企业实现IPv6安全部署必须考虑五大因素

　　随着IPv4地址的正式枯竭，IPv6的部署和切换越来越受到政府和企业的重视。同时，这无疑又是一项前所未有的工程，在有互联网以来，我们第一次要面对现有协议架构的升级变革，有哪些我们应该考虑的问题呢?

　　不成熟的实施

　　IPv6的实施在总体上不是安全性研究社区的一个焦点。迄今为止，只有几十个关于IPv6漏洞的报告被公布，但这不意味着IPv6的实施比IPv4更加安全，这反而表示了在IPv6的实施中仍有许多漏洞尚未被发现，这个协议应该成为更重大研究的焦点。

　　显然，在短期内，就协议实施的安全性而言，IPv6很可能成为“这个链条中最薄弱的环节”，而且当把双堆叠站点作为目标时，它很可能会被攻击者利用。

　　让安全研究人员和供应商们发现并纠正IPv6漏洞，使IPv6实施的成熟度可以比得上IPv4的成熟度，还需要一段时间。

　　缺乏IPv6安全性评估工具

　　与IPv6有限的安全研究密切相关的是，缺乏公开可用的IPv6测试工具来评估IPv6实施和部署的安全性。 只有一些很少的公开可用的用于IPv6协议组(诸如THC的IPv6攻击组和scapy6)的攻击/评估工具，与之形成反差的是过剩的用于IPv4协议组的工具。这样一来，使得网络和安全管理员缺乏工具，来评估它们想要执行的网络安全控制的有效性，从而可能导致一个错误的安全意识。最近的一个关于RA-Guard evasion的工作应该被视为对这个问题的警告。

　　很可能会这样：随着IPv6部署的增加，IPv6安全评估工具的生产也会增加。然而，这只不过是关于当前IPv6安全工具的缺乏该如何解决，以及需要更多工具的推测。

　　在安全设备中有限的IPv6支持

　　诸如防火墙和网络侦察系统等安全设备，与IPv4相比，它们通常对IPv6协议提供的支持很少。这可能会在功能或性能方面反映出来。比如，一个安全设备可能为IPv4提供深度包检测支持，但是不为IPv6提供;它可能支持IPv4和IPv6的一些功能，但是对IPv4的支持是通过硬件实现的，而对IPv6的支持是通过软件实现的。显然，IPv4和 IPv6安全功能对等性的缺乏会导致IPv6网络中的安全性降低，并可能在新兴的IPv6部署中阻碍当前对IPv4有效的安全策略的执行。

　　在选购新设备或者升级现有设备时，网络和安全管理员应该考虑到IPv6支持性。在评估安全性产品的性能时，一些一致性和互用性测试程序(比如IPv6 Ready Logo Program)可能会有所帮助。

　　缺乏关于IPv6过渡/共存技术的意识

　　因为IPv6不是对IPv4向后兼容的，许多过渡/共存技术已经被研发出来促进IPv6的部署。然而，这些技术会导致由此产生的流量中的复杂性增加，攻击者可以利用它来掩盖他或她的绕过网络安全控制的企图。NATs是很多网络用来抵御来自互联网入侵攻击的第一道防线，一些技术(特别是Teredo)已经被研发出来绕过诸如网络地址转换器(NATs)等设备，从而潜在地增加了主机暴露在外部攻击下的风险。

　　因此，过渡/共存技术的安全问题应该被所有网络和安全管理员了解，因为这些技术甚至可能在仅支持IPv4的网络上引起安全问题。另外，安全设备应该“意识到”这些技术，并能够执行它们在原生的IPv4和IPv6流量中执行的同样的安全策略。