IPv6:网络黑客们的新总体目标

我国IDC圈12月7日报导:IPv6是40年来互联网技术历史时间上最大的发展,颇具前瞻性的经营商和公司由于IP详细地址(IPv4)的紧缺而刚开始布署IPv6.组成现如今互联网技术技术性基石的IPv4的有关规范制订关键由国际性上几个大厂家主导,而IPv6的有关规范也获得全球各国和全世界产业链界的普遍参加,大大更改有关规范由几个大厂家主导的状况,变成下1代互联网技术商业服务布署的助燃剂。

IPv6安全性难题制约其发展趋势

现如今来看,IPv6对策迫不得已延迟实行。由于IPv6的安全性难题是最先必须处理的难题。假如公司方案另外布署IPv4和IPv6两个协议书,那末安全性难题是公司没法解决的实际难题。而假如依然恪守IPv4的话,那末在现今互联网全球中很难有立足于之本。现如今的公司中的实际操作系统软件(包含Windows Vista、Windows 7、Mac OS/X、Linux和BSD)早已开启了IPv6协议书。这致使开启的IPv6机器设备都遭遇很大的安全性威协。

大家都知道,IPv4配备必须DHCP,而IPv6则不一样,其不用手动式开展配备。Cisco工程项目师和《IPv6 Security》作者Eric Vyncke表明IPv6全自动配备作用代表着打开Ipv6的机器设备会根据路由器器广播节目数据信号在互联网中全自动被标志。另外他劝诫仅适用IPv4的路由器器和互换机没法鉴别IPv6的机器设备,可是1个故意IPv6路由器器却能够推送调解析此总流量。

无情况全自动配备容许任何开启IPv6的机器设备与在同1LAN上的别的适用IPv6的机器设备和服务开展通讯。根据IPv6 NDP(Neighbor Discovery Protocol)可在互联网中告之自身的存在和部位。但假如不加以管理方法,NDP(Neighbor Discovery Protocol)将会会将相邻的测算机机器设备曝露给那些想搜集有互联网內部信息内容和要想开展进攻的人。更比较严重的是将机器设备自身被对接或将机器设备变为 僵尸

Vyncke警示说这并不是耸人听闻,而是真正存在的。他表明根据对全世界范畴的观查,僵尸测算机更多的在应用IPv6在1个秘密的安全通道与别的的僵尸测算机开展通讯。在诸多的掩藏中,开启IPv6的故意手机软件能够采用载荷封裝故意信息内容的方式在1个或好几个IPv4中。而假如沒有诸如深层次数据信息包检验等IPv6安全性对策,这类种类的载荷根据IPv4传送时DMZ没法发现。

Vyncke表明,大多数普遍的IPv6的安全性风险性全是终端设备客户的机器设备在互联网建立配备不善引发的,而正确的配备和IPv6安全性对策可合理清除相近的安全性风险性。这类难题的最好是处理方法是布署原生态的IPv6以维护同1级別的IPv6信息内容,同种的威协早已在IPv4取得成功的处理。

IPSec并不是安全性神话

大伙儿广泛觉得IPv6要比IPv4更安全性,由于IPv6强制性性适用IPSec.但这个理由好像其实不是那末靠谱。Vyncke表明。他指出,除大经营规模执行IPSec带来的具体挑戰之外,机器设备没法检验到IPSec封裝的信息内容內容(路由器器/互换机/防火墙)。从而比较严重防碍了安全性作用。出于这个缘故IETF的活跃组员和《RFC 3585》文本文档的作者Vyncke表明IETF工作中组正在考虑到将IPv6完成IPSec变成 提议 而并不是 规定 。

尽管Vyncke指出了IPv6的安全性上的不够,但他抵制禁用IPv6,他觉得这是1个十分不尽人意的念头。最先微软曾表明在Windows 2008上不适用禁用IPv6的设定,尝试禁用IPv6就好象鸵鸟对策1样。但是安全性难题会致使IPv6的布署時间延迟。此外不管IT公司想要与否,IPv6的机器设备早已在互联网很多出現。

SEND (SEcure Neighbor Discovery)是IETF以便解决坐落于IPv6第2层的故意RA和NDP蒙骗等的处理计划方案。这类威协相近IPv4中的故意DHCP和ARP蒙骗。1些实际操作系统软件供货商早已对SEND开展适用。但Microsoft、iPhone等大大佬还未予适用。Cisco和IETF都在制订IPv6安全性体制,就像当年对IPv4制订安全性体制的情况相近。IETF创建了SAVI(Source Address Validation)小组,而Cisco于2010年刚开始分成第3环节的IOS升級措施正在执行,预计在2012年全面实行,但实际時间还要取决于互换机的种类。

IPv6将来发展趋势

去除安全性带来的威协,IPv6愈来愈多的布署在公司的业务流程实例中。很多国际性顾客已挑选已不适用IPv4,这致使金融机构等金融业公司正遭遇没法与国际性顾客的互联网通讯的威协。像T-Mobile和Telefonica这样的企业早已很多布署了IPv6,非常是像其坐落于欧洲的企业。美国政府部门也1直在稳步的向IPv6转移,并号召供货商出示更多的商品和服务。

Brocade通信系统软件运用交货商品总监Keith Stewart表明: 你始终不期待你处在1个没法与顾客开展互动的处境。 另外互联网供货商也广泛的觉得应转移到IPv6.

Stewart表明在互联网技术大经营规模的升級IPv6既不具体也不能行,顾客必须的是安稳的,行之有效的处理计划方案。他另外指出服务出示商比别的公司更快的耗费互联网详细地址。最先升級IPv6的公司包含像Google和Facebook等,而终端设备客户的升級明显还必须很长期,现如今家用路由器器99%是根据IPv4的。

Brocade在向IPv6转移时另外运用现有的负载平衡器并开启IPv6的变换作用以出示公共性服务,而在內部互联网联接上再次维持应用IPv4联接。Stewart表明当与顾客开展根据IPv6的通讯互动时可先尝试小经营规模的业务流程。另外当搭建将来的服务时,另外出示IPv4和IPv6适用的传送是非常好的挑选,这可确保对IPv4管理体系构造通讯互动,而且商业服务项目投资带来的收益可促进你的精英团队搭建IPv6互联网,最后无缝拼接的过多到终端设备客户。

依据Juniper的汇报显示信息,对IPv6服务要求最大的顾客1般来自文化教育和政府部门单位,非常是大学的科学研究试验室和政府部门企业。Juniper预计到2012年IPv6将进到活跃期,非常是服务商供货商之间。Platform的CTO Alain Durand表明针对全球全国各地的公司来讲,IPv4详细地址耗光已变成1个繁杂的难题。就算这般Durand依然表明布署IPv6是小范畴的,绝大多数還是在现如今的IPv4协议书上加上对IPv6的适用。以便处理IPv4详细地址紧缺的难题,顾客1般挑选提升NAT层。

尽管现阶段还没法预计IPv4详细地址什么时候会真实耗光,但APNIC的首席科学研究家Geoff Huston依据IANA和地区互联网技术申请注册管理方法组织的靠谱数据信息剖析出到2014年,剩下的IPv4详细地址将所有分派1空。但是必须留意的是Huston忽视了那些个人组织中保存的IPv4详细地址,这些详细地址将来拿出来应用或被售卖。比如,Microsoft近期选购了Nortel的60万个IPv4详细地址。伴随着IPv4详细地址的日趋紧缺,将来成本费毫无疑问会节节攀升。

现如今沒有公认的最好案例是致使互联网管理方法人员不肯选用IPv6的关键要素。但伴随着安全性威协日趋被关心和遭遇和顾客没法通讯的威协,转移IPv6已变成唯1的挑选。最值得强烈推荐的方式便是在整体规划环节与受信赖的可出示管理体系构造和安全性指南的互联网供货商创建或复建联络便于在转移计划方案中找寻最适合的可拓展的处理计划方案。


10:05:09 互联网技术 我国工程项目院院士吴建平:IPv6是基本建设互联网强国关键契机 借助迅猛发展的各种各样通信技术性,互联网技术早已变成互联网室内空间最关键的信息内容基本设备和互联网信息内容管理体系最基本的承载服务平台。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://gzhnly.cn/ganhuo/5543.html