也不需要廣泛使用NAT設(shè)備節(jié)省IPv6公網(wǎng)地址。64位的主機(jī)地址使得網(wǎng)絡(luò)掃描的難度和代價(jià)都大大增加,2 ---支持IPSec安全加密機(jī)制IPv6協(xié)議中默認(rèn)集成了IPSec安全功能,通過(guò)擴(kuò)展認(rèn)證報(bào)頭(AH)和封裝安全載荷報(bào)頭(ESP)實(shí)現(xiàn)加密和驗(yàn)證功能。AH協(xié)議實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證功能,中間轉(zhuǎn)發(fā)設(shè)備只需要對(duì)帶有IPSec擴(kuò)展包頭的報(bào)文進(jìn)行普通轉(zhuǎn)發(fā)。公網(wǎng)ip安全嗎。 當(dāng)前,“線(xiàn)上”網(wǎng)絡(luò)和“線(xiàn)下”生活正在深度融合,虛擬網(wǎng)絡(luò)世界和現(xiàn)實(shí)社會(huì)生活相互交織。人們?cè)诨ヂ?lián)網(wǎng)上變成了“透明人”,個(gè)人的一舉一動(dòng)都被互聯(lián)網(wǎng)“記錄在案”,試想一下如果這些信息被非法使用,是不是很恐怖? 另外,網(wǎng)絡(luò)在金融、交通、通信、軍事等各個(gè)領(lǐng)域的作用越來(lái)越重要,已成為一個(gè)國(guó)家正常運(yùn)轉(zhuǎn)的“神經(jīng)系統(tǒng)”。 我們知道國(guó)家正在大力推動(dòng)IPv6網(wǎng)絡(luò)的部署,其中有一個(gè)很重要的出發(fā)點(diǎn),就是希望借助IPv6在安全性上的改進(jìn),促進(jìn)網(wǎng)絡(luò)空間的安全治理,扭轉(zhuǎn)當(dāng)前網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)。 IPv6在技術(shù)上有哪些改進(jìn)? IPv6作為下一代互聯(lián)網(wǎng)的關(guān)鍵性技術(shù),正逐步取代IPv4成為支撐互聯(lián)網(wǎng)運(yùn)轉(zhuǎn)的核心協(xié)議,IPv6重點(diǎn)解決了IPv4兩方面的問(wèn)題。 地址空間問(wèn)題 與IPv4相比,IPv6把IP地址數(shù)量從2的32次方擴(kuò)展到了2的128次方,足以滿(mǎn)足任何未來(lái)可預(yù)計(jì)的地址空間分配。這正是IPv6被選作新一代網(wǎng)絡(luò)承載協(xié)議并逐漸商用部署的根本驅(qū)動(dòng)力。 網(wǎng)絡(luò)安全問(wèn)題 IPv4因?yàn)榈刂焚Y源有限,在很多時(shí)候一個(gè)公網(wǎng)地址需要通過(guò)地址翻譯(NAT)方式被多臺(tái)主機(jī)共用。因此也就破壞了端到端通信的透明性,為網(wǎng)絡(luò)安全事件的溯源帶來(lái)了困難。 IPv6地址資源豐富,可采用逐級(jí)、層次化的結(jié)構(gòu)進(jìn)行地址分配,為每個(gè)責(zé)任體分配一個(gè)獨(dú)一無(wú)二的IPv6地址,使得追蹤定位,查詢(xún)溯源得到了很大的改善。 可以說(shuō),IPv6技術(shù)是實(shí)施網(wǎng)絡(luò)空間安全治理的基礎(chǔ)性技術(shù)。 IPv6在安全性上有哪些提高? 1 ---可溯源和防攻擊 IPv6的地址空間巨大,理論上不會(huì)再有IPv6地址短缺困境,也不需要廣泛使用NAT設(shè)備節(jié)省IPv6公網(wǎng)地址。IPv6終端之間可以直接建立點(diǎn)到點(diǎn)的連接,無(wú)需地址轉(zhuǎn)換,因此IPv6地址非常容易溯源。 IPv6地址分為64位的網(wǎng)絡(luò)前綴和64位的接口地址。一個(gè)64位的前綴地址支持64位的主機(jī)數(shù)量,攻擊者無(wú)法掃描一個(gè)IPv6網(wǎng)段內(nèi)所有可能的主機(jī)。假設(shè)攻擊者以每秒掃描100萬(wàn)個(gè)主機(jī)的速度掃描,大約50萬(wàn)年左右才能遍歷一個(gè)64位前綴內(nèi)所有的主機(jī)地址。64位的主機(jī)地址使得網(wǎng)絡(luò)掃描的難度和代價(jià)都大大增加,從而進(jìn)一步防范了攻擊。 2 ---支持IPSec安全加密機(jī)制 IPv6協(xié)議中默認(rèn)集成了IPSec安全功能,通過(guò)擴(kuò)展認(rèn)證報(bào)頭(AH)和封裝安全載荷報(bào)頭(ESP)實(shí)現(xiàn)加密和驗(yàn)證功能。 AH協(xié)議實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證功能,ESP在上述功能基礎(chǔ)上增加安全加密功能。集成了IPSec的IPv6協(xié)議真正實(shí)現(xiàn)了端到端的安全,中間轉(zhuǎn)發(fā)設(shè)備只需要對(duì)帶有IPSec擴(kuò)展包頭的報(bào)文進(jìn)行普通轉(zhuǎn)發(fā),而不對(duì)IPSec擴(kuò)展包頭進(jìn)行處理,大大減輕轉(zhuǎn)發(fā)壓力。 3 ---NDP和SEND的安全增強(qiáng) 在IPv6協(xié)議中,采用鄰居發(fā)現(xiàn)協(xié)議(NDP)取代現(xiàn)有IPv4中的ARP及部分ICMP控制功能。NDP協(xié)議通過(guò)在節(jié)點(diǎn)之間交換ICMPv6信息報(bào)文和差錯(cuò)報(bào)文實(shí)現(xiàn)鏈路層地址及路由發(fā)現(xiàn)、地址自動(dòng)配置等功能,并且通過(guò)維護(hù)鄰居可達(dá)狀態(tài)來(lái)加強(qiáng)通信的健壯性。 NDP協(xié)議獨(dú)立于傳輸介質(zhì),可以更方便地進(jìn)行功能擴(kuò)展?,F(xiàn)有的IPv6協(xié)議層加密認(rèn)證機(jī)制可以實(shí)現(xiàn)對(duì)NDP協(xié)議的保護(hù)。IPv6的安全鄰居發(fā)現(xiàn)協(xié)議(SEND)協(xié)議是NDP的一個(gè)安全擴(kuò)展,SEND的目的是提供一種備用機(jī)制,通過(guò)獨(dú)立于IPSec的另一種加密方式保護(hù)NDP,保證了傳輸?shù)陌踩浴?/p> 4 ---真實(shí)源地址驗(yàn)證體系 真實(shí)源IPv6地址驗(yàn)證體系結(jié)構(gòu)(SAVA)分為接入網(wǎng)(Access Network)、區(qū)域內(nèi)(Intra-AS)和區(qū)域間(Inter-AS)源地址驗(yàn)證三個(gè)層次,從主機(jī)IP 地址、IP 地址前綴和自治域三個(gè)粒度構(gòu)成多重監(jiān)控防御體系。該體系不但可以有效阻止仿冒源地址類(lèi)攻擊,還能夠通過(guò)監(jiān)控流量來(lái)實(shí)現(xiàn)基于真實(shí)源地址的計(jì)費(fèi)和網(wǎng)管。 因此,IPv6不止IP地址接近無(wú)限,還在網(wǎng)絡(luò)安全性方面更勝一籌。 IPv6依然存在風(fēng)險(xiǎn)? 與IPv4相比,IPv6在安全性方面進(jìn)行了預(yù)先設(shè)計(jì)和充分考慮,但仍然存在一些難以解決的安全風(fēng)險(xiǎn)。 IPv6作為網(wǎng)絡(luò)層協(xié)議,并不能解決所有的網(wǎng)絡(luò)安全問(wèn)題。其他功能層(如由于應(yīng)用層漏洞)所引發(fā)的攻擊,IPv6本身并不能解決。 IPv6仍然沿襲了部分IPv4存在的安全風(fēng)險(xiǎn),在IPv4與IPv6實(shí)施的雙棧配置等過(guò)渡期機(jī)制也可能引入安全風(fēng)險(xiǎn)。 網(wǎng)絡(luò)中也會(huì)出現(xiàn)一些專(zhuān)門(mén)針對(duì)IPv6協(xié)議形成的新安全風(fēng)險(xiǎn)。 繼承自IPv4的安全威脅 1 IPv6中協(xié)議和報(bào)文結(jié)構(gòu)雖有變化,但一些存在于IPv4網(wǎng)絡(luò)中的攻擊類(lèi)型仍然存在。 過(guò)渡機(jī)制存在的安全風(fēng)險(xiǎn) 2 當(dāng)前我國(guó)IPv6規(guī)模部署工作呈現(xiàn)加速發(fā)展態(tài)勢(shì),在從IPv4向IPv6過(guò)渡的過(guò)程中,“雙棧”、“隧道”、“翻譯”是三種采用的方案,均可能引入新的安全威脅。 雙棧機(jī)制安全風(fēng)險(xiǎn) IPv4/IPv6雙棧技術(shù)是指在網(wǎng)絡(luò)節(jié)點(diǎn)上同時(shí)運(yùn)行IPv4和IPv6兩種協(xié)議,在IP網(wǎng)絡(luò)中形成邏輯上相互獨(dú)立的兩張網(wǎng)絡(luò):IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)。 過(guò)渡期間同時(shí)運(yùn)行著IPv4、IPv6兩個(gè)邏輯網(wǎng)絡(luò),增加了設(shè)備及系統(tǒng)的暴露面,也意味著防火墻、安全網(wǎng)關(guān)等防護(hù)設(shè)備需同時(shí)配置雙棧策略,導(dǎo)致策略管理復(fù)雜度加倍,防護(hù)被穿透的機(jī)會(huì)加倍。 在IPv4網(wǎng)絡(luò)中,部分操作系統(tǒng)缺省啟動(dòng)了IPv6自動(dòng)地址配置功能,使得IPv4網(wǎng)絡(luò)中存在隱蔽的IPv6通道,但由于該IPv6通道并沒(méi)有進(jìn)行防護(hù)配置,攻擊者可能利用IPv6通道實(shí)施攻擊。 雙棧系統(tǒng)同時(shí)運(yùn)行IPv4協(xié)議、IPv6協(xié)議,會(huì)增加網(wǎng)絡(luò)節(jié)點(diǎn)協(xié)議處理復(fù)雜性和數(shù)據(jù)轉(zhuǎn)發(fā)負(fù)擔(dān),導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)的故障率增加。 隧道機(jī)制安全風(fēng)險(xiǎn) 一些隧道機(jī)制對(duì)任何來(lái)源的數(shù)據(jù)包只進(jìn)行簡(jiǎn)單的封裝和解封,所以各種隧道機(jī)制的引入,為網(wǎng)絡(luò)環(huán)境增添了安全隱患。 不對(duì)IPv4和IPv6地址的關(guān)系做檢查。攻擊者利用隧道機(jī)制,可將IPv6報(bào)文封裝成IPv4報(bào)文進(jìn)行傳輸,由于IPv4網(wǎng)絡(luò)無(wú)法驗(yàn)證源地址的真實(shí)性,攻擊者可以偽造隧道報(bào)文注入到目的網(wǎng)絡(luò)中。 不對(duì)隧道封裝的內(nèi)容進(jìn)行檢查,通過(guò)隧道封裝攻擊報(bào)文。對(duì)于以隧道形式傳輸?shù)腎Pv6流量,很多網(wǎng)絡(luò)設(shè)備直接轉(zhuǎn)發(fā)或者只做簡(jiǎn)單的檢查。攻擊者可以配置IPv4 over IPv6,將IPv4流量封裝在IPv6報(bào)文中,導(dǎo)致原來(lái)IPv4網(wǎng)絡(luò)的攻擊流量經(jīng)由IPv6的“掩護(hù)”后穿越防護(hù)造成威脅。 翻譯機(jī)制安全風(fēng)險(xiǎn) 翻譯機(jī)制(即協(xié)議轉(zhuǎn)換)通過(guò)IPv6與IPv4的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換,實(shí)現(xiàn)了IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)的雙向互訪。翻譯設(shè)備作為IPv6網(wǎng)絡(luò)與IPv4網(wǎng)路的互連節(jié)點(diǎn),易成為安全瓶頸,一旦被攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓。 IPv6特有的安全威脅 3 IPv6報(bào)文結(jié)構(gòu)中引入的新字段(如流標(biāo)簽、RH0、路由頭等)、IPv6協(xié)議族中引入的新協(xié)議(如NDP鄰居發(fā)現(xiàn)協(xié)議等)可能存在漏洞,被用于發(fā)起嗅探、DoS等攻擊。 IPv6新的應(yīng)用也可能帶來(lái)安全風(fēng)險(xiǎn)。IPv6使用IPSec,使得防火墻過(guò)濾變得困難,防火墻需要解析隧道信息。如果使用ESP加密,三層以上的信息都是不可見(jiàn)的,控制難度大大增加,需要安全設(shè)備能夠識(shí)別出攻擊報(bào)文新方法和措施。 寫(xiě)在最后 IPv6并不能解決所有的網(wǎng)絡(luò)安全問(wèn)題。但是因?yàn)镮Pv6協(xié)議提供可靠的地址驗(yàn)證與溯源機(jī)制,可以在上述攻擊發(fā)生后及時(shí)溯源處置,實(shí)現(xiàn)高效的信息安全治理。 擁有網(wǎng)絡(luò)安全意識(shí)是保證網(wǎng)絡(luò)安全的前提,因此在IPv6部署時(shí)就需要樹(shù)立良好的安全防范意識(shí)。部署時(shí)充分利用IPv6自身的安全特性的同時(shí),設(shè)定合理的安全部署策略。 IPv6是革命性的,IPv6允許我們?yōu)槲磥?lái)無(wú)處不在的萬(wàn)物互聯(lián)做好準(zhǔn)備。但是,同其他的技術(shù)創(chuàng)新一樣,我們也需要從安全的角度認(rèn)真關(guān)注IPv6。 |
|
來(lái)自: 七曜使者 > 《網(wǎng)絡(luò)》