为向IPv6过渡的组织发布安全指南
美国国家安全局 (NSA) 已发布指南,以帮助国防部 (DoD) 和其他系统管理员识别和减轻与过渡到互联网协议版本 6 (IPv6) 相关的网络风险。
IPv6 由互联网工程任务组 (IETF) 开发,是用于识别和定位系统并在互联网上路由流量的协议的最新版本,提供比其前身 IPv4 更广泛的技术优势和安全改进,包括更多的地址空间。
美国国家安全局指出,向 IPv6 的过渡预计将对网络基础设施产生最大的影响,所有联网的硬件和软件都会以一种或另一种方式受到影响,并且还会影响网络安全。
IPv6 的安全问题与 IPv4 的安全问题非常相似。
也就是说,用于 IPv4 的安全方法通常应适用于 IPv6,并根据需要进行调整以解决与 IPv6 的差异。与 IPv6 实施相关的安全问题通常会出现在刚接触 IPv6 的网络中,或者出现在 IPv6 过渡的早期阶段,NSA 的 IPv6 安全指南(文末提供下载地址)中写道 。
根据 NSA 的说法,IPv6 新网络预计会遇到的问题包括缺乏成熟的配置和网络安全工具,以及缺乏 IPv6 管理员经验。
在过渡到更新的协议版本时,联邦和国防部网络预计将通过同时运行 IPv4 和 IPv6 来运行双栈,这会引发额外的安全问题并增加攻击面。
配置和管理 IPv6 实施人员的网络架构和知识对网络的整体安全性有很大影响;因此,IPv6 实施的实际安全态势可能会有所不同。
美国国家安全局表示,无状态地址自动配置 (SLAAC) 是一种为主机分配 IPv6 地址的自动方法,它的使用会引发隐私问题,因为分配地址中包含的信息可用于识别网络设备和使用它的个人。
NSA 建议通过动态主机配置协议版本 6 (DHCPv6) 服务器为主机分配地址,以缓解 SLAAC 隐私问题。
或者,这个问题也可以通过使用随时间变化的随机生成的接口 ID 来缓解,这使得关联活动变得困难,同时仍然允许网络防御者获得必要的可见性。
此外,美国国家安全局建议避免使用隧道来传输数据包,并指出隧道会增加攻击面;配置周边安全设备以检测和阻止用作过渡方法的隧道协议。此外,尽可能在所有设备上禁用隧道协议。
对于双栈网络,美国国家安全局建议部署与 IPv4 实施的那些相对应的 IPv6 网络安全机制,例如防火墙规则,并阻止其他过渡机制,例如隧道和转换。
由于多个网络地址通常分配给 IPv6 中的同一接口,管理员应审查过滤规则或访问控制列表 (ACL) 以确保只允许来自授权地址的流量,还应记录所有流量并定期查看日志。
为了更好地保护和提高网络上的 IPv6 安全性,美国国家安全局还建议确保网络管理员接受有关 IPv6 网络的适当培训和教育。
虽然有令人信服的理由从 IPv4 过渡到 IPv6,但安全并不是主要动机。
安全风险存在于 IPv6 中并且将会遇到,但在过渡期间应该通过严格应用配置指南和对系统所有者和管理员的培训来减轻这些风险。
相关资料:
IPv6技术讲堂
https://www.ctrunk.cn/homepage.do
行业IPv6部署和应用文档
http://www.csrc.gov.cn/csrc/c106314/common_list.shtml
IPv6资料合集:
资料合集预览:
关注回复 20230125 获取下载地址。
原文链接:美国国家安全局为向IPv6过渡的组织发布安全指南
为向IPv6过渡的组织发布安全指南相关推荐
- IPv6过渡技术介绍-一
[IT168厂商动态]IP地址的重要性已经无需多言,海量的地址是未来移动互联网.物联网等应用深入发展的基础.而在我国目前IPv4地址已经严重不足的情况下,如何过渡到IPv6的问题就显得更为迫切. ...
- 连接ipv6服务器未响应,IPv6过渡技术未响应
IPv6过渡技术未响应 内容精选 换一换 CVE-2020-13401漏洞源于IPv6动态分配除提供了IPv6的DHCP技术外,还支持Router Advertisement技术.路由器会定期向节点通 ...
- 【计算机网络】网络层 : IPv6 协议 ( IPv6 数据包格式 | IPv6 地址表示 | IPv6 地址类型 | IPv4 与 IPv6 协议对比 | IPv4 -> IPv6 过渡策略 )
文章目录 一.IPv6 发展 二.IPv6 数据报格式 三.IPv6 和 IPv4 对比 四.IPv6 地址表示 五.IPv6 地址 类型 六.IPv4 向 IPv6 过渡策略 一.IPv6 发展 I ...
- IPv4如何向IPv6过渡?—Vecloud微云
网络分层的设计,将各个功能分开,交付给不同的层,这样的好处是便于更新和维护,也便于我们的学习和理解. 下面为各版本的网络体系的结构图: 以五层网络体系为例,我们来了解下各层的工作职责都有哪些: 应用层 ...
- 计算机网络-基本概念(4)【网络层】-IPv4向IPv6过渡
向IPv6过渡只能采用逐步演进的办法. 双协议栈(源目的地址不变) 是一部分主机(或路由器)装有双协议栈一个IPv4和一个IPv6.因此双协议栈主机(或路由器)既能够和IPv6的系统通信,又能和IPv ...
- APNIC执委赵巍:IPv4向IPv6过渡再无退路
中新网北京3月7日电 第31次亚太互联搜集信息中间开放政策集会(APNIC 31)即日在喷鼻港召开,作为继举世IPv4地点总库分配终止后的初次APNIC大会,应对IPv4耗尽以及向IPv6过渡的战略成 ...
- IPv4如何向IPv6过渡?IPv6改造方案有哪些?
IPv6是下一代互联网协议,相比IPv4其拥有更大的地址空间和更高的安全性,可以满足大数据.物联网等新型网络技术的需要.从IPv4向IPv6过渡,需要解决IPv4网络和IPv6网络之间的互联互通问题. ...
- ipv4到ipv6过渡的三种方案
ipv4到IPV6过渡有哪几种方案?IPv4 是互联网协议的第四版,属第一个被广泛应用,构成现阶段互联网技术的基础的协议.IPv6是下一代互联网协议,为了解决 IP地址稀少而生,正处于不断改进和完善的 ...
- 【转载】城域网IPv6过渡技术—NAT444与DS-lite详解
城域网IPv6过渡技术-NAT444与DS-lite详解 转自 https://network.51cto.com/art/201311/419211.htm### 文章目录 城域网IPv6过渡技术- ...
最新文章
- [转载]找回被误删的VISTA“显示桌面”图标
- Zabbix 安装部署
- springboot整合redis操作缓存(将查询到的数据放在缓存中)
- 深度之眼 | 《如何高效度论文》笔记
- J2EE从头开始__EJB3
- 我喜欢这样的老大[10-24]
- kafka0.9 java commit_Kafka 0.9 新消费者API
- mysql 显示重叠_一句话实现MySQL库中的重叠分组
- 计算机系统字体安装程序,电脑安装字体的三种方式
- 天翼对讲机写频软件_【对讲机的那点事】摩托罗拉GM950E/I 车载台如何编程?(上)...
- Unity【HTC Vive Noitom】- 关于动作捕捉的两种解决方案
- A recap of native memory
- 个人码支付申请官网(教程)
- C++ this指针详解
- 哈密顿算子和拉普拉斯算子 格林公式高斯公式和斯托克斯公式 多重积分的分部积分公式
- win10蓝牙开关不见了
- 2022华中杯、五一竞赛赛事备战
- 深度剖析淘宝天猫搜索逻辑
- 码农的自我修养之 软件危机和软件过程
- 发现生活中的数学之美