浅析IPV6的安全性

2022-09-11

总有人误认为“网络改成I P v 6, 安全问题就全面解决了”。诚然, IPv4中常见的一些攻击方式将在I P v 6网络中失效, 例如网络侦察、报头攻击、碎片攻击、假冒地址及蠕虫病毒等, 但I P v 6不仅不可能彻底解决所有安全问题, 反而还会产生新的安全问题。

安全新问题如影随形。

1 什么是IPV6

IPv6是Internet Protocol Version 6的缩写, 其中Internet Protocol译为“互联网协议”。I P v 6是下一版本的互联网协议, 它的提出最初是因为随着互联网的迅速发展, I P v 4定义的有限地址空间将被耗尽, 地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间, 拟通过I P v 6重新定义地址空间。IPv6采用128位地址长度几乎可以不受限制地提供地址。

2 IPv6相对于IPv4在安全方面改进

IP安全协议 (IPSec) IPSec是IPv4的一个可选扩展协议, 而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性, 如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证, 以及抗重播 (R e p l a y) 攻击等。新版路由协议OSPFv3和RIPng采用IPSec来对路由信息进行加密和认证, 提高抗路由攻击的性能。

需要指出的是, 虽然I P S e c能够防止多种攻击, 但无法抵御Sniffer、Do S攻击、洪水 (Flood) 攻击和应用层攻击。IPSec作为一个网络层协议, 只能负责其下层的网络安全, 不能对其上层如Web、E-mail及FTP等应用的安全负责。

端到端的安全保证IPv6最大的优势在于保证端到端的安全, 可以满足用户对端到端安全和移动性的要求。I P v 6限制使用N A T, 允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个I P v 6的连接, 都会在两端主机上对数据包进行IPSec封装, 中间路由器实现对有IPSec扩展头的I P v6数据包进行透明传输, 通过对通信端的验证和对数据的加密保护, 使得敏感数据可以在I P v 6网络上安全地传递, 因此, 无需针对特别的网络应用部署A L G (应用层网关) , 就可保证端到端的网络透明性, 有利于提高网络服务速度。

地址分配与源地址检查在I P v 6的地址概念中, 有了本地子网 (Link-local) 地址和本地网络 (Site-local) 地址的概念。从安全角度来说, 这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系, 网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务, 那么就可以只给这台服务器分配一个本地网络地址, 而企业网外部的任何人都无法访问这些主机。

由于I P v 6地址构造是可会聚的 (a g gregate-able) 、层次化的地址结构, 因此, 在IPv6接入路由器对用户进入时进行源地址检查, 使得I S P可以验证其客户地址的合法性。

源路由检查出于安全性和多业务的考虑, 许多核心路由器可根据需要, 开启反向路由检测功能, 防止源路由篡改和攻击。

防止未授权访问IPv6固有的对身份验证的支持, 以及对数据完整性和数据机密性的支持和改进, 使得I P v 6增强了防止未授权访问的能力, 更加适合于那些对敏感信息和资源有特别处理要求的应用。

域名系统DNS基于IPv6的DNS系统作为公共密钥基础设施 (P K I) 系统的基础, 有助于抵御网上的身份伪装与偷窃, 而采用可以提供认证和完整性安全特性的D N S安全扩展 (DNS Security Extensions) 协议, 能进一步增强目前针对D N S新的攻击方式的防护, 例如“网络钓鱼 (Phishing) ”攻击、“DNS中毒 (DNS poisoning) ”攻击等, 这些攻击会控制D N S服务器, 将合法网站的I P地址篡改为假冒、恶意网站的I P地址等。

灵活的扩展报头一个完整的I P v 6的数据包可包括多种扩展报头, 例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为I P v 6扩展应用领域奠定了基础, 同时也为安全性提供了保障。

防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后, 就开始对其他主机进行随机扫描, 在扫描到其他有漏洞的主机后, 会把病毒传染给该主机。这种传播方式的传播速度在IPv4环境下非常迅速 (如Nimdar病毒在4~5分钟内可以感染上百万台计算机) 。但这种传播方式因为I P v 6的地址空间的巨大变得不适用了, 病毒及网络蠕虫在I P v 6的网络中传播将会变得很困难。

防止网络放大攻击 (Broadcast Amplicati on Attacks) ICMPv6在设计上不会响应组播地址和广播地址的消息, 不存在广播, 所以, 只需要在网络边缘过滤组播数据包, 即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。

防止碎片 (Fragment) 攻击IPv6认为MTU小于1 2 8 0字节的数据包是非法的, 处理时会丢弃MTU小于1280字节的数据包 (除非它是最后一个包) , 这有助于防止碎片攻击。

3 IPv6与IPv4的安全性比较

现实Internet上的各种攻击.黑客和网络蠕虫病毒等, 弄的网民们是人人自危, 每天上网除了开启实时防病毒程序, 还要继续使用个人防火墙, 打开实时防木马程序才敢上网冲浪, 很多人都把这些归咎与IPv4网络, 现在IPv6来了, 它的设计充分研究了以前IPv4的各种问题, 再安全性上得到了大大的提升, 但不是IPv6就没有安全问题。

目前, 病毒和互联网蠕虫是最让人头痛的网络攻击, 但这种传播方式再I P v 6中就不再实用了, 因为I P v 6的地址空间实在是太大了, 如果这些病毒和蠕虫还想通过扫描地址段的方式来找到有机可乘的其他主机, 就如同大海捞针。再I P v 6的世界中, 对IPv6网络进行类似IPv4的按照IP地址段进行网络侦查是不可能了。

4 面临的新的问题

I P v 6是新的协议, 在其发展过程中必定会产生一些新的安全问题, 主要包括以下几点。

4.1 针对I P v 6的网管设备和网管软件都不太成熟

IPv6的管理可借鉴IPv4。但对于一些网管技术, 如S N M P (简单网络管理) 等, 不管是移植还是重建, 其安全性都必须从本质上有所提高。由于目前针对I P v 6的网管都不太成熟, 因此缺乏对I P v 6网络进行监测和管理的手段, 对大范围的网络故障定位和性能分析的能力还有待提高。

4.2 IPv6中同样需要防火墙、VPN、IDS (入

侵检测系统) 、漏洞扫描、网络过滤、防病毒网关等网络安全设备

事实上, I P v 6环境下的病毒已经出现。例如, 有研究人员在I P v 6中发现了一处安全漏洞, 可能导致用户遭受拒绝服务攻击。据悉, 该漏洞存在于IPv6的type 0路由头 (RH0) 特征中。某些系统在处理IPv6 type0路由头时存在拒绝服务漏洞。

4.3 IPv6协议仍需在实践中完善

I P v 6组播功能仅仅规定了简单的认证功能, 所以还难以实现严格的用户限制功能。移动IPv6 (Mobile IPv6) 也存在很多新的安全挑战, 目前移动I P v 6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外, DHCP (Dynamic Host Configuration Protocol, 动态主机配置协议) 必须经过升级才可以支持I P v 6地址, D H C P v 6仍然处于研究、制订之中。