未来的安全IPv6网络
为什么IPv6更好?
那么这一切与IPv6的安全性又有什么关系呢?这也势必会引发是否存在某种形式的NAPT形式是可取的这个问题。如果你放弃了NAPT,那么在你的网络中的任意设备和任何外部设备之间就会有潜在的点对点的受益--因为在IPv6下,每台设备都可以拥有自己唯一的IP地址。
所以,在IPv6下不使用NAPT并不会因为攻击者可以看到你的网络拓扑结构而让它变得更加脆弱。这是因为默认的IPv6子网络拥有2^64的IP地址,所以即便是以10Mpps的速度,一个黑客也需要花上五万年的时间来完成整个网络扫描(Nmap甚至可能不能支持IPv6上的扫描)。这并不是说黑客不能对你的网络进行侦查--这意味着他们会使用其它手段,比如对入侵计算机进行DNS记录或者日志和网络状态数据检查,之后锁定其它的攻击目标。
由于NAPT几乎不能在IPv6环境下提供任何好处,所以为了确保从巨大的新地址空间中获得最大效益,企业应该学会将之遗弃。因此,他建议对所有的信息流量都使用所谓偏执开放政策,而不是阻止所有外部信息流量进入内部网络(除了少数几个特例比如网络服务器流量)。
信息流量检查需要通过多个系统来实现。这些将包括一些类型的IP地址信誉系统来检查信息流量并阻止任何来自低信誉IP地址的信息和使用动态签名更新的入侵防御系统。
未来的安全IPv6网络
默认的企业安全策略可以基于以下七个准则,取决于企业的特殊需求:
1.通过采用单一地址反向传输路径转发来拒绝所有拥有模糊源地址的数据包。
2.阻止一切来自于低信誉IPv6地址的信息流量。
3.检查出站信息流量,允许返回流量匹配条件,但是仅仅是在它已经通过了IPS,以检测用户无意间带入的任何僵尸网络流量或者恶意软件(也可能是由于钓鱼攻击引发)。
4.允许入站网络流量进入在公共DNS中拥有AAAA记录的地址。
5.如果某个内部地址从来没有发送过任何来自企业外部的信息,阻止一切信息流量进入该内部地址。这是为了保护内部设备比如打印机不被外部访问。
6.拦截所有入站SSL/TLS信息流量,用自签名的证书来对它进行解密,在允许它们进入之前对它们进行检查。
7.在通过IPS之后,默认允许所有其它入站信息流量,但是要对它们的速率进行限制,以此来避免设备超载。
对于许多企业而言,在IPv6式的点到点连接的好处被证实之前尤为如此。但是不要忘记,企业之所以能够乐意面对将局域网连入互联网的风险,唯一的原因就是这么做所带来的好处值得他们去冒这个风险。
网友评论