監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

IPv6對(duì)網(wǎng)絡(luò)安全的改進(jìn)與挑戰(zhàn)

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件

IPv4地址資源的緊缺引發(fā)了一系列安全問(wèn)題,盡管IPv6協(xié)議在網(wǎng)絡(luò)安全上做了多項(xiàng)改進(jìn),但是其引入也帶來(lái)了新的安全問(wèn)題。

由于我國(guó)IPv4地址資源嚴(yán)重不足,除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊張問(wèn)題,更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT/PAT)技術(shù)來(lái)解決這個(gè)問(wèn)題。比如PSTN、ADSL、GPRS撥號(hào)上網(wǎng)、寬帶用戶以及很多校園網(wǎng)、企業(yè)網(wǎng)大都是采用私有IPv4地址,通過(guò)NAT技術(shù)接入互聯(lián)網(wǎng),這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣?,且安全性等方面也難以得到保障。從根本上看,互聯(lián)網(wǎng)可信度問(wèn)題、端到端連接特性遭受破壞、網(wǎng)絡(luò)沒有強(qiáng)制采用IPSec而帶來(lái)的安全性問(wèn)題,使IPv4網(wǎng)絡(luò)面臨各種威脅。

IPv6協(xié)議在網(wǎng)絡(luò)安全上有改進(jìn)

IP安全協(xié)議(IPSec) IPSec是IPv4的一個(gè)可選擴(kuò)展協(xié)議,而在IPv6則是一個(gè)必備組成部分。IPSec協(xié)議可以“無(wú)縫”地為IP提供安全特性,如提供訪問(wèn)控制、數(shù)據(jù)源的身份驗(yàn)證、數(shù)據(jù)完整性檢查、機(jī)密性保證,以及抗重播(Replay)攻擊等。新版路由協(xié)議OSPFv3 和 RIPng采用IPSec來(lái)對(duì)路由信息進(jìn)行加密和認(rèn)證,提高抗路由攻擊的性能。

需要指出的是,雖然IPSec能夠防止多種攻擊,但無(wú)法抵御Sniffer、DoS攻擊、洪水(Flood)攻擊和應(yīng)用層攻擊。IPSec作為一個(gè)網(wǎng)絡(luò)層協(xié)議,只能負(fù)責(zé)其下層的網(wǎng)絡(luò)安全,不能對(duì)其上層如Web、E-mail及FTP等應(yīng)用的安全負(fù)責(zé)。

端到端的安全保證 IPv6最大的優(yōu)勢(shì)在于保證端到端的安全,可以滿足用戶對(duì)端到端安全和移動(dòng)性的要求。IPv6限制使用NAT,允許所有的網(wǎng)絡(luò)節(jié)點(diǎn)使用其全球惟一的地址進(jìn)行通信。每當(dāng)建立一個(gè)IPv6的連接,都會(huì)在兩端主機(jī)上對(duì)數(shù)據(jù)包進(jìn)行IPSec封裝,中間路由器實(shí)現(xiàn)對(duì)有IPSec擴(kuò)展頭的IPv6數(shù)據(jù)包進(jìn)行透明傳輸,通過(guò)對(duì)通信端的驗(yàn)證和對(duì)數(shù)據(jù)的加密保護(hù),使得敏感數(shù)據(jù)可以在IPv6 網(wǎng)絡(luò)上安全地傳遞,因此,無(wú)需針對(duì)特別的網(wǎng)絡(luò)應(yīng)用部署ALG(應(yīng)用層網(wǎng)關(guān)),就可保證端到端的網(wǎng)絡(luò)透明性,有利于提高網(wǎng)絡(luò)服務(wù)速度。

地址分配與源地址檢查 在IPv6的地址概念中,有了本地子網(wǎng)(Link-local)地址和本地網(wǎng)絡(luò)(Site-local)地址的概念。從安全角度來(lái)說(shuō),這樣的地址分配為網(wǎng)絡(luò)管理員強(qiáng)化網(wǎng)絡(luò)安全管理提供了方便。若某主機(jī)僅需要和一個(gè)子網(wǎng)內(nèi)的其他主機(jī)建立聯(lián)系,網(wǎng)絡(luò)管理員可以只給該主機(jī)分配一個(gè)本地子網(wǎng)地址;若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問(wèn)服務(wù),那么就可以只給這臺(tái)服務(wù)器分配一個(gè)本地網(wǎng)絡(luò)地址,而企業(yè)網(wǎng)外部的任何人都無(wú)法訪問(wèn)這些主機(jī)。

由于IPv6地址構(gòu)造是可會(huì)聚的(aggregate-able)、層次化的地址結(jié)構(gòu),因此,在IPv6接入路由器對(duì)用戶進(jìn)入時(shí)進(jìn)行源地址檢查,使得ISP可以驗(yàn)證其客戶地址的合法性。

源路由檢查 出于安全性和多業(yè)務(wù)的考慮,許多核心路由器可根據(jù)需要,開啟反向路由檢測(cè)功能,防止源路由篡改和攻擊。

防止未授權(quán)訪問(wèn) IPv6固有的對(duì)身份驗(yàn)證的支持,以及對(duì)數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性的支持和改進(jìn),使得IPv6增強(qiáng)了防止未授權(quán)訪問(wèn)的能力,更加適合于那些對(duì)敏感信息和資源有特別處理要求的應(yīng)用。

域名系統(tǒng)DNS 基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)的基礎(chǔ),有助于抵御網(wǎng)上的身份偽裝與偷竊,而采用可以提供認(rèn)證和完整性安全特性的DNS安全擴(kuò)展 (DNS Security Extensions)協(xié)議,能進(jìn)一步增強(qiáng)目前針對(duì)DNS新的攻擊方式的防護(hù),例如“網(wǎng)絡(luò)釣魚(Phishing)”攻擊、“DNS中毒(DNS poisoning)”攻擊等,這些攻擊會(huì)控制DNS服務(wù)器,將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。此外,專家認(rèn)為,如果能爭(zhēng)取在我國(guó)建立IPv6域名系統(tǒng)根服務(wù)器,則對(duì)于我國(guó)的信息安全很有必要和十分重要。

靈活的擴(kuò)展報(bào)頭 一個(gè)完整的IPv6的數(shù)據(jù)包可包括多種擴(kuò)展報(bào)頭,例如逐個(gè)路程段選項(xiàng)報(bào)頭、目的選項(xiàng)報(bào)頭、路由報(bào)頭、分段報(bào)頭、身份認(rèn)證報(bào)頭、有效載荷安全封裝報(bào)頭、最終目的報(bào)頭等。這些擴(kuò)展報(bào)頭不僅為IPv6擴(kuò)展應(yīng)用領(lǐng)域奠定了基礎(chǔ),同時(shí)也為安全性提供了保障。

防止網(wǎng)絡(luò)掃描與病毒蠕蟲傳播 當(dāng)病毒和蠕蟲在感染了一臺(tái)主機(jī)之后,就開始對(duì)其他主機(jī)進(jìn)行隨機(jī)掃描,在掃描到其他有漏洞的主機(jī)后,會(huì)把病毒傳染給該主機(jī)。這種傳播方式的傳播速度在IPv4環(huán)境下非常迅速(如Nimdar病毒在4~5分鐘內(nèi)可以感染上百萬(wàn)臺(tái)計(jì)算機(jī))。但這種傳播方式因?yàn)镮Pv6的地址空間的巨大變得不適用了,病毒及網(wǎng)絡(luò)蠕蟲在IPv6的網(wǎng)絡(luò)中傳播將會(huì)變得很困難。

防止網(wǎng)絡(luò)放大攻擊(Broadcast Amplication Attacks) ICMPv6在設(shè)計(jì)上不會(huì)響應(yīng)組播地址和廣播地址的消息,不存在廣播,所以,只需要在網(wǎng)絡(luò)邊緣過(guò)濾組播數(shù)據(jù)包,即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊。

防止碎片(Fragment)攻擊 IPv6認(rèn)為MTU小于1280字節(jié)的數(shù)據(jù)包是非法的,處理時(shí)會(huì)丟棄MTU小于1280字節(jié)的數(shù)據(jù)包(除非它是最后一個(gè)包),這有助于防止碎片攻擊。

由此看來(lái),IPv6協(xié)議確實(shí)比IPv4的安全性有所改進(jìn),IPv4中常見的一些攻擊方式,將在IPv6網(wǎng)絡(luò)中失效,例如網(wǎng)絡(luò)偵察、報(bào)頭攻擊、ICMP攻擊、碎片攻擊、假冒地址、病毒及蠕蟲等。但數(shù)據(jù)包偵聽、中間人攻擊、洪水攻擊、拒絕服務(wù)攻擊、應(yīng)用層攻擊等一系列在IPv4網(wǎng)絡(luò)中的問(wèn)題,IPv6仍應(yīng)對(duì)乏力,只是在IPv6的網(wǎng)絡(luò)中事后追溯攻擊的源頭方面要比在IPv4中容易一些。

引入IPv6出現(xiàn)的安全新問(wèn)題

IPv6是新的協(xié)議,在其發(fā)展過(guò)程中必定會(huì)產(chǎn)生一些新的安全問(wèn)題,主要包括應(yīng)對(duì)拒絕服務(wù)攻擊(DoS)乏力、包過(guò)濾式防火墻無(wú)法根據(jù)訪問(wèn)控制列表ACL正常工作、入侵檢測(cè)系統(tǒng)(IDS)遭遇拒絕服務(wù)攻擊后失去作用、被黑客篡改報(bào)頭等問(wèn)題。

此外,在IPv6中還有一些問(wèn)題有待解決,主要包括:

1. IP網(wǎng)中許多不安全問(wèn)題主要是管理造成的。IPv6的管理與IPv4在思路上有可借鑒之處。但對(duì)于一些網(wǎng)管技術(shù),如SNMP等,不管是移植還是重新另搞,其安全性都必須從本質(zhì)上有所提高。由于目前針對(duì)IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件幾乎沒有成熟產(chǎn)品出現(xiàn),因此缺乏對(duì)IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和管理的手段,缺乏對(duì)大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段。沒有網(wǎng)管,何談保障網(wǎng)絡(luò)高效、安全運(yùn)行?

2. PKI管理在IPv6中是懸而未決的新問(wèn)題。

3. IPv6網(wǎng)絡(luò)同樣需要防火墻、VPN、IDS、漏洞掃描、網(wǎng)絡(luò)過(guò)濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。事實(shí)上IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)。這方面的安全技術(shù)研發(fā)還尚需時(shí)日。

4. IPv6協(xié)議仍需在實(shí)踐中完善,例如IPv6組播功能僅僅規(guī)定了簡(jiǎn)單的認(rèn)證功能,所以還難以實(shí)現(xiàn)嚴(yán)格的用戶限制功能,而移動(dòng)IPv6(Mobiel IPv6)也存在很多新的安全挑戰(zhàn)。DHCP必須經(jīng)過(guò)升級(jí)才可以支持IPv6地址,DHCPv6仍然處于研究、制訂之中。

向 IPv6遷移的可能漏洞

由于IPv6與IPv4網(wǎng)絡(luò)將會(huì)長(zhǎng)期共存,網(wǎng)絡(luò)必然會(huì)同時(shí)存在兩者的安全問(wèn)題,或由此產(chǎn)生新的安全漏洞。

已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移時(shí)出現(xiàn)的一些安全漏洞,例如黑客可以使用IPv6非法訪問(wèn)采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源,攻擊者可以通過(guò)安裝了雙棧的使用IPv6的主機(jī),建立由IPv6到IPv4的隧道,繞過(guò)防火墻對(duì)IPv4進(jìn)行攻擊。

向IPv6協(xié)議的轉(zhuǎn)移與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣,需要重新配置防火墻,其安全措施必須經(jīng)過(guò)慎重的考慮和測(cè)試,例如IPv4環(huán)境下的IDS并不能直接支持IPv6,需要重新設(shè)計(jì),原來(lái)應(yīng)用在IPv4協(xié)議的安全策略和安全措施必須在IPv6上得到落實(shí)。

目前,IPv4向IPv6過(guò)渡有多種技術(shù),其中基本過(guò)渡技術(shù)有雙棧、隧道和協(xié)議轉(zhuǎn)換,但目前這幾種技術(shù)運(yùn)行都不理想。專家建議,向IPv6轉(zhuǎn)移應(yīng)盡量采用雙棧技術(shù),避免采用協(xié)議轉(zhuǎn)換;盡量采用靜態(tài)隧道,避免采用動(dòng)態(tài)隧道;這些都需要在廣泛實(shí)驗(yàn)中加以檢驗(yàn)。

與IPv4相比,IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進(jìn),在可控性和抗否認(rèn)性方面有了新的保證,但I(xiàn)Pv6不僅不可能徹底解決所有安全問(wèn)題,同時(shí)還會(huì)伴隨其產(chǎn)生新的安全問(wèn)題。目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來(lái)自應(yīng)用層而非IP層,因此,保護(hù)網(wǎng)絡(luò)安全與信息安全,只靠一兩項(xiàng)技術(shù)并不能實(shí)現(xiàn),還需配合多種手段,諸如認(rèn)證體系、加密體系、密鑰分發(fā)體系、可信計(jì)算體系等。 (ccw)

發(fā)布:2007-04-22 10:09    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
沈陽(yáng)OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普沈陽(yáng)OA快博其他應(yīng)用

沈陽(yáng)OA軟件 沈陽(yáng)OA新聞動(dòng)態(tài) 沈陽(yáng)OA信息化 沈陽(yáng)OA快博 沈陽(yáng)OA行業(yè)資訊 沈陽(yáng)軟件開發(fā)公司 沈陽(yáng)門禁系統(tǒng) 沈陽(yáng)物業(yè)管理軟件 沈陽(yáng)倉(cāng)庫(kù)管理軟件 沈陽(yáng)餐飲管理軟件 沈陽(yáng)網(wǎng)站建設(shè)公司