IPv6協議:開啟好還是禁止的好?
IPv6協議:開啟好還是禁止的好?
你知道自己的計算機是否已經開始使用IPV6協議了嗎?如果答案是否定的話,最好檢查一下,因為破壞分子很可能已經知道這一點了。
-----------------------------------------------------------------------------------
微軟在發布Vista的時間,已經開始設置默認情況下啟用IPV6協議了。Windows Server 2008和即將發布的Windows 7也將延續這一策略。蘋果、Linux和Solaris也在它們發布的最新操作系統中啟用了IPV6協議。
在進行進一步的分析之前,我需要先說明一些事情。我們都知道IPV6協議是非常重要的。我甚至在喬·克萊恩(Command Information的IPV6安全總監)的大力幫助下寫過幾篇文章。因此,就不用說明我的立場了。
我的立場是什么
我并不了解具體的原因,但現在銷售的計算機已經啟用了IPV6協議。我猜測。這是因為大部分操作系統開發商認為IPV6網絡將開始占據主導地位?;蛘哒f,啟用IPV6協議沒有什么壞處,因此,為什么要等待。
我知道微軟提供的一項服務就需要IPV6協議的支持。它被稱做Windows會議室。采用的是點對點架構和IPV6協議,可以自動進行AdHoc網絡的設置
我們談論的數字是多大
運行IPV6協議計算機的數目是驚人的。根據卡羅琳·達菲·馬爾桑在網絡世界中的一篇文章引用的喬·克萊恩的說法:
“我們討論的很可能是大約三億臺在默認狀態下已經啟用IPV6協議的系統。我們認為這是一個很大的風險?!?/P>
我不明白的是,這三億臺計算機的使用者中有多少人明白啟用IPV6協議意味著什么?
為什么需要進一步分析討論
在一篇類似的文章中,馬爾桑詢問專家,系統同時運行IPV6和IPv4協議時,會出現的最嚴重問題是什么。專家們的回答是:
· 惡意的IPV6流量:攻擊者已經認識到,大多數網絡管理員都沒有或者不能監測基于IPV6協議的流量。因為現有的防火墻、入侵檢測或網絡管理工具都不支持IPV6協議。因此,攻擊者可以通過任何一臺運行IPV6協議的計算機發送惡意流量,并且不會受到任何限制。
· IPV6通道:象Teredo和網站自動通道尋址協議(ISATAP)之類的協議可以將IPV6數據包封裝在IPv4數據包中。這樣的話,轉換后的數據包可以容易地通過基于IPv4協議的防火墻和網絡地址轉換(NAT)設備,默認的保護措施就不會對IPV6數據包產生作用。
· 惡意的IPV6設備:由于IPV6協議采用的是自動配置模式,因此只要在運行IPV6協議的網絡內放置一臺惡意設備,攻擊者就可以獲得相關計算機的控制權。更糟糕的是,該裝置可以獲得路由器權限。迫使所有流量都通過它,讓攻擊者可以窺探、修改或丟棄他們不愿意見到的數據包。
· 內置的網間控制信息協議和組播功能:不同于IPv4協議,IPV6協議需要ICMP協議和組播流量。這一改變將極大地影響系統管理員控制網絡安全的方法。目前,在運行IPv4協議的網絡中,阻斷ICMP協議和組播流量是公認的慣例。對于ICMP協議和組播數據包進行控制和過濾將不再屬于安全措施的一方面。
是否應該關閉IPV6協議
是否應該“啟用或者關閉”IPV6協議并不是一個很容易回答的問題。這就象是一片灰色地帶,充滿了各種各樣的觀點。我想先介紹一下馬爾桑文章中專家們的觀點:
瞻博聯盟的系統工程總監,蒂姆·拉馬斯特是這樣認為的:
“如果你不準備部署IPV6協議的話,謹慎的做法就是不容許這樣的設備進入網絡,”
拉馬斯特認為?!暗窃诮窈蟮奈迥曛?,你不能夠禁止所有來自IPV6的流量。在制定出對策和搞清楚威脅之前,你唯一能做的就是阻止這些IPV6信息?!?/P>
不過,Command Information的先進技術解決方案副總裁麗莎·唐南在此問題上有不同的看法:
“我們不支持阻止來自IPV6的流量這種做法。我們的建議是網絡管理員應該對自己網絡中IPV6設備和程序的情況進行分析和研究。如果你在自己的網絡中發現了來自IPV6協議的流量的話,就應當計劃、培訓并部署IPV6協議?!?/P>
來自美國標準與技術研究院計算機安全部門的計算機專家希拉·弗蘭克爾則給出了一個折中的觀點:
“在IPV6方面,公司至少應該做的是聽取專家的指導意見,這些意見可以讓公司避免遭受基于IPV6的網絡攻擊。另一方面,公司還應當管理好自己的外部服務器,讓IPV6協議在這些服務器上運行,因為這些外部服務器起得就是相當于公司的防火墻的作用。這樣一來,已經使用IPV6地址的亞洲客戶就可以訪問這些服務器,他們自己的員工也會在IPV6方面獲得專家的指導意見。這就是整個處理過程的第一步?!?/P>
弗蘭克爾繼續分析說:
“IPV6的時代已經到來。最好的辦法是提前做好面對它的準備,然后確定自己應該怎樣選擇最安全的方式來進行應對?!?/P>
當開始使用運行了IPV6協議的計算機時,我的選擇是關閉它。原因是,我覺得這種設置是沒有必要的。顯然,這樣的選擇是有價值的,因為客戶的計算機不會受到新型威脅的攻擊了。
至少在目前,我認為這種做法是可行的。我不會假裝自己的做法適合每一個人。從文章前面給出的觀點來看,我更確認的只有一件事情,那就是IPV6的普及正在呈現愈來愈快的趨勢。希望這些信息可以幫助你在網絡和系統之間獲取最佳的平衡。
如何禁用IPV6協議
值得慶幸的是,禁用IPV6協議是非常方便的。如果你希望這樣做的話,我在下面提供了針對不同的操作系統如何進行操作的網站鏈接:
禁用Linux系統中的IPV6協議
禁用Windows Vista中的IPV6協議
禁用蘋果OS X中的IPV6協議
最后的思考
總的來說,這無疑是一個充滿了驚奇的棘手問題。就象每一次未經考驗的新技術變革一樣。我會接受它。但問題的關鍵是什么時間接受,才不會讓安全出現問題。我希望這種情況只是暫時的。
非常好我支持^.^
(10) 58.8%
不好我反對
(7) 41.2%
相關閱讀:
- [電子說] EtherCAT從站轉modbus RTU協議轉換網關用modbus slave測試的方法 2023-10-24
- [電子說] DLT698轉modbus協議網關把電能數據接到wincc的方法 2023-10-24
- [電子說] 快速了解電力IEC104協議規約 2023-10-24
- [電子說] 躍昉動態|躍昉簽署亞洲城市減碳卡澳門合作框架協議 2023-10-24
- [電子說] 工業路由器一般都用哪種協議? 2023-10-24
- [電子說] 三分鐘實現MQTT協議網關串口連接三菱FX3UPLC上傳騰訊云 2023-10-23
- [電子說] 英飛凌科技、現代汽車和起亞達成為期多年的Si功率半導體供應協議 2023-10-23
- [電子說] Type-C接口有多強?PD協議又是什么? 2023-10-23
( 發表人:admin )