IPv6供应商规划与测试篇

来源:ZDNET  
2011/11/24 11:55:02
对于网络管理员来说,是否还记得死亡之ping、源路由选择、无边界防火墙、地址欺骗攻击以及其它无数充满TCP/IP“特色”的攻击模式?为了防范所有类型的攻击,大家需要不断学习并对网络进行调整,规划和配置。

对于网络管理员来说,是否还记得死亡之ping、源路由选择、无边界防火墙、地址欺骗攻击以及其它无数充满TCP/IP“特色”的攻击模式?为了防范所有类型的攻击,大家需要不断学习并对网络进行调整,规划和配置。

1994年,笔者开始从事与TCP/IP相关的技术工作。那时,商业公共互联网就像才露尖尖角的小荷。在我参与TCP/IP相关工作的同一年,无类型域间选路(CIDR)作为节约由IPv4提供有限地址空间的概念被提出;并且直到今天为止,TCP/IP依然是互联网和局域网中使用最普遍的协议。

我们现在使用的IPv4协议是在1980年发布的RFC 760中初次出现的,并在1981年制定的RFC 791中进行了更新。在内容方面,它已经基本上就等同于全球正在使用的网络规范了。这也就是说,IPv4协议的两个主要部分是如此地简单,几乎到了荒谬的地步。

当前IPv4所有问题的核心因此,对于IPv4协议来说,当前面临着两个需要获得解决的重要问题。实际上,从某些方面来看,它们也是所有问题的根源。

? 与大多数其它互联网核心协议相同,TCP/IP协议最初的构想模式也是友好环境中的使用。

? 在协议设计阶段,开发者并没有意识到互联网的实际发展速度会如此之快。

现在,就让我们来认清面临的现实情况——至少在过去的十五年里一直处于这样的状态:所谓的安全机制已经基本上属于亡羊补牢的处理模式,在通过互联网传输数据时出现补丁落补丁的情况也开始属于常见现象。不仅如此,我们连所有的地址空间也都用完了。2011年2月3日,最后一个IPv4地址块被分配了出去。

现在,作为从设计阶段就考虑到互联网在规模和安全方面需求的协议,IPv6协议就成为必然的选择。它将可用地址空间数量扩展到不可思议的等级。举例来说,一个/64地址,也就是标准用户地址,可以提供的地址空间地址容量就比整个IPv4协议所提供的高40亿倍。

此外,IPv6还可以支持IPsec、针对TCP/IP协议的加密和完整性等日常工作中的必须功能。从很多年前开始,它们就已经属于IPv4协议中的必备功能,并且得到了广泛应用,特别是在虚拟专用网络(VPNs)中。因此,这些技术是非常有用的,不是么?

从安全历史中可以获取的经验不过,现实情况并非都如此美好。早在四年前,研究人员菲利普·比翁迪和阿诺·埃巴拉德就发现IPv6协议路由头与IPv4源路由过于相似,会导致在安全方面出现大量问题,最终的选择就是不得不给予禁用。首先是网络管理员,然后是供应商都对IP协议栈进行了这样的处理。看起来,新标准的设计者并没有从过去的教训中吸取到经验。

“看起来,新标准的设计者并没有从过去的教训中吸取到经验。”

在迁移到IPv6协议的过程中,成千上万家硬件制造商在固件中添加的大量不同功能以及应用功能中使用到的随机软件栈,将会给兼容性方面带来不可估量的问题。

数以百万计的新代码中存在着成千上万的潜在漏洞。这让我几乎不敢想象TCP/IP栈更新带来的问题会有多大,即便回到1994年,仅在单独供应商遵循IPv4标准的情况下也不例外。

对于企业来说,既定目标已经非常明确,这就是:开始进行前期规划,就实际问题咨询供应商,确保技术和安全团队已经准备好相应的迁移计划。尽管在未来一段时间中,IPv4和IPv6协议将保持共存的局面,但边界防火墙、虚拟专用网、入侵防御系统和渗透测试之类传统安全模式的使用需要被重新进行分析和评估;并且,与往常一样犯罪分子还将继续占据先机。

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918