盡管IPv6已經(jīng)開始啟用，但網(wǎng)絡(luò)工程師仍然很謹(jǐn)慎，因?yàn)樗麄儞?dān)心IPv6的安全問題。下面是95000位網(wǎng)絡(luò)工程師投票選出的IPv6網(wǎng)絡(luò)安全中前6大安全風(fēng)險(xiǎn)。

● 缺乏IPv6安全培訓(xùn)/教育。

現(xiàn)在最大的風(fēng)險(xiǎn)是缺乏IPv6安全知識(shí)。企業(yè)在部署IPv6之前，必須投入時(shí)間和金錢來(lái)進(jìn)行IPv6安全培訓(xùn)。否則，過后，企業(yè)將需要花費(fèi)更多的時(shí)間和金錢來(lái)堵塞漏洞。在規(guī)劃階段考慮網(wǎng)絡(luò)安全更加有效，而不應(yīng)該在部署后才考慮。根據(jù)GTRI首席技術(shù)官Scott Hogg表示，“所有安全從業(yè)人員現(xiàn)在都應(yīng)該了解IPv6，因?yàn)樗械钠髽I(yè)在其環(huán)境中都有啟用IPv6的操作系統(tǒng)。未能保護(hù)IPv6系統(tǒng)就像打開了很大的后門。”

● 通過未過濾的IPv6和通道流量繞過安全設(shè)備。

與安全產(chǎn)品本身相比，只有缺乏知識(shí)被認(rèn)為是更大的風(fēng)險(xiǎn)。概念上，這很簡(jiǎn)單，安全產(chǎn)品需要做兩件事情：識(shí)別可疑的IPv6數(shù)據(jù)包并部署控制。然而，在實(shí)際中，這在v4中計(jì)劃是不可能的，更不用說(shuō)可能存在流氓流量或未知通道流量的環(huán)境。目前有16種不同的通道和過渡方法—更不用提上層通道，例如SSH、IPv4-IPSec、SSL/TLS甚至DNS。IPv6論壇網(wǎng)絡(luò)安全主題專家兼SRA InterNATional專家網(wǎng)絡(luò)架構(gòu)師Joe Klein表示：“第一步是知道你正在尋找什么。”目前我們使用的安全產(chǎn)品(特別是那些從IPv4轉(zhuǎn)換到IPv6的產(chǎn)品)并不一定足夠成熟來(lái)抵御威脅。

● 互聯(lián)網(wǎng)服務(wù)供應(yīng)商和供應(yīng)商缺乏對(duì)IPv6的支持。

為了確保IPv6安全功能和穩(wěn)定性與IPv4看齊，全面的測(cè)試是至關(guān)重要的。對(duì)所涉及的所有協(xié)議制定一個(gè)測(cè)試計(jì)劃，并部署一個(gè)測(cè)試網(wǎng)絡(luò)，必須測(cè)試所有設(shè)備，特別是來(lái)自供應(yīng)商的新的安全技術(shù)。每個(gè)網(wǎng)絡(luò)都是獨(dú)特的，需要一個(gè)獨(dú)特的測(cè)試計(jì)劃。讓這個(gè)問題進(jìn)一步復(fù)雜化的是，你的供應(yīng)商沒有提供本地IPv6連接。連接到你的接口的通道進(jìn)一步提高了安全的復(fù)雜性，并可能帶來(lái)中間人攻擊和拒絕服務(wù)攻擊。對(duì)此，你可以要求你的供應(yīng)商提供本地IPv6。

● 安全政策。

糟糕的IPv6安全政策直接導(dǎo)致了目前大家對(duì)IPv6安全知識(shí)的不了解。IPv6安全政策的深度不僅需要與IPv4看齊，同時(shí)，其廣度必須更寬，來(lái)應(yīng)對(duì)IPv4環(huán)境中不需要考慮的新的漏洞。

● 新代碼中的錯(cuò)誤。

任何新代碼都會(huì)有錯(cuò)誤。而在這種情況下，我們可能在還不完全支持IPv6的NICS、TCP/UDP和網(wǎng)絡(luò)軟件庫(kù)的代碼中發(fā)現(xiàn)錯(cuò)誤。SIP、VoIP和虛擬化等技術(shù)也可能存在問題。在最壞的情況下，代碼中的錯(cuò)誤可能在你的網(wǎng)絡(luò)中引入新的漏洞。同樣地，這里的解決辦法也是測(cè)試。測(cè)試網(wǎng)絡(luò)和全面的測(cè)試計(jì)劃能夠幫助發(fā)現(xiàn)錯(cuò)誤，以及隔離它們，并可以找到解決辦法，或者關(guān)閉部署，直到修復(fù)問題。

● 沒有NAT。

大家對(duì)NAT普遍存在誤解，以至于NAT沒有出現(xiàn)在IPv6中被誤解為頭號(hào)安全風(fēng)險(xiǎn)。在IPv6環(huán)境中有NAT可能也不錯(cuò)，但事實(shí)上，它們并不提供任何的額外的安全性。防火墻提供了安全性，而不是網(wǎng)絡(luò)地址轉(zhuǎn)譯。

IPv6安全不能只是IPv4安全的簡(jiǎn)單克隆，這種想法是非常危險(xiǎn)的。我們必須安排培訓(xùn)、擴(kuò)大政策，以及在網(wǎng)絡(luò)中部署新的技術(shù)來(lái)抵御新的威脅。從同質(zhì)IPv4網(wǎng)絡(luò)過度到異構(gòu)IPv4/v6網(wǎng)絡(luò)帶來(lái)了新的流量類型以及設(shè)備，企業(yè)必須重新考慮。

此外，由于IPv6相對(duì)較新，其市場(chǎng)才剛剛開始，IPv6安全產(chǎn)品也還不夠成熟。在圍繞IPv6的安全性完善之前，在運(yùn)營(yíng)商讓IPv6與IPv4看齊之前，這是一個(gè)有趣的危險(xiǎn)的時(shí)期。(鄒錚編譯)