close

html模版如何避免雙協議棧網絡VPN流量泄露(一)
【TechTarget中國原創】自由可用的IPv4地址即將“枯竭”,多年以來,這促使大多數通用操作系統開始添加IPv6支持。然而,很多應用(例如VPN客戶端和服務器軟件)一直都沒有準備好迎接IPv6。而這將導致這樣的情況:雙協議棧主機部署不支持IPv6的VPN軟件,從而為安全漏洞廣開大門,並導致VPN流量泄露。

在本文中,我們將討論這些VPN安全問題是如何出現的,以及如何緩解VPN流量泄露的方法。

介紹:VPN泄露的風險

從遠程地點工作的員工通常會建立虛擬專用網絡(VPN)連接來訪問企業網絡內部的服務,以及保護必須經過不安全網絡的相應的流量。在某些情況下,由於VPN提供安全服務,例如對所有通過VPN的通信進行保密,我們認為使用VPN連接讓不安全的協議可以接受(例如以純文本傳輸敏感信息)。

很多VPN連接隻支持IPv4協議。然而,部署這些技術的主機通常是雙協議棧的,這意味著它們同時支持IPv4和IPv6(默認啟用)。目前,很多主機隻使用IPv4,因為大多數網絡不提供IPv6連接。IPv6支持仍然存在於主機,但需要被啟用。當發生這種情況時,主機可能會不知不覺中在雙協議棧網絡中使用不支持IPv6的VPN。


【所有原創內容版權均屬TechTarget,歡迎大傢轉發分享。但未經授權,嚴禁任何媒體(平面媒體、網絡媒體、自媒體等)以及微信公眾號復制、轉載、摘編或以其他方式進行使用。】


IPv6更新:在安全和隱私方面有所改進

近日,國際互聯網工程任務組(也被稱為IETF)發佈瞭一套新標準:RFC 8064,《有關穩定IPv6接口標識符的建議》。這個新標準正式更新瞭14個IETF標準,包括IPv6尋址架構……


如何使用DNS反向映射來掃描IPv6地址?

目前增加的IPv6地址空間不僅提高瞭對啟發式算法的使用(執行IPv6地址掃描時),而且還推動瞭人們探索替代技術用於查找IPv6節點……


專訪John Curran:我們談談IPv6連接的安全性(下)

可用的IPv4地址的耗盡驅使企業開始支持IPv6連接,至少在連接互聯網的服務上要支持,那台灣註冊商標麼IPv6的安全性如何呢?台中申請商標代辦


專訪John Curran:我們談談IPv6連接的安全性(上)

可用的IPv4地址的耗盡驅使企業開始支持IPv6連接,至少在連接互聯網的服務上要支持,那麼IPv6的安全性如何呢?


IPv6更新:在安全和隱私方面有所改進

近日,國際互聯網工程任務組(也被稱為IETF)發佈瞭一套新標準:RFC 8064,《有關穩定IPv6接口標識符的建議》。這個新標準正式更新瞭14個IETF標準,包括IPv6尋址架構……


專訪John Curran:我們談談IPv6連接的安全性(下)

可用的IPv4地址的耗盡驅使企業開始支持IPv6連接,至少在連接互聯網的服務上要支持,那麼IPv6的安全性如何呢?


東軟NetEye獲國傢首批支持IPv6的第二代防火墻資質認證

近日,東軟NetEye第二代防火墻千兆及萬兆兩款產品順利通過 《信息安全技術第二代防火墻安全技術要求》的測試,獲得國內首批支持IPv6的增強級第二代防火墻認證資質。


風險剖析:IPv6擴展報頭帶來的安全隱患(下)

IPv6數據包的結構可以讓這個下一代網絡協議在可預見的未來中實現幾乎無限的可擴展性。然而,經驗表明,這種靈活性是要付出代價的,這個代價就包括安全隱患。


滲透測試指南(更新版)

滲透測試(penetration test)是為瞭證明網絡防禦按照預期計劃正常運行而提供的一種機制。不妨假設,你的公司定期更新安全策略和程序,時時給系統打補丁,並采用瞭漏洞掃描器等工具,以確保所有補丁都已打上。如果你早已做到瞭這些,為什麼還要請外方進行審查或滲透測試呢?


企業風險管理教程

如今,雲計算等技術改變瞭企業應用信息系統、以及如何達到安全風險台中商標註冊管理和合規遵從的方式,企業需要重新計劃並部署自己的風險管理。那麼究竟該如何制定安全風險管理計劃?


服務器虛擬化安全

從現在起,五年以後,幾乎沒有一傢企業會使用“真正的”計算機。虛擬軟件將會截取並模擬數據庫、網絡應用程序或者文件共享所能進行的一切工作,允許一個機架安裝服務器起到10臺服務器的作用。虛擬化是必然的;自IP網絡以來,它是IT業最重要的新勢力。對這一趨勢帶來的影響,安全專傢如果有一種揮之不去的恐懼感,他們應該得到原諒。在內部網絡中,虛擬化正重新繪制分佈圖;硬件以及網絡過濾曾經將服務器和應用程序分離,虛擬化可以把它們集中到同一個刀片服務器上。影響深遠的變化的到來不會沒有安全挑戰。


Web服務器安全設置

本專題將介紹如何策劃並進行Web服務器操作系統和服務的安裝,並列出瞭在Web服務器的安裝和使用的過程中,所面臨的主要的威脅和攻擊類型。此外本專題還將詳細解釋瞭加固步驟以及如何保護其他的諸如SMTP之類的網絡服務。


【TechTarget中國原創】自由可用的IPv4地址即將“枯竭”,多年以來,這促使大多數通用操作系統開始添加IPv6支持。然而,很多應用(例如VPN客戶端和服務器軟件)一直都沒有準備好迎接IPv6。而這將導致這樣的情況:雙協議棧主機部署不支持IPv6的VPN軟件,從而為安全漏洞廣開大門,並導致VPN流量泄露。

在本文中,我們將討論這些VPN安全問題是如何出現的,以及如何緩解VPN流量泄露的方法。

介紹:VPN泄露的風險

從遠程地點工作的員工通常會建立虛擬專用網絡(VPN)連接來訪問企業網絡內部的服務,以及保護必須經過不安全網絡的相應的流量。在某些情況下,由於VPN提供安全服務,例如對所有通過VPN的通信進行保密,我們認為使用VPN連接讓不安全的協議可以接受(例如以純文本傳輸敏感信息)。

很多VPN連接隻支持IPv4協議。然而,部署這些技術的主機通常是雙協議棧的,這意味著它們同時支持IPv4和IPv6(默認啟用)。目前,很多主機隻使用IPv4,因為大多數網絡不提供IPv6連接。IPv6支持仍然存在於主機,但需要被啟用。當發生這種情況時,主機可能會不知不覺中在雙協議棧網絡中使用不支持IPv6的VPN。

IPv4和IPv6協議在雙協議棧網絡中這種交互和共存的微妙關系可能無意或有意(蓄意攻擊)導致VPN泄露安全問題——通過VPN連接傳輸的流量可能會泄露出VPN連接外,並在本地網絡上以純文本形式發送,而根本不使用VPN服務。

IPv4和IPv6的相互作用

IPv4和IPv6協議的共存有一些有趣且微妙的方面可能會導致意想不到的後果。雖然IPv6無法向後兼容IPv4,但這兩種協議被域名系統(DNS)“粘”在一起。對於依賴於名稱解析服務(例如DNS提供的服務)的雙協議棧系統,不保護這兩種協議,就不可能保護這兩個系統之間的通信。

很多VPN部署不支持IPv6協議,或者更糟糕的是,它們完全忽略瞭IPv6。當建立VPN連接時,VPN軟件通常插入IPv4默認路由,讓所有的IPv4流量通過該VPN連接發送(而不是用本地路由器以純文本形式發送流量)。然而,如果不支持IPv6,發往IPv6地址的所有數據包都會使用本地IPv6路由器以純文本形式發送,VPN軟件將無法保護IPv6流量安全。

例如,假設有一個網站同時支持IPv4和IPv6,相應的域名中包含A和AAAA DNS資源記錄(RR),每個A包含一個IPv4地址,而每個的AAAA包含一個IPv6地址,每個這些記錄類型可以有多個實例。當雙協議棧客戶端應用嘗試與服務器通信時,它可以請求A和AAAA RR,並使用任何可用的地址。優選的地址族(IPv4或IPv6)和將被使用的具體地址(假設每個族有多個地址可用)部署各有不同,而很多主機部署更喜歡Pv6地址,而不是IPv4地址。

意外和故意的VPN流量泄漏

假設有一個雙協議棧主機,它采用僅支持IPv4的VPN軟件來建立與服務器的VPN連接。如果該主機連接到雙協議棧網絡會發生什麼?如果主機的應用嘗試與雙協議棧系統通信,這通常要求查詢A和AAAA DNS資源記錄。如果主機同時支持IPv4和IPv6連接,但更青睞於IPv6目的地址,即使另一個系統有A和的AAAA DNS資源記錄,主機都將使用IPv6來與上述系統進行通信。如果VPN軟件不支持IPv6,IPv6流量將不會采用VPN連接,它將會通過本地IPv6路由器以純文本形式傳輸。

這無意中暴露瞭潛在的敏感流量,這些流量本該受到VPN軟件的保護。在這個情況下,VPN泄露是在雙協議棧網絡中采用不支持IPv6軟件(VPN)的消極作用。

台灣電動床工廠 電動床

台灣電動床工廠 電動床


arrow
arrow
    創作者介紹
    創作者 wtn079n7j9 的頭像
    wtn079n7j9

    暈暈的網購推薦

    wtn079n7j9 發表在 痞客邦 留言(0) 人氣()