思科CCIE 如何防止IPv6 VPN突破-ielab

如何防止IPv6 VPN突破
如果没有正确配置的远程访问VPN，来自远程设备的IPv6流量可能会逃脱公司的安全控制。
出现此漏洞的原因是，其中一些远程访问VPN被配置为仅在IPv4流量通过VPN集中器时对其进行检查并仅对其应用安全控制，而没有为IPv6流量启用类似的保护。这使IPv6流量可以自由直接访问Internet，而无需应用这些控件。这个问题被称为IPv6 VPN突破，众所周知，但经常被忽略。
为什么会忽略IPv6 VPN突破
许多企业不知道在通过VPN访问其网络的设备上使用IPv6的频率。用于远程访问公司网络的电话，平板电脑和笔记本电脑通常支持IPv6，宽带和蜂窝服务也可能支持IPv6，以用于访问Internet。
结果，企业通常不会将IPv6视为安全因素。他们将其VPN配置为仅检查IPv4流量，这可以使移动设备自由访问IPv6站点，这可能会对业务网络，设备和数据造成危险。
IPv4保护的工作方式是，一旦建立了VPN，VPN集中器便会检查绑定到Internet的流量，并阻止绑定到由企业配置的策略判断出的目的地的流量。（请参见图1）。

此图显示了典型的企业VPN用户笔记本电脑，该笔记本电脑具有仅建立回到企业Internet外围的IPv4 VPN隧道。红线表示通过企业定向以将流量检查和安全控制应用于Internet绑定流量的IPv4流量。所有IPv4流量都必须通过VPN隧道，并且不能直接访问Internet，但是以蓝线表示的IPv6流量可以。
大多数公司VPN 通过强制所有IPv4连接遍历VPN来强制执行所谓的不拆分隧道以增强安全性。没有分割隧道，一旦建立了VPN连接，远程设备就无法与整个Internet建立单独的连接。
通常，这是通过在VPN隧道上向VPN客户端发布IPv4默认路由（0.0.0.0/0.0.0.0）来完成的。该IPv4默认路由被插入VPN客户端的路由表中，在图1中以笔记本电脑屏幕上的红色字段表示。因此，当最终用户运行VPN时，他们与IPv4网站的所有连接尝试都会通过公司内部网发夹进行检查。
安全问题是，公司通常不会在VPN上应用no split-tunneling设置来包括IPv6默认路由，该默认路由也在VPN客户端路由表（:: / 0）中，在图中以蓝色字段表示在笔记本电脑的屏幕上。这使IPv6流量可以直接访问Internet，从而绕过任何公司的Internet外围安全措施。
企业应该面对这样一个事实，即他们的网络上和移动员工手中已经具有支持IPv6的设备，因此，他们应该采取积极的方法来消除此安全漏洞。
如何防止IPv6 VPN突破
产生最佳结果的推荐方法是通过在VPN和公司范围内启用IPv6来控制情况。企业应开始在其Internet外围启用IPv6连接，然后建立与VPN的IPv6连接。现代企业外围防火墙及其VPN软件已经能够使用IPv6，只需启用和配置它即可。在这种情况下，流量看起来像图2所示。

这是推荐的启用IPv6的VPN体系结构，其中VPN客户端同时使用IPv4和IPv6网络连接。它同时具有IPv4和IPv6路由表，它们的每个默认路由都将互联网流量引向VPN隧道。这使公司的互联网外围系统可以检查这两种协议并同等地应用安全保护，从而防止IPv6 VPN突破。
第二种选择是使用VPN客户端，它可以自己防止IPv6泄漏。例如，思科的AnyConnect客户端与思科的ASA安全设备配对可以控制在启用IPv6的客户端上如何配置拆分隧道。同样，Palo Alto Networks GlobalProtect VPN和Fortinet SSL VPN FortiClient也支持IPv6。只需启用IPv6并通过VPN策略对其进行控制即可。
不幸的是，某些组织采用的方法是在建立VPN隧道时中断IPv6连接。在这种情况下，VPN服务器将IPv6默认路由（:: / 0）通告给VPN客户端的路由表，以引导所有IPv6连接通过VPN隧道。但是，当VPN和公司内部网络仅使用IPv4时，所有IPv6连接都将被丢弃。如果企业没有与VPN的IPv6连接，则企业不应通告此IPv6默认路由，因为这将对所有尝试访问使用IPv6的应用程序的VPN客户端造成应用程序连接问题。需要访问启用IPv6的站点的用户最初会遇到失败的连接，然后由于客户端使用快速回退到IPv4而延迟。
第三种选择是注册域名系统（DNS）以防止IPv6 VPN突破。在这种情况下，仅保留IPv4的VPN将保留在原处，但是所有DNS地址解析将被强制沿隧道进行。IPv6 DNS查询将被抑制，但IPv4查询将成功。
通过使某些支持IPv6的应用程序在IPv6 DNS解析度和连接尝试超时以及回退到IPv4方面表现不佳，可能会带来不利影响。这也使对应用程序问题进行故障排除更加困难，因为IT管理员需要查找可能正在使用IPv4和/或IPv6的应用程序，并尝试将问题与DNS，连接性，VPN策略和VPN客户端配置分开。
企业等待构建支持IPv6的企业远程访问VPN的时间越长，IPv6 VPN突破问题就越严重。最终用户设备将越来越多地使用IPv6，越来越少的IPv4流量将通过公司VPN返回。企业应该意识到IPv6 VPN的突破性问题，并努力采取措施，在其Internet边界和远程访问VPN 上启用IPv6。

转载外网：https://www.networkworld.com/