2020年3月23日,工業(yè)和信息化部發(fā)布《關(guān)于開展2020年IPv6端到端貫通能力提升專項行動的通知》,要求到2020年末,IPv6活躍連接數(shù)達到11.5 億,較2019年8億連接數(shù)的目標(biāo)提高了43%。IPv6安全不能僅依賴于某個單一的系統(tǒng)或設(shè)備,而是需要仔細分析安全需求,利用各種安全設(shè)備和技術(shù)外加結(jié)合科學(xué)的管理,共筑網(wǎng)絡(luò)安全。
IPv6局域網(wǎng)安全
在IPv4局域網(wǎng)中,經(jīng)常面臨一些網(wǎng)絡(luò)安全方面的問題,比如,廣播風(fēng)暴、發(fā)送偽造的ARP報文以冒充網(wǎng)關(guān)或鄰居、私設(shè)DHCP服務(wù)器、針對DHCP服務(wù)器的地址池耗盡及DoS攻擊等。在IPv6中,雖然協(xié)議自身的設(shè)計屬性能減少一些安全問題,但并不能完全避免,集中表現(xiàn)在組播問題、局域網(wǎng)掃描問題、NDP攻擊問題以及IPv6地址欺騙等問題,IPv6情況下的局域網(wǎng)問題仍然不容忽視。
網(wǎng)絡(luò)設(shè)備安全
路由器作為網(wǎng)絡(luò)互聯(lián)設(shè)備,不但保障網(wǎng)絡(luò)的穩(wěn)定運行,而且還擁有整個網(wǎng)絡(luò)的拓撲信息以及一些重要的管理維護信息。攻擊者可以通過嗅探路由器自身或轉(zhuǎn)發(fā)的數(shù)據(jù)報文來獲取有用信息,甚至利用路由器等網(wǎng)絡(luò)設(shè)備系統(tǒng)自身或者管理上的漏洞攻破路由器等設(shè)備。
網(wǎng)絡(luò)設(shè)備的安全至少要從以下4個方面來加強:
(1)網(wǎng)絡(luò)設(shè)備系統(tǒng)本身的漏洞要及時修補或升級,當(dāng)暫時無法提供補丁或新版本時,也需采用臨時解決辦法或手段。
(2)路由器等網(wǎng)絡(luò)設(shè)備需關(guān)閉不必要的服務(wù),對于必須開放的服務(wù),也應(yīng)做好安全訪問限制。
(3)網(wǎng)絡(luò)配置應(yīng)盡量簡潔,對過時的無用的配置要及時刪除,特別是在更改網(wǎng)絡(luò)配置時,配置不能越來越繁雜。
路由器等網(wǎng)絡(luò)設(shè)備也必須放置在不能隨便進入的機房等場所,而且要避免設(shè)備上的網(wǎng)絡(luò)連線被嗅探到。網(wǎng)絡(luò)設(shè)備的console口也應(yīng)設(shè)置不易破解的密碼,關(guān)閉并按需啟用暫時還沒有連接到網(wǎng)絡(luò)的端口。
IPv6主機安全
在信息時代,攻陷服務(wù)器等主機可以獲取比攻擊路由器/交換機等網(wǎng)絡(luò)基礎(chǔ)設(shè)施更有價值的信息,因此攻擊者將注意力更多地集中到有價值的主機上。當(dāng)構(gòu)建一個全面的IPv6安全策略時,不能只考慮使用專門的安全設(shè)備來增強網(wǎng)絡(luò)安全,IPv6主機的安全更應(yīng)引起人們的重視。
就IPv6主機安全而言,主要目標(biāo)就是遠離網(wǎng)絡(luò)中的攻擊行為,包括對本機開放的應(yīng)用服務(wù)進行訪問限制、關(guān)閉不必要的服務(wù)端口、對存在安全隱患的應(yīng)用(包括操作系統(tǒng))及時修復(fù)、對入站的接收包和出站的發(fā)送包進行嚴(yán)格的限制、定期對主機進行病毒掃描和查殺等。
在IPv4向IPv6過渡階段,主機特別是服務(wù)器使用雙棧的情況會長期存在,所以IPv4協(xié)議和IPv6協(xié)議的安全防護同等重要,不能厚此薄彼。否則,即便IPv6安全做得相當(dāng)?shù)轿唬坏㊣Pv4協(xié)議被攻陷,IPv6也會功虧一簣。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!