近幾年出口的軟硬件產(chǎn)品都已經(jīng)內(nèi)置了IPv6支持,特別是大量的移動終端幾乎都已經(jīng)支持IPv6,然而一向被認為安全性較高的IPv6并不像傳說中的那樣,甚至相反會嚴重挑戰(zhàn)現(xiàn)有的安全保護體系。
下一代互聯(lián)網(wǎng)協(xié)議IPv6逐漸被商用企業(yè)采納,管理機構(gòu)和運營商也開始規(guī)劃和測試工作,盡管遷移的路子仍然比較漫長,但它也日益成為IT基礎架構(gòu)人員的談資。
近幾年出口的軟硬件產(chǎn)品都已經(jīng)內(nèi)置了IPv6支持,特別是大量的移動終端幾乎都已經(jīng)支持IPv6,然而一向被認為安全性較高的IPv6并不像傳說中的那樣,甚至相反會嚴重挑戰(zhàn)現(xiàn)有的安全保護體系。
首先,IPv6的通道功能會影響現(xiàn)有的網(wǎng)絡訪問控制,IPv4防火墻在針對IPv6流量的細力度控制上幾乎無力,基于協(xié)議和端口的動態(tài)包過濾對于能夠靈活變化的通道也幾近失效,不當配置的企業(yè)網(wǎng)絡邊界控管措施在IPv6面前形同虛設。</p>
其次,IPv6的加密通道及自動配置功能讓端到端的通訊更為便捷也更為危險,還令傳統(tǒng)的基于特征檢測與分析的入侵檢測、內(nèi)容過濾及監(jiān)控審計系統(tǒng)失效。
最后,基于IPv6的攻擊已經(jīng)開始現(xiàn)身,分布式拒絕服務攻擊、網(wǎng)絡穿透攻擊、IPv6加密蠕蟲等等開始零星出現(xiàn)于安全媒體,但卻沒有引起安全界的重視。
應對這些挑戰(zhàn)并非難事,首先,覺醒起來是最好的安全防線,加強IT及最終用戶關于IPv6的安全意識教育應該被納入到安全管理的議事日程;接著,制定和設置嚴格的訪問控制策略,必要時實施白名單政策;最后,加強安全監(jiān)管,特別是針對加密安全通訊的監(jiān)管,阻斷不必要的加密通訊宜早不宜晚。
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://dstuf.com/