成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

IPv6——黑客的下一個攻擊目標

網絡 網絡管理 安全
你可以按照自己的意愿推遲IPv6策略的部署,但是你必須應當馬上著手解決IPv6存在的安全隱患,如下我們給大家介紹一個有關IPv6黑客的下一個攻擊目標。

你可以按照自己的意愿推遲IPv6策略的部署,但是你必須應當馬上著手解決IPv6存在的安全隱患。

如果你計劃將IPv6與IPv4進行雙堆棧配置,那么在安全方面你不能掉以輕心。如果你考慮全面轉向IPv6,這也并不代表你就可以高枕無憂。

最大的潛在安全威脅在于企業網絡上已經接入了大量具備IPv6功能的設備,包括所有運行WindowsVista、Windows7、MacOS/X、Linux和BSD設備。

與以前IPv4需要DHCP不同,IPv6不需要人工配置。思科杰出系統工程師,《IPv6安全》一書的合著者EricVyncke稱,這種無狀態的自動配置特點意味著“支持IPv6的設備只需單一的路由通告即可識別自己在網絡上的身份”。

他提醒稱:“僅支持IPv4的路由器和交換機無法對IPv6設備通告進行識別或做出回應,但是一個流氓IPv6路由器能夠發送并解譯這種信息。”

無狀態自動配置允許支持IPv6的設備與其它的IPv6網絡設備和在同一LAN中的服務進行通信。通過這一程序,設備能夠通告自己的位置,并可通過IPv6鄰居發現協議(NDP)被定位。

但是如果不加管理,NDP可能會將鄰近的設備暴露給那些急于收集網絡內部信息的黑客,甚至允許這些設備被接管并變成“僵尸”。

Vyncke警告這種威脅是真實存在的。他稱:“我們在全球范圍內進行了觀察,這些僵尸機器正在越來越多的使用IPv6作為與僵尸主控機進行通信的隱蔽渠道。”在許多偽裝中,支持IPv6的惡意軟件能夠在一個或多個IPv4信息中封裝惡意負載。如果沒有數據包深度探測等符合IPv6規范的安全措施,這類負載通過穿透IPv4邊界,而DMZ防御卻無法探測出來。

安全鄰居發現協議(SEND)為IETF針對流氓RA和NDP欺騙等Layer-2層IPv6威脅所開發的解決方案,這些威脅相當于IPv4威脅中的流氓DHCP和ARP欺騙。盡管微軟和蘋果等知名廠商并不支持SEND,但是一些操作系統廠商已經開始對SEND提供支持。

思科和IETF正在為IPv6制定安全措施,這些措施與目前在用的保護IPv4免受這類威脅侵害的措施相似。

IETF已經成立了一個SAVI(源地址認證)工作小組。思科始于2010年的IOS升級計劃目前也已經進入到了第三階段,預計將在2012年開始全面實施。

Vyncke強調,許多常見的IPv6安全風險是由于終端用戶設備在網絡中配置不當產生的,正確的配置和IPv6安全措施能夠消除許多這類風險。他解釋稱:“這類問題的解決辦法是部署原生IPv6,以在同一水平上保護IPv6信息,應對你已經在IPv4上成功防御過的同類威脅。”

IPSec安全神話

目前普遍認為,IPv6天生就比IPv4要安全,因為在IPv6中IPSec支持是強制性的。Vyncke稱:“這個神話需要被揭穿。”

他指出,除去大范圍部署IPSec所面臨的實際挑戰之外,由于(路由器/交換機/防火墻)設備無法看到IPSec封裝的信息內容,導致它們的重要安全功能受到了影響。

出于這一原因,作為IETF活躍成員和《RFC3585》一書作者的Vyncke稱,一個IETF工作小組正在考慮在IPv6部署中將IPSec支持由“必須”調整為“推薦”。

關于禁止IPv6,Vyncke認為這是一個非常糟糕的主意,其原因有兩個。首先,微軟表示在Windows2008中禁止IPv6是因為配置不支持。Vyncke稱,禁止IPv6的做法是一個不切明智的策略,這將導致IPv6的部署不可避免的出現拖延。其次,無論IT部門愿意與否,支持IPv6的設備已經開始在網絡中大量出現,這將導致安全形勢出現惡化。

發展動力

除去威脅以外,IPv6的商業部署案例正在越來越多,IPv6已經無法繼續被忽視。由于許多國際客戶的網絡已經不再支持IPv4,銀行和在線券商正在失去與這些客戶的聯系,為此銀行和在線券商已經開始正視這一挑戰。

西班牙電信和T-Mobile等公司已經開始大規模部署IPv6,尤其是在歐洲地區。美國政府目前也已經開始向IPv6過渡,同時他們還呼吁提供商和廠商提供更多的IPv6產品和服務。

博科通訊系統公司產品管理總監KeithStewart稱:“你永遠不希望自己處于無法與客戶互動的困境之中。”通過與網絡廠商分享觀點,Stewart發現向IPv6過渡已經成為了一個大趨勢。

Stewart稱:“在互聯網中整體升級為IPv6既不現實也無法辦到。客戶需求一個平衡的、實際的解決方案”。他指出,由于服務提供商消耗地址的速度最快,因此他們是首批升級至IPv6的團體,其次是谷歌和臉譜等內容服務商,最后才是終端用戶,因為這些終端用戶的家庭路由器有99%是基于IPv4協議研發的。

在向IPv6過渡的同時,博科也在部署負載平衡器,向對公服務提供IPv6翻譯,在內部網絡中保留IPv4連接。

瞻博網絡公司稱,迄今為止,在申請IPv6服務的客戶中,大部分來自教育和政府部門,尤其是需要遵守聯邦IPv6命令的大學研究實驗室和政府機構。

瞻博網絡公司預測,2012年IPv6將更為活躍,特別是在服務提供商中。該公司軟件工程總監AlainDurand稱:“對于我們在全球的客戶來說,IPv4地址枯竭日益成為一個非常嚴重的問題。”Durand預測,大部分IPv6部署都將是一些小項目,它們在現有的IPv4對公服務中采用雙堆棧解決方案以增加IPv6功能。他稱:“為了解決IPv4地址短缺問題,客戶經常會選擇增加一個NAT層。”

盡管目前還無法準確預測IPv4地址將于何時枯竭,但是亞太互聯網絡信息中心(APNIC)首席科學家GeoffHuston根據IANA和區域互聯網注冊管理機構公布的數據分析,剩余的IPv4地址將在2014年被徹底用完。

不過,需要注意的是Huston的分析忽略了那些私營公司手中保留的地址,這些地址未來可能會被拿出來使用或被出售。比如,微軟在近期收購北電資產的過程獲得了超過60萬個IPv4地址。在近期的評估當中,這部分IPv4地址沒有被考慮在內,許多業內人員預測隨著IPv4地址供應短缺,升級成本將會上漲。

由于沒有可供借鑒的最佳IPv6轉型實踐,許多網絡經理并不愿意主動采取行動。盡管安全問題以及擔心無法與已向僅支持IPv6系統過渡的客戶通信的問題日益突出,但是保持觀望并等待他人探路可能并不是一個明智的態度。

明智的做法是在規劃階段與能夠提供架構和安全指導的值得信賴的網絡廠商建立或重新建立聯系,共同在眾多的IPv6過渡方案中找到一個切實可行的方案。

【編輯推薦】

  1. 如何實現IPv6和IPv4的協同工作?
  2. 從IPv4到IPv6 過渡之路尚待戮力攻堅
  3. 解決兼容性:IPv4與IPv6之間的翻譯策略
  4. IPv4向IPv6過渡技術標準綜述
責任編輯:于爽 來源: 網界網
相關推薦

2013-04-17 17:07:40

2014-11-07 13:39:22

2021-03-01 10:27:22

黑客Web供應鏈攻擊

2014-10-21 13:51:14

2022-04-13 14:23:53

物聯網網絡安全數據

2019-07-29 12:48:08

2011-06-09 10:39:32

2020-11-09 11:48:55

黑客攻擊路由器

2020-09-14 13:56:18

Linux卡巴斯基惡意軟件

2011-03-17 15:01:11

Oracle

2024-12-31 15:49:54

2013-09-18 10:07:24

2011-04-28 19:54:26

2012-05-22 14:50:16

Anonymous黑客網絡攻擊

2015-10-29 09:35:12

BAT趨勢數據

2012-11-01 16:11:31

2018-05-08 06:12:51

2010-05-28 15:25:58

IPv6協議

2020-12-24 16:51:05

勒索軟件工業控制系統網絡攻擊

2012-06-14 09:16:33

點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 女朋友的闺蜜3韩国三级 | 欧美男人亚洲天堂 | 亚洲天堂男人的天堂 | 中文字幕一区在线 | 免费黄网站在线观看 | 99视频免费看| 在线播放中文字幕 | 午夜精品久久久久久久星辰影院 | 国产精品久久久久国产a级 欧美日本韩国一区二区 | 精品av天堂毛片久久久借种 | 亚洲三级av | 91精品入口蜜桃 | 色婷婷综合久久久中文字幕 | 久久精品aaa | 精品视频在线免费观看 | 国产激情偷乱视频一区二区三区 | 国产精品视频免费播放 | 日韩一区不卡 | 一呦二呦三呦国产精品 | 91久久久久 | 欧美日韩久久精品 | 亚洲精品免费视频 | 色接久久 | 久久69精品久久久久久久电影好 | 碰碰视频 | av男人的天堂在线 | 久久毛片网站 | 日韩中出| 国产高清视频在线 | 嫩草伊人| 2018国产大陆天天弄 | 久久久久久国产 | 农村黄性色生活片 | 亚洲黄色视屏 | 福利电影在线 | 久久99精品久久久久久国产越南 | 久久躁日日躁aaaaxxxx | 精品国产乱码久久久久久果冻传媒 | 亚洲欧美在线免费观看 | 毛片一区二区三区 | 超碰8|