国产毛片一区二区三区,国产午夜精品鲁丝片,国产福利不卡一区二区三区

安全觀察之IPv6供應(yīng)商規(guī)劃與測試篇

責(zé)任編輯：FLORA

2011-11-09 09:00:40

摘自：至頂網(wǎng)

在遷移到IPv6協(xié)議的過程中，成千上萬家硬件制造商在固件中添加的大量不同功能以及應(yīng)用功能中使用到的隨機軟件棧，將會給兼容性方面帶來不可估量的問題。

對于網(wǎng)絡(luò)管理員來說，是否還記得死亡之ping、源路由選擇、無邊界防火墻、地址欺騙攻擊以及其它無數(shù)充滿TCP/IP“特色”的攻擊模式?為了防范所有類型的攻擊，大家需要不斷學(xué)習(xí)并對網(wǎng)絡(luò)進行調(diào)整，規(guī)劃和配置。

1994年，筆者開始從事與TCP/IP相關(guān)的技術(shù)工作。那時，商業(yè)公共互聯(lián)網(wǎng)就像才露尖尖角的小荷。在我參與TCP/IP相關(guān)工作的同一年，無類型域間選路(CIDR)作為節(jié)約由IPv4提供有限地址空間的概念被提出;并且直到今天為止，TCP/IP依然是互聯(lián)網(wǎng)和局域網(wǎng)中使用最普遍的協(xié)議。

我們現(xiàn)在使用的IPv4協(xié)議是在1980年發(fā)布的RFC 760中初次出現(xiàn)的，并在1981年制定的RFC 791中進行了更新。在內(nèi)容方面，它已經(jīng)基本上就等同于全球正在使用的網(wǎng)絡(luò)規(guī)范了。這也就是說，IPv4協(xié)議的兩個主要部分是如此地簡單，幾乎到了荒謬的地步。

當(dāng)前IPv4所有問題的核心

因此，對于IPv4協(xié)議來說，當(dāng)前面臨著兩個需要獲得解決的重要問題。實際上，從某些方面來看，它們也是所有問題的根源。

與大多數(shù)其它互聯(lián)網(wǎng)核心協(xié)議相同，TCP/IP協(xié)議最初的構(gòu)想模式也是友好環(huán)境中的使用。

在協(xié)議設(shè)計階段，開發(fā)者并沒有意識到互聯(lián)網(wǎng)的實際發(fā)展速度會如此之快。

現(xiàn)在，就讓我們來認清面臨的現(xiàn)實情況——至少在過去的十五年里一直處于這樣的狀態(tài)：所謂的安全機制已經(jīng)基本上屬于亡羊補牢的處理模式，在通過互聯(lián)網(wǎng)傳輸數(shù)據(jù)時出現(xiàn)補丁落補丁的情況也開始屬于常見現(xiàn)象。不僅如此，我們連所有的地址空間也都用完了。2011年2月3日，最后一個IPv4地址塊被分配了出去。

現(xiàn)在，作為從設(shè)計階段就考慮到互聯(lián)網(wǎng)在規(guī)模和安全方面需求的協(xié)議，IPv6協(xié)議就成為必然的選擇。它將可用地址空間數(shù)量擴展到不可思議的等級。舉例來說，一個/64地址，也就是標(biāo)準用戶地址，可以提供的地址空間地址容量就比整個IPv4協(xié)議所提供的高40億倍。

此外，IPv6還可以支持IPsec、針對TCP/IP協(xié)議的加密和完整性等日常工作中的必須功能。從很多年前開始，它們就已經(jīng)屬于IPv4協(xié)議中的必備功能，并且得到了廣泛應(yīng)用，特別是在虛擬專用網(wǎng)絡(luò)(VPNs)中。因此，這些技術(shù)是非常有用的，不是么?

從安全歷史中可以獲取的經(jīng)驗

不過，現(xiàn)實情況并非都如此美好。早在四年前，研究人員菲利普·比翁迪和阿諾·埃巴拉德就發(fā)現(xiàn)IPv6協(xié)議路由頭與IPv4源路由過于相似，會導(dǎo)致在安全方面出現(xiàn)大量問題，最終的選擇就是不得不給予禁用。首先是網(wǎng)絡(luò)管理員，然后是供應(yīng)商都對IP協(xié)議棧進行了這樣的處理?？雌饋恚聵?biāo)準的設(shè)計者并沒有從過去的教訓(xùn)中吸取到經(jīng)驗。

“看起來，新標(biāo)準的設(shè)計者并沒有從過去的教訓(xùn)中吸取到經(jīng)驗。”

數(shù)以百萬計的新代碼中存在著成千上萬的潛在漏洞。這讓我?guī)缀醪桓蚁胂骉CP/IP棧更新帶來的問題會有多大，即便回到1994年，僅在單獨供應(yīng)商遵循IPv4標(biāo)準的情況下也不例外。

對于企業(yè)來說，既定目標(biāo)已經(jīng)非常明確，這就是：開始進行前期規(guī)劃，就實際問題咨詢供應(yīng)商，確保技術(shù)和安全團隊已經(jīng)準備好相應(yīng)的遷移計劃。盡管在未來一段時間中，IPv4和IPv6協(xié)議將保持共存的局面，但邊界防火墻、虛擬專用網(wǎng)、入侵防御系統(tǒng)和滲透測試之類傳統(tǒng)安全模式的使用需要被重新進行分析和評估;并且，與往常一樣犯罪分子還將繼續(xù)占據(jù)先機。

IPv6協(xié)議 TCP 入侵防御系統(tǒng) CIDR