谈谈IPv6带来的安全挑战及应对之策

下一代互联网协议IPv6逐渐被商用企业采纳,管理机构和运营商也开始规划和测试工作,尽管迁移的路子仍然比较漫长,但它也日益成为IT基础架构人员的谈资。

近几年出口的软硬件产品都已经内置了IPv6支持,特别是大量的移动终端几乎都已经支持IPv6,然而一向被认为安全性较高的IPv6并不像传说中的那样,甚至相反会严重挑战现有的安全保护体系。

首先,IPv6的通道功能会影响现有的网络访问控制,IPv4防火墙在针对IPv6流量的细力度控制上几乎无力,基于协议和端口的动态包过滤对于能够灵活变化的通道也几近失效,不当配置的企业网络边界控管措施在IPv6面前形同虚设。

其次,IPv6的加密通道及自动配置功能让端到端的通讯更为便捷也更为危险,还令传统的基于特征检测与分析的入侵检测、内容过滤及监控审计系统失效,

最后,基于IPv6的攻击已经开始现身,分布式拒绝服务攻击、网络穿透攻击、IPv6加密蠕虫等等开始零星出现于安全媒体,但却没有引起安全界的重视。

应对这些挑战并非难事,首先,觉醒起来是最好的安全防线,加强IT及最终用户关于IPv6的安全意识教育应该被纳入到安全管理的议事日程;接着,制定和设置严格的访问控制策略,必要时实施白名单政策;最后,加强安全监管,特别是针对加密安全通讯的监管,阻断不必要的加密通讯宜早不宜晚。