當(dāng)前,“線上”網(wǎng)絡(luò)和“線下”生活正在深度融合,虛擬網(wǎng)絡(luò)世界和現(xiàn)實(shí)社會生活相互交織。人們在互聯(lián)網(wǎng)上變成了“透明人”,個(gè)人的一舉一動都被互聯(lián)網(wǎng)“記錄在案”,試想一下如果這些信息被非法使用,是不是很恐怖?
另外,網(wǎng)絡(luò)在金融、交通、通信、軍事等各個(gè)領(lǐng)域的作用越來越重要,已成為一個(gè)國家正常運(yùn)轉(zhuǎn)的“神經(jīng)系統(tǒng)”。
我們知道國家正在大力推動IPv6網(wǎng)絡(luò)的部署,其中有一個(gè)很重要的出發(fā)點(diǎn),就是希望借助IPv6在安全性上的改進(jìn),促進(jìn)網(wǎng)絡(luò)空間的安全治理,扭轉(zhuǎn)當(dāng)前網(wǎng)絡(luò)安全的嚴(yán)峻形勢。
IPv6在技術(shù)上有哪些改進(jìn)?
IPv6作為下一代互聯(lián)網(wǎng)的關(guān)鍵性技術(shù),正逐步取代IPv4成為支撐互聯(lián)網(wǎng)運(yùn)轉(zhuǎn)的核心協(xié)議,IPv6重點(diǎn)解決了IPv4兩方面的問題。
地址空間問題
與IPv4相比,IPv6把IP地址數(shù)量從2的32次方擴(kuò)展到了2的128次方,足以滿足任何未來可預(yù)計(jì)的地址空間分配。這正是IPv6被選作新一代網(wǎng)絡(luò)承載協(xié)議并逐漸商用部署的根本驅(qū)動力。
網(wǎng)絡(luò)安全問題
IPv4因?yàn)榈刂焚Y源有限,在很多時(shí)候一個(gè)公網(wǎng)地址需要通過地址翻譯(NAT)方式被多臺主機(jī)共用。因此也就破壞了端到端通信的透明性,為網(wǎng)絡(luò)安全事件的溯源帶來了困難。
IPv6地址資源豐富,可采用逐級、層次化的結(jié)構(gòu)進(jìn)行地址分配,為每個(gè)責(zé)任體分配一個(gè)獨(dú)一無二的IPv6地址,使得追蹤定位,查詢溯源得到了很大的改善。
可以說,IPv6技術(shù)是實(shí)施網(wǎng)絡(luò)空間安全治理的基礎(chǔ)性技術(shù)。
IPv6在安全性上有哪些提高?
1 ---可溯源和防攻擊
IPv6的地址空間巨大,理論上不會再有IPv6地址短缺困境,也不需要廣泛使用NAT設(shè)備節(jié)省IPv6公網(wǎng)地址。IPv6終端之間可以直接建立點(diǎn)到點(diǎn)的連接,無需地址轉(zhuǎn)換,因此IPv6地址非常容易溯源。
IPv6地址分為64位的網(wǎng)絡(luò)前綴和64位的接口地址。一個(gè)64位的前綴地址支持64位的主機(jī)數(shù)量,攻擊者無法掃描一個(gè)IPv6網(wǎng)段內(nèi)所有可能的主機(jī)。假設(shè)攻擊者以每秒掃描100萬個(gè)主機(jī)的速度掃描,大約50萬年左右才能遍歷一個(gè)64位前綴內(nèi)所有的主機(jī)地址。64位的主機(jī)地址使得網(wǎng)絡(luò)掃描的難度和代價(jià)都大大增加,從而進(jìn)一步防范了攻擊。
2 ---支持IPSec安全加密機(jī)制
IPv6協(xié)議中默認(rèn)集成了IPSec安全功能,通過擴(kuò)展認(rèn)證報(bào)頭(AH)和封裝安全載荷報(bào)頭(ESP)實(shí)現(xiàn)加密和驗(yàn)證功能。
AH協(xié)議實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證功能,ESP在上述功能基礎(chǔ)上增加安全加密功能。集成了IPSec的IPv6協(xié)議真正實(shí)現(xiàn)了端到端的安全,中間轉(zhuǎn)發(fā)設(shè)備只需要對帶有IPSec擴(kuò)展包頭的報(bào)文進(jìn)行普通轉(zhuǎn)發(fā),而不對IPSec擴(kuò)展包頭進(jìn)行處理,大大減輕轉(zhuǎn)發(fā)壓力。
3 ---NDP和SEND的安全增強(qiáng)
在IPv6協(xié)議中,采用鄰居發(fā)現(xiàn)協(xié)議(NDP)取代現(xiàn)有IPv4中的ARP及部分ICMP控制功能。NDP協(xié)議通過在節(jié)點(diǎn)之間交換ICMPv6信息報(bào)文和差錯(cuò)報(bào)文實(shí)現(xiàn)鏈路層地址及路由發(fā)現(xiàn)、地址自動配置等功能,并且通過維護(hù)鄰居可達(dá)狀態(tài)來加強(qiáng)通信的健壯性。
NDP協(xié)議獨(dú)立于傳輸介質(zhì),可以更方便地進(jìn)行功能擴(kuò)展?,F(xiàn)有的IPv6協(xié)議層加密認(rèn)證機(jī)制可以實(shí)現(xiàn)對NDP協(xié)議的保護(hù)。IPv6的安全鄰居發(fā)現(xiàn)協(xié)議(SEND)協(xié)議是NDP的一個(gè)安全擴(kuò)展,SEND的目的是提供一種備用機(jī)制,通過獨(dú)立于IPSec的另一種加密方式保護(hù)NDP,保證了傳輸?shù)陌踩浴?/p>
4 ---真實(shí)源地址驗(yàn)證體系
真實(shí)源IPv6地址驗(yàn)證體系結(jié)構(gòu)(SAVA)分為接入網(wǎng)(Access Network)、區(qū)域內(nèi)(Intra-AS)和區(qū)域間(Inter-AS)源地址驗(yàn)證三個(gè)層次,從主機(jī)IP 地址、IP 地址前綴和自治域三個(gè)粒度構(gòu)成多重監(jiān)控防御體系。該體系不但可以有效阻止仿冒源地址類攻擊,還能夠通過監(jiān)控流量來實(shí)現(xiàn)基于真實(shí)源地址的計(jì)費(fèi)和網(wǎng)管。
因此,IPv6不止IP地址接近無限,還在網(wǎng)絡(luò)安全性方面更勝一籌。
IPv6依然存在風(fēng)險(xiǎn)?
與IPv4相比,IPv6在安全性方面進(jìn)行了預(yù)先設(shè)計(jì)和充分考慮,但仍然存在一些難以解決的安全風(fēng)險(xiǎn)。
IPv6作為網(wǎng)絡(luò)層協(xié)議,并不能解決所有的網(wǎng)絡(luò)安全問題。其他功能層(如由于應(yīng)用層漏洞)所引發(fā)的攻擊,IPv6本身并不能解決。
IPv6仍然沿襲了部分IPv4存在的安全風(fēng)險(xiǎn),在IPv4與IPv6實(shí)施的雙棧配置等過渡期機(jī)制也可能引入安全風(fēng)險(xiǎn)。
網(wǎng)絡(luò)中也會出現(xiàn)一些專門針對IPv6協(xié)議形成的新安全風(fēng)險(xiǎn)。
繼承自IPv4的安全威脅
1
IPv6中協(xié)議和報(bào)文結(jié)構(gòu)雖有變化,但一些存在于IPv4網(wǎng)絡(luò)中的攻擊類型仍然存在。
過渡機(jī)制存在的安全風(fēng)險(xiǎn)
2
當(dāng)前我國IPv6規(guī)模部署工作呈現(xiàn)加速發(fā)展態(tài)勢,在從IPv4向IPv6過渡的過程中,“雙棧”、“隧道”、“翻譯”是三種采用的方案,均可能引入新的安全威脅。
雙棧機(jī)制安全風(fēng)險(xiǎn)
IPv4/IPv6雙棧技術(shù)是指在網(wǎng)絡(luò)節(jié)點(diǎn)上同時(shí)運(yùn)行IPv4和IPv6兩種協(xié)議,在IP網(wǎng)絡(luò)中形成邏輯上相互獨(dú)立的兩張網(wǎng)絡(luò):IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)。
過渡期間同時(shí)運(yùn)行著IPv4、IPv6兩個(gè)邏輯網(wǎng)絡(luò),增加了設(shè)備及系統(tǒng)的暴露面,也意味著防火墻、安全網(wǎng)關(guān)等防護(hù)設(shè)備需同時(shí)配置雙棧策略,導(dǎo)致策略管理復(fù)雜度加倍,防護(hù)被穿透的機(jī)會加倍。
在IPv4網(wǎng)絡(luò)中,部分操作系統(tǒng)缺省啟動了IPv6自動地址配置功能,使得IPv4網(wǎng)絡(luò)中存在隱蔽的IPv6通道,但由于該IPv6通道并沒有進(jìn)行防護(hù)配置,攻擊者可能利用IPv6通道實(shí)施攻擊。
雙棧系統(tǒng)同時(shí)運(yùn)行IPv4協(xié)議、IPv6協(xié)議,會增加網(wǎng)絡(luò)節(jié)點(diǎn)協(xié)議處理復(fù)雜性和數(shù)據(jù)轉(zhuǎn)發(fā)負(fù)擔(dān),導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)的故障率增加。
隧道機(jī)制安全風(fēng)險(xiǎn)
一些隧道機(jī)制對任何來源的數(shù)據(jù)包只進(jìn)行簡單的封裝和解封,所以各種隧道機(jī)制的引入,為網(wǎng)絡(luò)環(huán)境增添了安全隱患。
不對IPv4和IPv6地址的關(guān)系做檢查。攻擊者利用隧道機(jī)制,可將IPv6報(bào)文封裝成IPv4報(bào)文進(jìn)行傳輸,由于IPv4網(wǎng)絡(luò)無法驗(yàn)證源地址的真實(shí)性,攻擊者可以偽造隧道報(bào)文注入到目的網(wǎng)絡(luò)中。
不對隧道封裝的內(nèi)容進(jìn)行檢查,通過隧道封裝攻擊報(bào)文。對于以隧道形式傳輸?shù)腎Pv6流量,很多網(wǎng)絡(luò)設(shè)備直接轉(zhuǎn)發(fā)或者只做簡單的檢查。攻擊者可以配置IPv4 over IPv6,將IPv4流量封裝在IPv6報(bào)文中,導(dǎo)致原來IPv4網(wǎng)絡(luò)的攻擊流量經(jīng)由IPv6的“掩護(hù)”后穿越防護(hù)造成威脅。
翻譯機(jī)制安全風(fēng)險(xiǎn)
翻譯機(jī)制(即協(xié)議轉(zhuǎn)換)通過IPv6與IPv4的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換,實(shí)現(xiàn)了IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)的雙向互訪。翻譯設(shè)備作為IPv6網(wǎng)絡(luò)與IPv4網(wǎng)路的互連節(jié)點(diǎn),易成為安全瓶頸,一旦被攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓。
IPv6特有的安全威脅
3
IPv6報(bào)文結(jié)構(gòu)中引入的新字段(如流標(biāo)簽、RH0、路由頭等)、IPv6協(xié)議族中引入的新協(xié)議(如NDP鄰居發(fā)現(xiàn)協(xié)議等)可能存在漏洞,被用于發(fā)起嗅探、DoS等攻擊。
IPv6新的應(yīng)用也可能帶來安全風(fēng)險(xiǎn)。IPv6使用IPSec,使得防火墻過濾變得困難,防火墻需要解析隧道信息。如果使用ESP加密,三層以上的信息都是不可見的,控制難度大大增加,需要安全設(shè)備能夠識別出攻擊報(bào)文新方法和措施。
寫在最后
IPv6并不能解決所有的網(wǎng)絡(luò)安全問題。
但是因?yàn)镮Pv6協(xié)議提供可靠的地址驗(yàn)證與溯源機(jī)制,可以在上述攻擊發(fā)生后及時(shí)溯源處置,實(shí)現(xiàn)高效的信息安全治理。
擁有網(wǎng)絡(luò)安全意識是保證網(wǎng)絡(luò)安全的前提,因此在IPv6部署時(shí)就需要樹立良好的安全防范意識。部署時(shí)充分利用IPv6自身的安全特性的同時(shí),設(shè)定合理的安全部署策略。
IPv6是革命性的,IPv6允許我們?yōu)槲磥頍o處不在的萬物互聯(lián)做好準(zhǔn)備。但是,同其他的技術(shù)創(chuàng)新一樣,我們也需要從安全的角度認(rèn)真關(guān)注IPv6。
-
互聯(lián)網(wǎng)
+關(guān)注
關(guān)注
54文章
11015瀏覽量
102085 -
IPv6
+關(guān)注
關(guān)注
6文章
657瀏覽量
59190
發(fā)布評論請先 登錄
相關(guān)推薦
評論