1.5 IPv6安全缓解技术
IPv6安全
IPv6安全架构与IPv4的安全架构没有本质上的不同。当组织机构迁移到IPv6时,他们仍然具有与如今相同的网络拓扑结构。不管使用哪个IP版本,网络仍然需要能够支持组织机构的任务,网络仍然需要有数据中心、远程站点和Internet连接。
采用IPv6,网络周边设计与采用IPv4的情况相同,多数组织机构继续拥有“硬得嘎嘎作响的(hard,crunchy)”外部网络以及“软得粘糊糊的(soft,squishy)”内部网络。问题是,多数组织机构将他们的大部分精力放在保障网络周边的安全上面,而忽略了其网络的内部安全。如果这些组织机构考虑到恶意的内部人员威胁,他们也许要重新考虑网络周边设计,并将其转移到实施有安全层的模型。许多这样的经典安全范型仍然适用于IPv6网络。当考虑保障IPv6网络安全时,需要保护IT环境的如下区域。
针对Internet和外部实体的网络周边保护。
以虚拟专网(VPN)技术保护远程站点连接的安全。
基础设施保护措施,确保一个安全的网络基础平台。
保护关键IT资产和数据的服务器安全。
缓解内部人员威胁的客户端安全措施。
随着时间的消逝,在系统采用IPv6通信的方式方面将会有些变化。流量模式可能会从主要是客户端/服务器模式改变为本质上更加对等的模式。任意播(anycast)通信的使用可为通信增加冗余度,但也使它们具备更弱的确定性。移动IPv6和隧道可能改变网络周边的概念,原因是这两种方式需要网络周边之外的信任节点。这会将网络周边转化为一个更模糊和朦胧的概念。为了保障不同通信流的安全,需要大量使用端到端加密方式。因此,随着时间消逝,IPv6网络的安全架构将随着人们通信的方式而变化。
当考虑IPv6网络的安全性时,标准IT安全原则仍然适用。组织机构应该采用相互支持的多种防御对策。组织机构在他们的防御措施方面也应该具有多样性,使不同类型的保护可对抗多种类型的威胁。防御机制的强度由最脆弱的链路决定,所以要保护的所有部分都应该像城堡一样进行全面加固。这个概念的一个良好范例是得到如下一种安全架构,它具有网络周边控制和内部控制,不仅应对Internet威胁而且应对内部人员威胁。在深度和广度上都要进行防御,就像“兼有腰带和吊带”,防止出现裤子掉落的情况一样。如果针对IPv6,您没有考虑任何措施,那么您的网络将令人尴尬地暴露于自然力量(攻击)下。
Cisco自防御网络(SDN)也可以作为保护IPv6网络的一个指南。SDN的哲学理念同样适用于IPv4网络和IPv6网络。集成、协作和适应性是自防御网络的核心能力。集成的安全,即网络的安全应该是在设计时就内置固有的,而不是在既成事实之后添加的。这就是IPv6的事实,从一开始许多设备就内建了IPSec。
多样化的安全解决方案之间的协作将使整个系统的安全性更高。IPv6允许这种形式的协作,原因是每个节点都有其自身的地址,并可在边界间方便地进行通信。适应性允许安全系统对所处状态动态地做出响应。IPv6提供的新的通信方式可适应用户需求的同时,提供安全感知能力。IPv6是安全的网络平台,可以作为Cisco自防御网络架构的基础平台。
保护IPv6网络的方式与用来保护IPv4网络的那些方法非常类似。如网络周边、LAN安全、远程站点通信和VPN、基础设施保护、服务器群保护和主机/客户端安全等概念都是IPv6关注的范围。自防御网络的构造块包括如下部件。
端点保护。
接纳控制。
感染隔离(Infection Containment)。
智能关联和应急响应。
内嵌入侵防护系统(IPS)和异常检测。
应用安全和anti-X防御。
虽然并不是所有这些技术均可无缝地运行于IPv4和IPv6之中,但这些技术却是可保障任何IP版本所需要的部件类型。
对于IPv6部署鲜有最佳实践。随着Internet团体继续发展演化IPv6解决方案,将出现通过测试和试部署发现问题的解决方案。IPv6邮件列表、协作组、IETF v6ops工作组和互操作测试组织都集中地关注于搜集有关IPv6部署经验的信息。这些组织正在试验早期IPv6解决方案,并以文档方式记录了实施IPv6的最佳方式。但是,对于IPv6安全,还不存在最新的IETF最佳当前实践(BCP)。就IPv6在真实网络中如何运行的问题,随着人们知道得越多,并发现更多可保障IPv6安全的方式,从而形成BCP。
通过对IT员工和安全管理人员的充分培训,可降低安全风险。网络专业人员必须理解与IPv6有关的风险,并确保他们正在实施正确的保护机制。针对IPv6带来的新的安全问题,就需要设计或更新安全对策,端用户需要安全感知能力培训,以帮助避免因无知而导致的内部人员威胁。
几乎所有组织都极度依赖于他们的员工和他们的网络安全设备来保护他们关键的计算机系统。多数组织机构使用防火墙、基于主机的和基于网络的入侵防护系统(IPS)、防病毒软件和安全信息管理系统(SIMS),来帮助监控被严密保护(lockeddown)环境中的安全事件。各公司已经花费大量金钱,试图保障他们的计算机网络基础设施免受入侵。这主要是因为计算机网络上使用的协议存在弱点、应用中存在缺陷,而这些不足可能会被恶意的个人加以利用,进而破坏计算机网络。在恶意个人利用协议中弱点的同时,无知的内部人员会无视企业安全策略、指导方针和标准,从而帮助传播威胁。
需要在市场上购买,可用的IPv6安全设备,并保持更新,以便确保发现新的IPv6弱点时,仍然可以保护计算机系统。在部署IPv6之前,各组织机构将需要支持IPv6安全的产品。在如今的网络中到处存在防火墙,目前存在几款可用于IPv6的防火墙解决方案。但是在2008年,许多IPS和VPN集中器均不支持IPv6。数年来,人们一直在实施迁移到IPv6的计划,但迄今为止,所需的多数(安全)功能还不存在。在IPv4和IPv6安全产品之间要体现出功能相当性,可能还需要数年时间。因此,为了得到IPv6功能,各组织机构应该有计划地升级他们当前的安全系统。
不能将关注点放在IPv6的理论安全隐含意义方面,您应该将目标定位于:基于如今可用的信息,实现保障网络安全的实践措施。还没有人声称在部署所有的IPv6安全迁移技术方面拥有大量的经验。目前,基于人们有限的部署经验,我们仅能讨论已知可实现的事物(方案)。但是,基于对IPv6的当前知识、测试和保障计算机网络安全的经验,一定程度上可以确信,本书中给出的各项技术是有效的。