虽然IPv6已开端启用,但收集工程师仍然很谨严,因为他们担忧IPv6的安然标题问题。下面是95000位收集工程师投票选出的IPv6收集安然中前6大年夜安然风险。
● 贫乏IPv6安然培训/教育。
此刻最大年夜的风险是贫乏IPv6安然常识。企业在摆设IPv6之前,必需投进时候和金钱来进行IPv6安然培训。不然,过后,企业将需要破钞更多的时候和金钱来梗塞缝隙。在打算阶段考虑收集安然加倍有效,而不该该在摆设后才考虑。按照GTRI首席手艺官Scott Hogg暗示,“所有安然从业人员此刻都应当体味IPv6,因为所有的企业在其环境中都有启用IPv6的把持系统。未能呵护IPv6系统就像打开了很大年夜的后门。”
● 经由过程未过滤的IPv6和通道流量绕过安然设备。
与安然产品本身比拟,只有贫乏常识被觉得是更大年夜的风险。概念上,这很简单,安然产品需要做两件工作:辨认可疑的IPv6数据包并摆设节制。但是,在实际中,这在v4中打算是不成能的,更不消说可能存在地痞流量或未知通道流量的环境。今朝有16种不合的通道和过渡编制—更不消提上层通道,例如SSH、IPv4-IPSec、SSL/TLS乃至DNS。IPv6论坛收集安然主题专家兼SRA InterNATional专家收集架构师Joe Klein暗示:“第一步是知道你正在寻觅甚么。”今朝我们利用的安然产品(出格是那些从IPv4转换到IPv6的产品)其实不必然足够成熟来抵抗威胁。
● 互联网办事供给商和供给商贫乏对IPv6的撑持。
为了确保IPv6安然功能和不变性与IPv4看齐,周全的测试是相当首要的。对所触及的所有和谈拟定一个测试打算,并摆设一个测试收集,必需测试所有设备,出格是来自供给商的新的安然手艺。每个收集都是奇特的,需要一个奇特的测试打算。让这个标题问题进一步复杂化的是,你的供给商没有供给本地IPv6连接。连接到你的接口的通道进一步进步了安然的复杂性,并可能带来中间人报复打击和拒尽办事报复打击。对此,你可以要求你的供给商供给本地IPv6。
● 安然政策。
糟的IPv6安然政策直接导致了今朝大年夜家对IPv6安然常识的不体味。IPv6安然政策的深度不但需要与IPv4看齐,同时,其广度必需更宽,来应对IPv4环境中不需要考虑的新的缝隙。
● 新代码中的弊端。
任何新代码城市有弊端。而在这类环境下,我们可能在还不完全撑持IPv6的NICS、TCP/UDP和收集软件库的代码中发现弊端。SIP、VoIP和虚拟化等手艺也可能存在标题问题。在最坏的环境下,代码中的弊端可能在你的收集中引进新的缝隙。一样地,这里的解决编制也是测试。测试收集和周全的测试打算可以或许帮忙发现弊端,和隔离它们,并可以找到解决编制,或封锁摆设,直到修复标题问题。
● 没有NAT。
大年夜家对NAT遍及存在曲解,乃至于NAT没有呈此刻IPv6中被曲解为头号安然风险。在IPv6环境中有NAT可能也不错,但事实上,它们其实不供给任何的额外的安然性。防火墙供给了安然性,而不是收集地址转译。
IPv6安然不克不及只是IPv4安然的简单克隆,这类设法是很是危险的。我们必需放置培训、扩大年夜政策,和在收集中摆设新的手艺来抵抗新的威胁。从同质IPv4收集过度到异构IPv4/v6收集带来了新的流量类型和设备,企业必需从头考虑。
别的,因为IPv6相对较新,其市场才方才开端,IPv6安然产品也还不敷成熟。在环绕IPv6的安然性完美之前,在运营商让IPv6与IPv4看齐之前,这是一个有趣的危险的期间。(邹铮编译)