通過翻譯設(shè)備可以實現(xiàn)IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)的雙向互訪？

什么是IPV6？

其實，IPv6并不是一個新鮮事物。早在上個世紀(jì)90年代，它就已經(jīng)誕生了。我相信，從事IT或通信相關(guān)工作的人，或多或少聽說過它。

IPv6的全稱是Internet Protocol version 6。其中，Internet Protocol譯為“互聯(lián)網(wǎng)協(xié)議”。所以，IPv6就是互聯(lián)網(wǎng)協(xié)議第6版。

眾所周知，互聯(lián)網(wǎng)上的每一臺電腦，必須有一個地址，才能被其他互聯(lián)網(wǎng)上的計算機(jī)訪問，之前唱衰IPv4的原因，就是因為IPv4的數(shù)量早就不夠了。

IPv4到底一共有多少個IP地址呢？答案是2的32次方，也就是約42.9億個。

根據(jù)互聯(lián)網(wǎng)數(shù)據(jù)研究機(jī)構(gòu)（2018年1月）的統(tǒng)計，全世界76億人口，網(wǎng)民總數(shù)已經(jīng)超過了40億。

IPv6網(wǎng)絡(luò)真的安全嗎？

一、IPv6的信息安全隱患

當(dāng)前，“線上”網(wǎng)絡(luò)和“線下”生活正在深度融合，虛擬網(wǎng)絡(luò)世界和現(xiàn)實社會生活相互交織。人們在互聯(lián)網(wǎng)上變成了“透明人”，個人的一舉一動都被互聯(lián)網(wǎng)“記錄在案”，試想一下如果這些信息被非法使用，是不是很恐怖？

構(gòu)建基于IPv6的可信任下一代互聯(lián)網(wǎng)，是一項長期而艱巨的任務(wù)。雖然IPv6與IPv4相比，在安全性方面進(jìn)行了預(yù)先設(shè)計和充分考慮，但仍然存在一些難以解決的安全隱患。

一是難以應(yīng)對拒絕服務(wù)攻擊。拒絕服務(wù)攻擊仍然是IPv6面臨的最嚴(yán)重的一種攻擊，它可能導(dǎo)致計算機(jī)硬盤、物理設(shè)備毀壞和所有可用內(nèi)存耗盡的危險。IPv6支持動態(tài)自動尋址，雖然給合法網(wǎng)絡(luò)用戶使用帶來了方便，但非授權(quán)的用戶可以更容易地接入和使用網(wǎng)絡(luò)，埋下了拒絕服務(wù)攻擊的隱患。拒絕服務(wù)攻擊主要包括兩種方式：一種是通過向服務(wù)器或主機(jī)發(fā)送大量數(shù)據(jù)包，使得主機(jī)忙于處理這些無用的數(shù)據(jù)包而無法響應(yīng)有用的信息；另一種是對網(wǎng)絡(luò)上兩個節(jié)點之間的通信直接進(jìn)行干擾，攻擊者可以冒充通信節(jié)點向目標(biāo)通信節(jié)點發(fā)送錯誤消息，從而造成路由迂回，導(dǎo)致網(wǎng)絡(luò)帶寬浪費及時延增加。對這兩種方式，IPv6從技術(shù)上都沒有很好地解決。

二是難以彌補(bǔ)整個網(wǎng)絡(luò)協(xié)議族的安全缺陷。根據(jù)國際標(biāo)準(zhǔn)化組織提出的各種計算機(jī)在世界范圍內(nèi)互聯(lián)成網(wǎng)的標(biāo)準(zhǔn)框架，即開放系統(tǒng)互聯(lián)參考模型，計算機(jī)網(wǎng)絡(luò)分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層等七個功能層。IP協(xié)議只是網(wǎng)絡(luò)層的協(xié)議，其安全性設(shè)計得再好，也只能保證本功能層的安全，其他功能層如應(yīng)用層的網(wǎng)頁服務(wù)、郵件服務(wù)及文件傳輸?shù)确?wù)的安全仍然難以保證。

二、繼承自IPv4的安全威脅

1.IPv6中協(xié)議和報文結(jié)構(gòu)雖有變化，但一些存在于IPv4網(wǎng)絡(luò)中的攻擊類型仍然存在。

2.過渡機(jī)制存在的安全風(fēng)險

當(dāng)前我國IPv6規(guī)模部署工作呈現(xiàn)加速發(fā)展態(tài)勢，在從IPv4向IPv6過渡的過程中，“雙棧”、“隧道”、“翻譯”是三種采用的方案，均可能引入新的安全威脅。

雙棧機(jī)制安全風(fēng)險

IPv4/IPv6雙棧技術(shù)是指在網(wǎng)絡(luò)節(jié)點上同時運行IPv4和IPv6兩種協(xié)議，在IP網(wǎng)絡(luò)中形成邏輯上相互獨立的兩張網(wǎng)絡(luò)：IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)。

過渡期間同時運行著IPv4、IPv6兩個邏輯網(wǎng)絡(luò)，增加了設(shè)備及系統(tǒng)的暴露面，也意味著防火墻、安全網(wǎng)關(guān)等防護(hù)設(shè)備需同時配置雙棧策略，導(dǎo)致策略管理復(fù)雜度加倍，防護(hù)被穿透的機(jī)會加倍。

在IPv4網(wǎng)絡(luò)中，部分操作系統(tǒng)缺省啟動了IPv6自動地址配置功能，使得IPv4網(wǎng)絡(luò)中存在隱蔽的IPv6通道，但由于該IPv6通道并沒有進(jìn)行防護(hù)配置，攻擊者可能利用IPv6通道實施攻擊。

雙棧系統(tǒng)同時運行IPv4協(xié)議、IPv6協(xié)議，會增加網(wǎng)絡(luò)節(jié)點協(xié)議處理復(fù)雜性和數(shù)據(jù)轉(zhuǎn)發(fā)負(fù)擔(dān)，導(dǎo)致網(wǎng)絡(luò)節(jié)點的故障率增加。

隧道機(jī)制安全風(fēng)險

一些隧道機(jī)制對任何來源的數(shù)據(jù)包只進(jìn)行簡單的封裝和解封，所以各種隧道機(jī)制的引入，為網(wǎng)絡(luò)環(huán)境增添了安全隱患。

不對IPv4和IPv6地址的關(guān)系做檢查。攻擊者利用隧道機(jī)制，可將IPv6報文封裝成IPv4報文進(jìn)行傳輸，由于IPv4網(wǎng)絡(luò)無法驗證源地址的真實性，攻擊者可以偽造隧道報文注入到目的網(wǎng)絡(luò)中。

不對隧道封裝的內(nèi)容進(jìn)行檢查，通過隧道封裝攻擊報文。對于以隧道形式傳輸?shù)腎Pv6流量，很多網(wǎng)絡(luò)設(shè)備直接轉(zhuǎn)發(fā)或者只做簡單的檢查。攻擊者可以配置IPv4 over IPv6，將IPv4流量封裝在IPv6報文中，導(dǎo)致原來IPv4網(wǎng)絡(luò)的攻擊流量經(jīng)由IPv6的“掩護(hù)”后穿越防護(hù)造成威脅。

翻譯機(jī)制安全風(fēng)險

翻譯機(jī)制（即協(xié)議轉(zhuǎn)換）通過IPv6與IPv4的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換，實現(xiàn)了IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)的雙向互訪。翻譯設(shè)備作為IPv6網(wǎng)絡(luò)與IPv4網(wǎng)路的互連節(jié)點，易成為安全瓶頸，一旦被攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓。

三、IPv6特有的安全威脅

IPv6報文結(jié)構(gòu)中引入的新字段（如流標(biāo)簽、RH0、路由頭等）、IPv6協(xié)議族中引入的新協(xié)議（如NDP鄰居發(fā)現(xiàn)協(xié)議等）可能存在漏洞，被用于發(fā)起嗅探、DoS等攻擊。

IPv6新的應(yīng)用也可能帶來安全風(fēng)險。IPv6使用IPSec，使得防火墻過濾變得困難，防火墻需要解析隧道信息。如果使用ESP加密，三層以上的信息都是不可見的，控制難度大大增加，需要安全設(shè)備能夠識別出攻擊報文新方法和措施。

寫在最后

IPv6并不能解決所有的網(wǎng)絡(luò)安全問題。

所以仍然需要專業(yè)的信息風(fēng)險管理人員進(jìn)行把控，報名加入中國注冊風(fēng)險管理師協(xié)會，學(xué)習(xí)風(fēng)險管理實操內(nèi)容，從最基礎(chǔ)開始教會你如何做好信息風(fēng)險管理。
責(zé)任編輯:pj