警惕隐藏的IPv6流量

　　CTI论坛(ctiforum)9月14日消息（记者凡易)： 6月6日,全球IPv6网络正式启动（World IPv6 Launch）。当天，主要的内容和网络服务供应商开始永久启用IPv6支持, 创造了本地IPv6流量高峰，同时也采用6in4和Teredo等链路协议。从促进IPv6使用的目的来看，大会是非常成功的。但是当IPv6发布日已经过去，如何处理IPv6流量的安全问题却还没有解决。
 
　　首要的安全问题是黑客可利用IPv6链路技术隐藏在IPv4流量中，产生了一条没有防护的进出企业网络的通道。关闭这些通道需要了解IPv6转换机制的运作及其可视性。
 
　　要理解机构需要实施IPv6的原因是很容易的。简单来说，就是第一个互联网协议版本IPv4空间耗尽。每个与网络相连的设备都有固定的IP地址，IPv4协议允许32位的IP地址，也就是2³² 个的可能地址，而IPv6则将IP地址数量增加到2¹²⁸。虽然目前IPv4运行良好，但持续增长的网络连接设备终会将其空间消耗殆尽。IPv6也在其他方面对IPv4进行了优化，比如说，简化地址分配。
 
　　但是启用IPv6对网络运营者还许多其他的影响。过去，企业一直重点保护IPv4网络，现在他们必须投入相同的力度在IPv6的运行上。安全管理员需要学习IPv6新协议的基本内容，以应对变化带来的挑战。在这方面，网上公布的最佳实践是美国国家标准和技术研究所(National Institute of Standards and Technology)的纲要。
 
　　如果安全设备支持IPv6，现在就是启用它的时候。一些操作系统，诸如Windows Vista和Windows 7 中IPv6转换机制是默认设置。这意味着IT部门并不知道正在运行IPv6，最终让使用户绕开防火墙和网络入侵防御系统（IPS）。
 
　　这些链路通过启用IPv6主机和路由器，在IPv4互联网上与其他IPv6设备连接来运行。链路的问题在于，它们可以穿过防火墙——攻击者或许能逃出企业安全控制并连接到企业网络内部资源。因此，使用如6 to 4的链路协议支持转换到IPv6需要慎重考虑，尽可能保持在最低限度。
 
　　事实情况是，IPv6可能在企业不知情的情况下，已经在网络中运行，且可能被僵尸网络和黑客用作隐蔽通道。虽然企业可能不会主动在网络中运行IPv6，但是，他们的安全基础设置应具备检测IPv6的流量的功能。毕竟，你不能阻止你无法看到的。
 
　　谈及保护IPv6部署，最重要的是可视性。企业需要部署支持IPv6并使IPv6运作的安全产品。在某些情况下，这可能需要升级，例如，传统的入侵防御系统（IPS）和防火墙，就可能已经无法检测到IPv6流量。可喜的是，在过去的几年中，许多主要的防火墙和网络安全厂商已经增加了对IPv6的支持。尽管如此，企业仍应向供应商反应，以确保产品提供了他们所需的所有功能，并且开始在他们的环境中应用。被认可的IPv6测试方案有NIST的USGv6 Profile和测试计划。
 
　　 随着越来越多的企业部署IPv6，管理员需要特别注意转换机制和设备配置，以避免向网络开放未经授权的途径。保护网络安全首要关键是监控所有网络的流量，如果管理员发现未经授权的链路，那么他们要立即关闭这些链路避免被利用为攻击流量。IPv6的必然性意味着企业需要现在便开始采取措施来支持其安全使用。
 
　　Check Point认为，对于很多企业和全球服务提供商来说，过渡至IPv6并部署可以同时为IPv6和IPv4提供保护的网络安全解决方案至关重要。企业应该清楚地认识到这次迁移所带来的安全挑战。客户想要弥补协议转换带来的安全缺口，最直接的方法就是采用获得IPv6标识认证的安全产品。
 
　　在向IPv6过渡的浪潮中，安全厂商也在一直在寻求不断满足客户实施需求的解决方案。例如，Check Point R75.40软件刀片和GAiA 统一的操作系统（OS）就通过了UNH互操作性实验室(UNH Interoperability Laboratory)的评测，并获得了IPv6论坛授予的第二阶段（金）标识（Phase Two (Gold) Logo）。这表示此两款产品包含所有强制的IPv6核心协议，并且能够与其他IPv6 和IPv4实施方案互相操作，满足IPv6标识认证委员会的所有技术要求。Check Point R75.40，GAiA和新型安全设备能够轻松与新版本的网络协议实现互相操作，让客户无缝且安全地过渡到IPv6时代。