专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

 新闻中心 人物观点
厂商专区 市场分析		 行业
应用		 政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
 应用
分类		 统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网
当前位置:网络通信网——网络通信专家 原IP通信网 >首页 -> 智慧企业 -> 信息安全 -> 新闻

TOP

传统防火墙 VS 下一代防火墙
2011-06-28 09:58:09 来源:TechTarget中国 作者:【
关键词:CPNI NIST VS
 
这篇文章讨论的是许多因素如何影响到IPv6网络配置的安全性,比如缺乏训练有素的人员,安全设备中有限的IPv6支持等等。

  这篇文章讨论的是许多因素如何影响到IPv6网络配置的安全性,比如缺乏训练有素的人员,安全设备中有限的IPv6支持等等。本文还解释了这些因素的潜在影响,并提出了减少这些风险的可能的办法。

  除了IPv6协议组自身的安全性能外,有许多因素——技术的和非技术的——大大地影响着新兴的IPv6部署的安全性。本文确定了这些因素,讨论了它们可能对企业IPv6部署造成的影响,并提出了用来减轻这些安全隐患的可采取的行动。

  IPv6,互联网协议的新版本,预期是与其长期使用的前身IPv4共存并最终取代IPv4。IPv6会提供更多的地址空间来促进互联网的成长。从安全的角度看,有许多因素使得IPv6协议组变得更复杂,并且这些因素很可能会影响到新兴IPv6部署的安全性。下面,让我们来一个一个地考查每个因素。

  缺乏训练有素的人员

 据评估,全世界大概有2千万工程师需要IPv6培训。他们当中有些工程师具有一些IPv6知识,与IPv4相比,他们通常对IPv6协议更没有信心,因为IPv4出现的时间更长。

  在他们对这个协议的信心赶得上对IPv4的信心之前,这些工程师很有可能会被要求部署IPv6,这个过程中,安全问题可能被不知不觉地忽略了。这意味着,除了这个协议自身的安全性能之外,新兴的IPv6部署的安全性将会落后于现有的同类IPv4产品。

  很显然,无论一个企业在将来是否计划部署IPv6,IT高管和经理们必须促进对技术员工的IPv6培训,尤其是考虑到安全性,同时在部署前应该鼓励在他们的环境中对IPv6进行试验,从而使他们在在产品环境中部署IPv6前获得必要的实践知识。

  虽然近几年,一些针对IPv6安全配置的最佳实践已经得到了发展,但这个问题应该(在一定程度上)仍被视为一个“进展中的工作”,技术人员应该做好准备去适应针对IPv6部署的新兴的最佳做法,无论它们是由诸如互联网工程任务组(IETF)等标准组织,还是由诸如NIST或CPNI等政府组织所制定的。

  不成熟的实施

  IPv6的实施在总体上不是安全性研究社区的一个焦点。迄今为止,只有几十个关于IPv6漏洞的报告被公布,但这不意味着IPv6的实施比IPv4更加安全,这反而表示了在IPv6的实施中仍有许多漏洞尚未被发现,这个协议应该成为更重大研究的焦点。

  显然,在短期内,就协议实施的安全性而言,IPv6很可能成为“这个链条中最薄弱的环节”,而且当把双堆叠站点作为目标时,它很可能会被攻击者利用。

  让安全研究人员和供应商们发现并纠正IPv6漏洞,使IPv6实施的成熟度可以比得上IPv4的成熟度,还需要一段时间。

  缺乏IPv6安全性评估工具

  与IPv6有限的安全研究密切相关的是,缺乏公开可用的IPv6测试工具来评估IPv6实施和部署的安全性。 只有一些很少的公开可用的用于IPv6协议组(诸如THC的IPv6攻击组和scapy6)的攻击/评估工具,与之形成反差的是过剩的用于IPv4协议组的工具。这样一来,使得网络和安全管理员缺乏工具,来评估它们想要执行的网络安全控制的有效性,从而可能导致一个错误的安全意识。最近的一个关于RA-Guard evasion的工作应该被视为对这个问题的警告。

  很可能会这样:随着IPv6部署的增加,IPv6安全评估工具的生产也会增加。然而,这只不过是关于当前IPv6安全工具的缺乏该如何解决,以及需要更多工具的推测。

  在安全设备中有限的IPv6支持

  诸如防火墙和网络侦察系统等安全设备,与IPv4相比,它们通常对IPv6协议提供的支持很少。这可能会在功能或性能方面反映出来。比如,一个安全设备可能为IPv4提供深度包检测支持,但是不为IPv6提供;它可能支持IPv4和IPv6的一些功能,但是对IPv4的支持是通过硬件实现的,而对IPv6的支持是通过软件实现的。显然,IPv4和 IPv6安全功能对等性的缺乏会导致IPv6网络中的安全性降低,并可能在新兴的IPv6部署中阻碍当前对IPv4有效的安全策略的执行。

  在选购新设备或者升级现有设备时,网络和安全管理员应该考虑到IPv6支持性。在评估安全性产品的性能时,一些一致性和互用性测试程序(比如IPv6 Ready Logo Program)可能会有所帮助。

  缺乏关于IPv6过渡/共存技术的意识

  因为IPv6不是对IPv4向后兼容的,许多过渡/共存技术已经被研发出来促进IPv6的部署。然而,这些技术会导致由此产生的流量中的复杂性增加,攻击者可以利用它来掩盖他或她的绕过网络安全控制的企图。NATs是很多网络用来抵御来自互联网入侵攻击的第一道防线,一些技术(特别是Teredo)已经被研发出来绕过诸如网络地址转换器(NATs)等设备,从而潜在地增加了主机暴露在外部攻击下的风险。

  因此,过渡/共存技术的安全问题应该被所有网络和安全管理员了解,因为这些技术甚至可能在仅支持IPv4的网络上引起安全问题。另外,安全设备应该“意识到”这些技术,并能够执行它们在原生的IPv4和IPv6流量中执行的同样的安全策略。
      
责任编辑:admin
免责声明:以上内容转载互联网平台或企业单位自行提供,对内容的真实性、准确性和合法性不负责,Voipchina网对此不承担任何法律责任。

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇新安全环境对虚拟化和云计算提出..
下一篇9090%企业称过去一年有网络安全问..

热门文章

图片主题

最新文章

相关文章

广告位

Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
联系方式:503927495@qq.com
  京ICP备05067673号-1 京公网安1101111101259