点击“蓝字”
关注我们
-
美国行政管理和预算局的最新备忘录要求,2025年前实现至少80%的纯IPv6网络升级,无法升级的基础设施将逐年淘汰。 -
部署IPv6过程中,最大的威胁就是专业操作知识的缺乏。IPv6作为新协议,很多实施过程中的Bug还未被发现和修复,且很少有人具备安全运行IPv6网络所需的专业安全知识。 -
为实现IPv6安全,美国联邦政府备忘录要求确保将生产环境全面支持IPv6纳入IT安全计划、架构和采购中。 -
在双栈网络中,除了要考虑IPv4和IPv6共存时两者之间交互及转换的安全因素外,还需要考虑两者的安全实现。
一、美国政府全面转向IPv6协议
-
在购买网络信息技术和服务时,继续使用USGv6 Profile来确定机构或采购对IPv6能力的具体要求。展望未来,应明确要求硬件和软件能够运行在纯IPv6环境中; -
持续督促潜在的供应商通过USGv6测试计划来证明其符合IPv6的需求描述; -
在极少数情况下,如果要求证明IPv6能力会对采购行动造成不必要的负担,则允许机构的首席信息官针对某些个案放弃这一要求。在这种情况下,采购机构应要求供应商提供文件,详细说明其产品纳入IPv6能力的明确计划(如时间表)。
-
利用USGv6测试计划对商业产品进行基本的一致性和一般互操作性测试; -
确保机构或采购的特定测试侧重于USGv6测试计划中未涉及的特定系统集成、性能和信息保障测试。
-
继续加强和维护USGv6 Profile和测试计划; -
与国土安全部合作,为整个联邦信息技术基础设施采用IPv6制定增强性安全指南。
-
与商务部合作,为整个联邦信息技术基础设施采用IPv6制定增强安全指南和操作指引。 -
加强相关的安全弹性程序和服务(如可信互联网连接、持续诊断和处置、爱因斯坦计划),以全面支持IPv6在所有联邦信息技术系统中投入生产使用; -
加强测量及报告联邦信息系统内IPv6和IPv4部署程度和使用水平的能力。
-
确保相关的总务管理局程序和服务全面支持IPv6,并在功能和性能上与现有的IPv4服务持平。 -
确保政府范围内涉及IP协议的采购合同模板包含IPv6需求; -
与各机构和企业基础设施解决方案(EIS)供应商合作,确保所有EIS网络服务在部署时按照机构IPv6实施计划和EIS任务单的规定启用IPv6。
-
协助行政管理和预算局和各机构,在必要时为IPv6的实施提供指导。 -
提供一个机构间论坛来分享经验和最佳实践,并在适当时机与外部合作伙伴协同努力,协助向IPv6的过渡; -
酌情与工业界接触,学习经验教训和最佳实践,确保产品和服务满足联邦政府的需求。
-
到2023财政年度末,联邦网络上至少20%启用IP协议的资产在纯IPv6环境中运行。 -
到2024财政年度末,联邦网络上至少50%启用IP协议的资产在纯IPv6环境中运行。 -
到2025财政年度末,联邦网络上至少80%启用IP协议的资产在纯IPv6的环境中运行。 -
查明不能切换到IPv6的联邦信息系统并说明理由,提供更换或停用这些系统的时间表。
自2010年以来,行政管理和预算局指南要求各机构在一些系统中采购并部署IPv6功能。我们建议各机构在制定计划时,参考从试点活动和以往生产部署中获得的实际经验。各机构的计划会随着时间的推移而变化,因此,重要的是确定哪些系统已经具备运行IPv6的条件,并制定和实施计划,首先在这些系统中启用IPv6,然后评估将这些系统迁移到纯IPv6环境的潜力。
二、IPv6的安全问题与特点
-
协议本身的问题:路由头、移动IPv6、站点范围的多播地址、ICMPv6、任播流量、地址隐私扩展与DDoS防御、动态DNS、扩展头、分片、链路本地地址和邻居发现、安全路由通告、多路由器负载分担等; -
使用嵌入IPv4地址的IPv6地址绕过防护问题; -
端到端透明性问题(无NAT); -
将IPv6隐藏于IPv6隧道带来的绕过安全检查问题。
-
应用层攻击:如跨站脚本或SQL注入。 -
流氓设备:如流氓Wi-Fi接入点。 -
泛洪和所有基于流量的拒绝服务:包括对IPv6流量使用控制平面策略(见[RFC6192])。
三、部署IPv6的安全策略
-
确保将生产环境全面支持IPv6纳入IT安全计划、架构和采购中。
-
确保所有支撑网络运行或企业安全服务的系统(如身份和访问管理系统、防火墙和入侵检测/保护系统、终端安全系统、安全事件管理系统、访问控制和政策执行系统、威胁情报和声誉系统)都支持IPv6,并能在纯IPv6环境中运行。 -
酌情遵循相应的联邦指南,并充分利用行业最佳实践,确保IPv6网络的安全部署和运行。 -
确保所有安全和隐私政策评估、授权和监测程序能够充分解决联邦信息系统中IPv6的生产使用问题。
虎符智库
网安行业高端智库
本文始发于微信公众号(虎符智库):全面转向IPv6,美国政府如何规划安全策略?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论