A transparência end-to-end e a segurança foram perdidas em muitas redes IPv4 devido à necessidade introduzir NAT por causa da falta dos endereços IPv4. IPv6 pode restaurar a transparência. Entretanto, alguns povos tornaram-se usado aos esquemas dirigindo-se NAT e confidenciais ver para fornecer a segurança em redes da empresa escondendo a topologia da rede da parte externa. Estes povos podem perceber a transparência IPv6 como uma ameaça a sua rede e podem mesmo planear desdobrar as redes IPv6 com esquemas dirigindo-se locais confidenciais e os tradutores somente para esta razão.
|
|
O objetivo com IPv6 é restaurar o connectivity end-to-end usando o espaço de endereço abundante. Para fixar uma rede IPv6, um conceito da segurança tem que ser criado e os mecanismos da segurança têm que ser executados. NAT deve não mais por muito tempo ser usado com IPv6. Se a topologia escondendo da rede da parte externa for uma exigência, outros mecanismos devem ser usados, como dirigir-se confidencial (RFC 3041), endereços originais do local (ULAs), ou os endereços IPv6 untraceable. Encontre uma descrição e uma discussão detalhadas destas opções em draft-ietf-v6ops-nap-02.txt, "proteção da arquitetura de rede IPv6" (SESTA).
Nas redes IPv4, o modelo favorecido para a segurança deve ter guarda-fogos do perímetro e integrar NATs. Aplicar esta mesma aproximação em uma rede IPv6 pode ser um ponto começar bom, mas está limitando no prazo. Nas redes IPv6, você deve apontar projetar um modelo melhorado da segurança que aumente a segurança total da rede mas facilita também uma comunicação end-to-end. IPv6 fornece a potencialidade de IPsec em cada nó. Confiar em um guarda-fogo do perímetro pode ser perigoso. Um atacante que controle começar atrás do guarda-fogo encontrará geralmente um campo unsecured aberto. O conceito optimal da segurança para as redes IPv6 será muito provável "defesa na profundidade," uma combinação dos repositórios da política da segurança e dos mecanismos centralizados da distribuição que, conjuntamente com anfitriões confiados, permitirão os gerentes de rede coloquem mais reliance em mecanismos da segurança nos pontos de extremidade e permitirão que os pontos de extremidade influenciem o comportamento de guarda-fogos do perímetro. Os guarda-fogos do perímetro serão responsáveis para fixar a rede dos ataques gerais, e o nó do fim será responsável para fixar-se dos ataques nó-relacionados. O modelo novo da política da segurança para redes de IPv6/IPsec deve ser um modelo identidade-baseado a fim separar a política da segurança da rede IDs. Isto é crucial para as redes que querem permitir a automatização, o autoconfiguration, e a mobilidade sem segurança comprometendo. Este modelo distribuído novo da segurança está emergindo, e algumas das tecnologias requeridas estão ainda sob o desenvolvimento, including protocolos para permitir que os nós do fim controlem e informem guarda-fogos. As distribuições IPv6 iniciais empregam provavelmente técnicas similares da deteção do guarda-fogo e do intrusion como usadas nas redes IPv4 de hoje (à excecpção de NATs, que não deve ser usado em tudo nas redes IPv6). Mas o objetivo final para introduzir um tipo novo de conceito distribuído da segurança deve ser mantido na mente enquanto você vai longitudinalmente, e o desenvolvimento destas tecnologias deve ser seguido pròxima.
Pode haver dois tipos de modelos controlados da segurança dependendo do tamanho da rede a ser fixada:
Modelo Distribuído Nó Do Guarda-fogo Da Extremidade
Um usuário do gerente da segurança do local authenticates nós do fim em uma rede e distribui então políticas do guarda-fogo aos guarda-fogos do extremidade-nó. Isto inclui a configuração do guarda-fogo, as políticas do acesso, as chaves de IPsec, a proteção do vírus, etc.. Nenhum controle de acesso do local-nível é requerido. Uma vez que um nó do fim authenticated e é atualizado com uma política da segurança, é unicamente responsável para sua própria segurança.
Modelo Distribuído Híbrido Do Guarda-fogo
Um usuário do gerente da segurança do local-nível pode segurar o authentication do extremidade-nó e a distribuição de políticas do guarda-fogo aos guarda-fogos do local e aos guarda-fogos do extremidade-nó. Uma vez que os nós do fim authenticated, podem ser concedidos níveis variando do privilégio pelo gerente da segurança. O jogo do gerente da segurança das políticas determina quem têm o acesso à parte externa, que têm o acesso a se internamente, que tipos de serviços e os protocolos podem ser funcionados por nós diferentes, e que começa chaves de IPsec. Os guarda-fogos do perímetro fazem algum controle de acesso claro ao distribuir o trabalho pesado aos guarda-fogos do extremidade-nó. Os vários níveis da coordenação e do controle são possíveis neste modelo. Em uma versão simples, os guarda-fogos do extremidade-nó podem funcionar independentemente após ter sido dado a régua local do guarda-fogo ajustada pelo serviço da gerência da segurança. Em uma versão mais firmemente controlada para redes da elevado-segurança, o controlador pode coordenar entre os sistemas da deteção do intrusion (IDS), o guarda-fogo do local, e os guarda-fogos do extremidade-nó para detectar ataques e fechá-los fora alcançam aos usuários perigosos dentro ou fora da rede incorporada.
Quando você vive no duplo-empilhe a rede, você terá dois conceitos da segurança: um para o mundo IPv4 e outro para o mundo IPv6. E os dois conceitos não têm que combinar; têm que ser projetados de acordo com as exigências de cada protocolo. Seus guarda-fogos podem suportar ambos os protocolos, tendo dois jogos separados do filtro (um para cada protocolo), ou você pode ter duas caixas, uma que é o guarda-fogo para a rede IPv4 e outro ser o guarda-fogo para sua rede IPv6.
Sem tentar fornecer uma segurança e uma guia desenvolvidas do guarda-fogo, seja aqui algumas idéias para as provisões da segurança IPv6 e os filtros do guarda-fogo que devem ser considerados:
Filtro do ingresso no guarda-fogo do perímetro para endereços internamente usados.
Serviços unneeded do filtro no guarda-fogo do perímetro.
Desdobre guarda-fogos host-based para uma defesa na profundidade.
Os sistemas críticos devem ter a estática, endereços IPv6 (aleatòria gerados) nonobvious. Considere usar entradas vizinhas de estática para sistemas críticos (contra os deixar participar no ND).
Os anfitriões para as operações IPv6 móveis devem ser sistemas separados (para as proteger por réguas separadas).
Assegure-se de que os nós do fim não envíem pacotes com os encabeçamentos da extensão do roteamento.
Os guarda-fogos da camada 3 devem nunca enviar pacotes do multicast da ligação-camada.
Os guarda-fogos devem suportar filtrar baseado encabeçamentos no endereço da fonte e de destino, na extensão IPv6, e na informação do protocolo da superior-camada.
Verifique sua rede para ver se há pacotes externos que não entraram através de seu guarda-fogo principal do perímetro como uma indicação de conexões "backdoor" de tunneling surreptitious.
Nas redes IPv6, ICMPv6 joga um papel fundamental e fornece a funcionalidade grande. O forwarding descontrolado de mensagens do ICMP cría também os riscos draft-ietf-v6ops-icmpv6-filtering-bcp-01.txt da segurança, a mais melhor prática atual para filtrar as mensagens ICMPv6 nos guarda-fogos, fornece recomendações para a configuração de réguas filtrando do guarda-fogo ICMPv6 (especificamente, permitindo o forwarding das mensagens que são importantes para funcionar da rede e das mensagens deixando cair que são riscos potenciais da segurança).
Online: 662 users browsing the articles directory
|
|