IPv6安全缺陷给企业网络安全带来阴影

　　由于企业网络从IPv4过渡到IPv6，新的IPv6网络带来了IPv6安全风险。

　　随着支持IPv6终端的数量增长，IPv6流量在许多企业计划过渡之前就已经出现在企业IPv4网络上了。员工可以随意的在这些新的未监控的网络里共享文件，下载视频，而这些漏洞会被黑客入侵。

　　Rocky Mountain IPv6 Task Force 主席Scott Hogg说：“IPv6网络通过隧道的方式运行在企业现存的IPv4网络中而不会被检测到，一些设备和电脑系统(包括Mac,Windows Vista和Windows 7)可能会尝试将IPv6数据包以隧道方式通过只支持IPv4的企业IT网络来访问IPv6因特网。”

　　在已有的IPv4网络，IPv6的潜在威胁会给企业带来一连串危险和带宽问题。像自带设备办公的趋势加重了这些问题，许多终端和设备现在都支持IPv6，由于用于工作的外来设备愈来愈多，企业IPv4网络的风险也越来越大。

　　企业策略组资深分析员Bob Laliberte说：“大多数企业还是用IPv4网络，但是IPv6网络可以在网络管理员不知情的情况下运行。”如果未被发现，那些开放和未监控的IPv6端口会出现大的安全隐患。

　　IPv6安全：提升“阴影网络”意识

　　Blue Coat发布了PacketShaper版本9，PacketShaper系列企业网络安全操作系统和监控设备可以更好的监控IPv6流量，Blue Coat资深应用交付产品市场总监Mark Urban说：“通过它，企业可以通过已有的IPv4企业网络监控和控制未授权的IPv6流量和应用。经过因特网和WAN到分支办事处的流量越多，企业会越想知道到底网络上走的是哪些流量。PacketShaper 9让企业对确切的应用程序有更精确的理解，不管在他们网络中支持的是IPv4 还是IPv6。根据用户网络，提供他们更好的判断能力，让他们知道如何处理这些不同的应用程序和流量变得越来越重要。”

　　Blue Coat将在IPv4企业网络中出现的IPv6流量称为“阴影网络——IT部门未曾料到也不受IT控制。企业会用策略限制员工在网络中应用Netflix和YouTbue，但是黑客会尝试通过开放的IPv6端口非法入侵网络。Laliberte 说：“阴影网络是另一片开放的地方。自带设备办公的趋势强迫企业开放他们的网络。一旦开放，会增加安全隐患。焦点应该是优先Web流量，在某些情况下，企业会发现一旦评估他们的网络后，他们必须要么限制访问某些应用程序，要么确保优先级不在业务应用之上。”

　　自带设备办公需要约束未授权的流量。Blue Coat的Urban说：“如果你的过渡计划是在2014年支持IPv6，但是意外地你需要在2012年支持它，因为IPv6的设备被带进了网络，那你需要改变网络策略。”

　　企业网络安全从IPv6安全开始

　　Laliberte说：“北美市场并没有像其他地区那样经历相同的IPv4-IPv6过渡问题，而经济快速发展和移动设备使用率持续上升的发展中国家正在遭遇这样的问题。美国政府已经注意到这点。我们知道必须向IPv6靠拢，政府已经要求支持IPv6。”

　　Urban说“我们确实看到了变化——从不关心到必须计划IPv6。”因为许多用户惊讶的发现应用程序是运行在IPv6阴影网络，这绕过了网络安全措施，造成大量带宽被消耗。

　　随着IPv6基础设施的形成，未知的流量一定能得到更好的管理，Laliberte注意到，由于更多的企业关注使用云计算和软件即服务，知道什么运行在这些链路上和管理这些应用程序性能的能力也会提高。