6平安评估工具的生产也会增加。然而,很可能会这样:随着IPv6安排的增加。这只不过是关于当前IPv6平安工具的缺乏该如何解决,以及需要更多工具的推测。
平安设备中有限的IPv6支持
与IPv4相比,诸如防火墙和网络侦察系统等安全设备。通常对IPv6协议提供的支持很少。这可能会在功能或性能方面反映进去。比方,一个平安设备可能为IPv4提供深度包检测支持,但是不为IPv6提供;可能支持IPv4和IPv6一些功能,但是对IPv4支持是通过硬件实现的而对IPv6支持是通过软件实现的显然,IPv4和 IPv6平安功能对等性的缺乏会导致IPv6网络中的平安性降低,并可能在新兴的IPv6布置中阻碍当前对IPv4有效的平安战略的执行。
网络和平安管理员应该考虑到IPv6支持性。评估平安性产品的性能时,选购新设备或者升级现有设备时。一些一致性和互用性测试程序(比方IPv6ReadiLogoProgram可能会有所帮助。
缺乏关于IPv6过渡/共存技术的意识
这些技术会导致由此发生的流量中的复杂性增加,因为IPv6不是对IPv4向后兼容的许多过渡/共存技术已经被研发进去促进IPv6安排。然而。攻击者可以利用它来掩盖他或她绕过网络平安控制的企图。NA T很多网络用来抵御来自互联网入侵攻击的第一道防线,一些技术(特别是Teredo已经被研发进去绕过诸如网络地址转换器(NA T等设备,从而潜在地增加了主机表露在外部攻击下的风险。
本文由 婴儿用品专卖店 http://www.huazhuliu.com/ 整理发布
|
|
发表于 2012-10-13 16:37:00