企业应警惕IPv6所带来的安全漏洞与风险(2)

充足的IP地址可以为企业提供一个自己的IP地址专区，这会带来另外一个安全优势。Lyne说，有了这样受控于本公司的IP专区，公司能够对所有相关的IP地址运用安全政策，并且控制整个操作过程。

有了全球范围内可用且充足的IPv6地址，企业就可以为特定使用者（不管是顾客、合作伙伴还是在别处的员工）创造特殊服务。

Blue Coat公司 首席科学家和高级技术专家李青说：“每项服务都有周密的安全措施和准入政策作保证，这样就简化了系统外部的支持和维护工作。”

IPv6的安全挑战

从管理的角度来说，拥有相当数量的IP地址对公司很有益，但是也为网络犯罪提供了温床。犯罪分子不仅可以频繁地转换IP地址——这样很难追踪到他们——而且很多现有的安全防控措施都将失效。

Lyne说，他估计目前各公司使用的网络过滤工具90%都依赖黑名单，这确实是个问题。一旦全世界改用IPv6，犯罪分子能够以极快的速度转换IP地址，这会对黑名单、甚至灰名单、白名单的有效性带来巨大挑战。

现在不仅老的技术面临潜在的安全威胁，老的技术人员也是。

McAfee的Raj Samani说：“需要引起注意的是，大部分安全专家和网络工程师对保护IPv4网络更为熟悉，所以当我们转换到IPv6以后，真正的风险是缺乏相应的技术人才。”

Blue Coat的李青指出，很多IT经理没有机会进修该技术的相关知识，过去也没有经历过这样的转变。

他说：“所以转换过程很有可能制造安全漏洞，而最有可能出现的危险是在为IPv6制定使用和安全政策的时候。并不是现在应用于IPv4环境下的所有政策和规则都能简单地转换到IPv6环境。相反，它们都需要重写。缺乏操作层面的专家指导，IT经理在编写新政策时一不小心就会制造出安全漏洞。”

而且在传统的IPv4架构中，找到一个网络地址转换设备很平常，这样就看不出内部网络的结构，但在IPv6网络中很难找到一个同样功能的网络地址转换设备。

李先生说：“因此，过去IT经理管理的私人地址最终都将转换为一个单一的公共地址。而现在IT工作者面临的是大规模的公共地址管理，必须找到防止内部使用者建立通向外界的安全渠道，因为这些渠道可能会为公司造成损失。”

如何避免IPv6的安全陷阱

Lyne说向IPv6的转换是一个重要的机会，可以规避在实施IPv5和SSL 过程中出现的错误。比如，新的IP地址分配程序更加严格，需要申请者证明从事的是合法生意，这种分配方式有助于解决迅速转换IP地址产生的问题。但是，他说，由于缺乏一个公认的网络权威机构，势必会产生一种风险，就是IPv6的实施会缺少协调和协作，像IPv4和SSL，完全按照系统操作，缺乏整体思维。而整体思维恰恰又是必要的，有了整体思维才能确保网络尽可能安全可靠，尽可能少得给犯罪分子创造有机可乘的漏洞。

IPv6给安全技术提供商造成的挑战之一是他们不得不重写防火墙，但是，Lyne说，情况同上，由于没有任何一个机构制定关于如何部署IPv6的时间表，工作的确切方法和要求只能根据情况随时变化。安全技术提供商不能准确了解IPv6如何运行，很可能会为网络罪犯制造更多机会。

Lyne说，IPv6不归任何一个组织所有也是普及较慢的重要原因之一，虽然它的速度、效率和安全性都大大优于IPv4。虽然商业界仍在按兵不动，网络罪犯却在积极部署，充分将IPv6的速度、效率等优势应用于他们的僵尸网络或者已被劫持的电脑网络。Lyne说：“几乎没有人过滤IPv6或者根本不知道怎么过滤，网络罪犯就是钻了这个空子。”

IPv6的强制加密是个好事，它会降低数据泄露的可能性。但这是一把双刃剑，一旦向IPv6的转换完成，政府机构会发现他们对网络的监控能力严重降低，这对政府是一个挑战。(责任编辑：admin)