目前最大的IPV6安全風險有哪些？

儘管IPv6已經開始啓用，但網絡工程師仍然很謹慎，由於他們擔憂IPv6的安全問題。下面是95000位網絡工程師投票選出的IPv6網絡安全中前6大安全風險。

● 缺少IPv6安全培訓/教育。

如今最大的風險是缺少IPv6安全知識。企業在部署IPv6以前，必須投入時間和金錢來進行IPv6安全培訓。不然，事後，企業將須要花費更多的時間和金錢來堵塞漏洞。在規劃階段考慮網絡安全更加有效，而不該該在部署後才考慮。根據GTRI首席技術官Scott Hogg表示，「全部安全從業人員如今都應該瞭解IPv6，由於全部的企業在其環境中都有啓用IPv6的操做系統。未能保護IPv6系統就像打開了很大的後門。」

● 經過未過濾的IPv6和通道流量繞過安全設備。

與安全產品自己相比，只有缺少知識被認爲是更大的風險。概念上，這很簡單，安全產品須要作兩件事情：識別可疑的IPv6數據包並部署控制。然而，在實際中，這在v4中計劃是不可能的，更不用說可能存在流氓流量或未知通道流量的環境。目前有16種不一樣的通道和過渡方法—更不用提上層通道，例如SSH、IPv4-IPSec、SSL/TLS甚至DNS。IPv6論壇網絡安全主題專家兼SRA InterNATional專家網絡架構師Joe Klein表示：「第一步是知道你正在尋找什麼。」目前咱們使用的安全產品(特別是那些從IPv4轉換到IPv6的產品)並不必定足夠成熟來抵禦威脅。

● 互聯網服務供應商和供應商缺少對IPv6的支持。

爲了確保IPv6安全功能和穩定性與IPv4看齊，全面的測試是相當重要的。對所涉及的全部協議制定一個測試計劃，並部署一個測試網絡，必須測試全部設備，特別是來自供應商的新的安全技術。每一個網絡都是獨特的，須要一個獨特的測試計劃。讓這個問題進一步複雜化的是，你的供應商沒有提供本地IPv6鏈接。鏈接到你的接口的通道進一步提升了安全的複雜性，並可能帶來中間人攻擊和拒絕服務攻擊。對此，你能夠要求你的供應商提供本地IPv6。

● 安全政策。

糟糕的IPv6安全政策直接致使了目前你們對IPv6安全知識的不瞭解。IPv6安全政策的深度不只須要與IPv4看齊，同時，其廣度必須更寬，來應對IPv4環境中不須要考慮的新的漏洞。

● 新代碼中的錯誤。

任何新代碼都會有錯誤。而在這種狀況下，咱們可能在還不徹底支持IPv6的NICS、TCP/UDP和網絡軟件庫的代碼中發現錯誤。SIP、VoIP和虛擬化等技術也可能存在問題。在最壞的狀況下，代碼中的錯誤可能在你的網絡中引入新的漏洞。一樣地，這裏的解決辦法也是測試。測試網絡和全面的測試計劃可以幫助發現錯誤，以及隔離它們，並能夠找到解決辦法，或者關閉部署，直到修復問題。

● 沒有NAT。

你們對NAT廣泛存在誤解，以致於NAT沒有出如今IPv6中被誤解爲頭號安全風險。在IPv6環境中有NAT可能也不錯，但事實上，它們並不提供任何的額外的安全性。防火牆提供了安全性，而不是網絡地址轉譯。

IPv6安全不能只是IPv4安全的簡單克隆，這種想法是很是危險的。咱們必須安排培訓、擴大政策，以及在網絡中部署新的技術來抵禦新的威脅。從同質IPv4網絡過分到異構IPv4/v6網絡帶來了新的流量類型以及設備，企業必須從新考慮。

此外，因爲IPv6相對較新，其市場纔剛剛開始，IPv6安全產品也還不夠成熟。在圍繞IPv6的安全性完善以前，在運營商讓IPv6與IPv4看齊以前，這是一個有趣的危險的時期。