有关IPv6的安全注意事项

当市场推出如IPv6之类的新协议时，该协议的安全状态就是使用者的其中一个考虑，尤其是在网络的攻击方面。 尽管关于协议安全性的讨论广泛存在，但通常没有一个渠道可以获取有关潜在攻击的信息，攻击的研究参考，潜在计数器和操作挑战。 但是，在IPv6协议的情况下，您可以通过搜寻draft-ietf-opsec-v6这份文件找到相关信息。这份文件根据的营运商提供有关IPv6安全的信息进行搜集调查，如果目前您已部署IPv6或正在考虑部署IPv6，那这份文章可能会帮助到你。

该草案分为四个主要部分。 首先是最长的，解决了通用安全性考虑。 首先要考虑的是运营商应该使用提供商无关（PI）还是提供商指派（PA）地址空间。地址空间大的危险之一是默认可用区（DFZ）中潜在路由表的绝对大小。 如果每个网络运营商都选择了IPv6 / 32，则DFZ路由表的潜在大小为24亿个路由条目。 如果您认为在约80万条路线上汇聚是不好的，那就等到有24亿条路线后再等。 当然，实际的PI空间是在/ 48边界上分发的，这使潜在表的大小成指数增长。 因此，在某些非常重要的方面，PI空间对Internet不利。该文档提供了论点的另一面-安全性是PA空间的问题。 虽然应该将IPv6重新编号为“轻而易举”，但事实上，它却远不及此。 一些报告表明，IPv6重新寻址比IPv4困难。 漫长而困难的重编号过程表明，安全性失败的机会很多，因此攻击面也很大。 PI空间优先于PA空间成为减少操作攻击面的问题。

另一个有趣的问题是，在管理IPv6网络时是否应为某些服务使用静态寻址，还是应动态了解所有地址。 人们普遍认为，由于IPv6地址空间太大，因此无法对其进行“扫描”以找到要攻击的主机。 正如该草案所指出的那样，有研究表明这根本是不正确的。 此外，静态地址可能会将特定的服务器或服务暴露给攻击者容易识别的位置。 作者在此处指出的是，无论哪种方式，端点安全都需要依赖于实际的安全机制，而不是以某种方式隐藏地址。此处考虑的其他非常有用的主题包括：唯一本地地址（ULA），对点对点链接进行编号和管理，SLAAC的隐私扩展，每个主机使用/ 64，扩展头，保护DHCP，ND / RA过滤和控制平面 安全。如果您准备要在网络中部署或考虑部署IPv6，建议阅读这份文档以更了解IPv6的部署。