IPv4和IPv6协议之间的安全纠葛

IPv4和IPv6协议之间的安全纠葛

IPv4和IPv6协议之间的一些纠葛我们总是常常想到。这个也就是来源于一些方面的。首先在地址方面，这个应该是更偏向于IPv6的使用，应用方面，IPv4则是更占有优势。那么在于安全问题呢？似乎这个更是一个敏感的话题了。

◆哪些地址选择问题与IPv6协议相关，它们是如何威胁网络安全的？

IPv6主机使用默认地址选择规则，因为每台计算机的网络接口上都有很多不同的IPv6地址。这些规则管理所使用的地址。如果这些默认的地址选择规则被修改了，那么将导致无法预测的后果。这可能是攻击者创建中间人条件或者DoS主机的方式。因此，确保这些地址选择规则与默认规则一致是很重要的。

◆由于IPv6并不向后兼容现有的产品，那么我们必须升级或者实现哪些产品和保护机制来维护IPv6网络的安全？这与IPv4网络有何不同？

你必须确保你使用的安全保护机制是兼容IPv6的。你必须使用防火墙来对IPv6包实施相同的政策，正如你目前配置IPv4一样。同时，防火墙必须能够智能地处理不同的IPv6头。同时，你必须有IPS探测器来检测IPv4包或者 IPv6包上的攻击。因此，你可能需要根据你目前供应商的IPv6功能升级软件或硬件。

在安全性方面，IPv4和IPv6协议之间并没有任何真正的不同。因此，完全相同的工具可以也应该用来保护IPv4和IPv6协议。这其中包括防火墙、入侵防御系统IPSs）、检测异常行为的行为分析、网络勘测以及所有应用安全性产品，如反垃圾邮件和反病毒，它们可以检查网络上的邮件和Web流量。

强烈推荐你使用相同的设备或者相同的服务器来同时运行IPv4和IPv6协议保护，以便简化管理、减少操作花费，并确保安全性策略对于IPv4和IPv6协议是相同的。

◆IPv6协议是否可能修改为向后兼容IPv4？

这是不可能的。IPv6是完全独立于IPv4的协议。它们可以同时在同一网络链路上运行，但是它们是以“夜航ships in the night）”方式工作的，并且彼此之间是互相排斥的。在同一网络上运行IPv6 和 IPv4类似于许多年以前我们在同一网络上同时运行IPX 和AppleTalk。它们两者是共存的，但是它们并不是互操作的协议。

IPv6是无法修改来向后兼容IPv4的。但是IETF已经提议了几个迁移机制来协助将IPv4只迁移到双重堆栈并且最后迁移到只使用IPv6的网络后者还需要很长时间）。在2011年的期限之前，IETF会一直致力于研究其它的迁移机制。目标是，IPv4地址耗尽并迁移到IPv6操作完全对现在和将来的用户透明。

◆哪些工具和产品可以使用来监控和识别IPv6协议网络的弱点？

你可以使用与IPv4主机一样的IPv6漏洞扫描器。唯一的不同点在于在IPv6网络上执行PING扫描是很不实际的，因为地址空间相当的大。然而，当你查找一个主机的IPv6地址时，执行一个有IPv6或者IPv4主机的端口扫描是相当容易的。大多数流行的IPv4工具也同样具备IPv6的功能。

你可以使用目前你用来监控IPv4网络的同一套工具来监控你的IPv6网络。它们很可能需要更新为最近的版本以便支持IPv6。这些工具包括入侵防御系统(IPS)和网络自动勘测，如NetFlow。

◆这些工具也处理安全性问题吗？如果没有，哪些产品可以帮助你处理安全性问题？

典型地，这些工具只能分析出你遇到了问题，它们并不自动帮助你修复问题。修复都是需要系统或者网络管理员通过一个手动过程完成。

现有安全工具的升级版本完全可以消除所有IPv6协议攻击。重新使用相同的工具对于IPv4和IPv6协议都相同的操作会有附加的好处，它们都有财务上的好处更少的培训）和安全上的好处，因为操作者已经知道如何使用这些工具。