计算机与网络创新生活
网络 Comput & Network
企业升级IP必须知道的4个IPv6谬论
ISP和Web公司成立World IPv6LaunchDay已经有不短的时间了，Akamai报告称在IPv6内容传输平台上的IPv6流量已经增长了 250%，每天发送的请求达到了100 亿。尽管这种流量仍然远在IPv4之后，但是仍在持续增长中，与此同时，对于IPv6的的误解一直影响者此协议的部署以及企业网络的安全。
在与多位安全和网络专家交谈过后，NetworkComputing列出了四个常见的IPv6安全误区。
1.在仅支持IPv4的网不需要提供IPv6防御
第一个与IPv6相关的误解其实与IPv4的关系更胜一筹，与IPv4 网络有关的组织或许认为他们不会受到基于IPv6的攻击，但是专家称情况并非如此，“IPv6已经有几年历史，最新的操作系统和移动设备都已经准备好接受IPv6网络了," Tenabie Network Security CEO RonGula说。“这意味着，如果你要运行或者审核一个IPv4网络，就会有很多系统希望通过IPv6限你对话。这为黑客和恶意软件提供了很多机会。”
Rapid 了首席研究师HD Moore 称，每一个现代操作系统一一包括 Windows,Mac Os X, Ubuntu Linux, iOs和安卓——都是默认启用IPv6.“WindowsHomegroup的特性专门用拓展内存的有效使用空闻，以防止由于系统内存不足而造成系统内存读写错误的发生。
当然，在系统自身内存空间不足的情况下，我们应该先将那些随机启动的杀需软件以及相关即时
TCP做本地网络管理。每个启用了 IPv6的系统都有一个本地网络的其他机器都可连接的‘link-local'地址”。这样，人侵者就可以接入本地网络一—直接访问或是通过被破坏的IPv4系统连接这样就可以接人或攻击IPv6界面。
Johannes UIlrich 说，启用了 IPv6 却没对其进行控制，企业等于是把自己暴露在威胁之下，他是SANS 学会的研究主任，最近，我一直都在尝试一种特殊的攻击，这种改击对于使用VPN从受信任网络连接企业资源的的公司系统而言是个头疼的问题，"Ulrich说。“例如，一名出差的员工从酒店无线网络连接互联网，并创建一个VPN隧道连接到公司网络。这种VPN只会转发IPv4数据流。攻击者可以在酒店网络中创建一个IPv6路由器，为主机指定一个IPv6地址，提供一个支持IPv6协议的DNS服务器。这样一来，攻击者就能阻止数据通过 VPN，供其破译。"
2.带强制 IPSec 的 IPv6比IPv4 安全
外界广泛认为IPv6的一个优势是对IPSec支持，但其实它们存在差别。虽然IPv6支持用于传输加密的IPSec，但并非强制使用IPSec，也不是默认设置，Moore说：“即便是在已经启用的情况下，IPSec也要求确保大量配置的安全。"
监控的程序暂时关闭掉，之后再尝试运行容量较大的应用程序或者网络游戏，因为杀毒软件及相关监控程序会在一定程度上消耗一些系统内存资源，将它们关闭可以节省不小的内存空间，从而能够有效
3.IPv6可阻止中间人攻击
由于IPv6不适用ARP【Addres ResolutionProtocol)议，假定它可以阻止中间人攻击，事实上，IPv6 使用ICMPv6来部署Neighbor Dis covery协议，这个协议可以为本地地址替换ARP，NeighborDiscovery 协议和ARP一样容易受到中间人攻击。
Moore表示，“某个被破坏的内部节点可能通过一条简单的路由公告就把所有本地设备都暴露到全球IPv6网络，"。
4.IPv6没有IPv4安全
一些人误以为IPv6非常安全的同时，还有些人认为IPv6因为缺乏NAT，所以比IPv4的安全性能要弱，“网络地址转换（RFC1918| 是一种可以让各个组织把私有，不可路由的IPv4地址分配到各个设备，然后通过公共IPv4地址的有限数字为这些设备提供网络连接，" Neohapsis联合安全顾问说。
“尽管如此，私有选址被误认为是一项安全特性，而它的遗漏也常被视为不部署IPv6的原因，"他补充道。“IPv6扩展的地址库解决了NAT解决的问题。NAT部署真正的安全性是同时使用对内流量的静态检测。只要访问控制做得好，那么相对于NAT而言，IPv6的安全防护性能其实变化不大。”
(NC)
避免内存读写错误现象的发生。当然，值得注意的是，我们在运行完大容量的程序或游戏之后，还必须记得及时将相关程序的监控功能全部打开。
耿少）
2013年第19期《计算机与网络》
33