IPv6路由協議如何改進與新問題的分析
隨著路由的快速發展,IPv6路由協議在其中也起著重要的作用,于是我研究了一下IPv6路由協議如何改進與新問題的分析,在這里拿出來和大家分享一下,希望對大家有用。IPv4地址資源的緊缺引發了一系列安全問題,盡管IPv6路由協議在網絡安全上做了多項改進,但是其引入也帶來了新的安全問題。
由于我國IPv4地址資源嚴重不足,除了采用CIDR、VLSM和DHCP技術緩解地址緊張問題,更多的是采用私有IP地址結合網絡地址轉換(NAT/PAT)技術來解決這個問題。比如PSTN、ADSL、GPRS撥號上網、寬帶用戶以及很多校園網、企業網大都是采用私有IPv4地址,通過NAT技術接入互聯網,這不僅大大降低了網絡傳輸的速度,且安全性等方面也難以得到保障。從根本上看,互聯網可信度問題、端到端連接特性遭受破壞、網絡沒有強制采用IPSec而帶來的安全性問題,使IPv4網絡面臨各種威脅。
IPv6路由協議在網絡安全上有改進
IPv6路由協議(IPSec) IPSec是IPv4的一個可選擴展協議,而在IPv6則是一個必備組成部分。IPSec協議可以“無縫”地為IP提供安全特性,如提供訪問控制、數據源的身份驗證、數據完整性檢查、機密性保證,以及抗重播(Replay)攻擊等。新版IPv6路由協議OSPFv3 和 RIPng采用IPSec來對路由信息進行加密和認證,提高抗路由攻擊的性能。需要指出的是,雖然IPSec能夠防止多種攻擊,但無法抵御Sniffer、DoS攻擊、洪水(Flood)攻擊和應用層攻擊。IPSec作為一個網絡層IPv6路由協議,只能負責其下層的網絡安全,不能對其上層如Web、E-mail及FTP等應用的安全負責。
端到端的安全保證 IPv6最大的優勢在于保證端到端的安全,可以滿足用戶對端到端安全和移動性的要求。IPv6限制使用NAT,允許所有的網絡節點使用其全球惟一的地址進行通信。每當建立一個IPv6的連接,都會在兩端主機上對數據包進行 IPSec封裝,中間路由器實現對有IPSec擴展頭的IPv6數據包進行透明傳輸,通過對通信端的驗證和對數據的加密保護,使得敏感數據可以在IPv6 網絡上安全地傳遞,因此,無需針對特別的網絡應用部署ALG(應用層網關),就可保證端到端的網絡透明性,有利于提高網絡服務速度。
地址分配與源地址檢查在IPv6的地址概念中,有了本地子網(Link-local)地址和本地網絡(Site-local)地址的概念。從安全角度來說,這樣的地址分配為網絡管理員強化網絡安全管理提供了方便。若某主機僅需要和一個子網內的其他主機建立聯系,網絡管理員可以只給該主機分配一個本地子網地址;若某服務器只為內部網用戶提供訪問服務,那么就可以只給這臺服務器分配一個本地網絡地址,而企業網外部的任何人都無法訪問這些主機。由于IPv6地址構造是可會聚的(aggregate-able)、層次化的地址結構,因此,在IPv6接入路由器對用戶進入時進行源地址檢查,使得ISP可以驗證其客戶地址的合法性。源路由檢查出于安全性和多業務的考慮,許多核心路由器可根據需要,開啟反向路由檢測功能,防止源路由篡改和攻擊。防止未授權訪問 IPv6固有的對身份驗證的支持,以及對數據完整性和數據機密性的支持和改進,使得IPv6增強了防止未授權訪問的能力,更加適合于那些對敏感信息和資源有特別處理要求的應用。
域名系統DNS 基于IPv6的DNS系統作為公共密鑰基礎設施(PKI)系統的基礎,有助于抵御網上的身份偽裝與偷竊,而采用可以提供認證和完整性安全特性的DNS安全擴展 (DNS Security Extensions)IPv6路由協議,能進一步增強目前針對DNS新的攻擊方式的防護,例如“網絡釣魚(Phishing)”攻擊、“DNS中毒(DNS poisoning)”攻擊等,這些攻擊會控制DNS服務器,將合法網站的IP地址篡改為假冒、惡意網站的IP地址等。此外,專家認為,如果能爭取在我國建立IPv6域名系統根服務器,則對于我國的信息安全很有必要和十分重要。靈活的擴展報頭 一個完整的IPv6的數據包可包括多種擴展報頭,例如逐個路程段選項報頭、目的選項報頭、路由報頭、分段報頭、身份認證報頭、有效載荷安全封裝報頭、最終目的報頭等。這些擴展報頭不僅為IPv6擴展應用領域奠定了基礎,同時也為安全性提供了保障。
防止網絡掃描與病毒蠕蟲傳播當病毒和蠕蟲在感染了一臺主機之后,就開始對其他主機進行隨機掃描,在掃描到其他有漏洞的主機后,會把病毒傳染給該主機。這種傳播方式的傳播速度在 IPv4環境下非常迅速(如Nimdar病毒在4~5分鐘內可以感染上百萬臺計算機)。但這種傳播方式因為IPv6的地址空間的巨大變得不適用了,病毒及網絡蠕蟲在IPv6的網絡中傳播將會變得很困難。防止網絡放大攻擊(Broadcast Amplication Attacks) ICMPv6在設計上不會響應組播地址和廣播地址的消息,不存在廣播,所以,只需要在網絡邊緣過濾組播數據包,即可阻止由攻擊者向廣播網段發送數據包而引起的網絡放大攻擊。
防止碎片(Fragment)攻擊 IPv6認為MTU小于1280字節的數據包是非法的,處理時會丟棄MTU小于1280字節的數據包(除非它是最后一個包),這有助于防止碎片攻擊。由此看來,IPv6路由協議確實比IPv4的安全性有所改進,IPv4中常見的一些攻擊方式,將在IPv6網絡中失效,例如網絡偵察、報頭攻擊、 ICMP攻擊、碎片攻擊、假冒地址、病毒及蠕蟲等。但數據包偵聽、中間人攻擊、洪水攻擊、拒絕服務攻擊、應用層攻擊等一系列在IPv4網絡中的問題, IPv6仍應對乏力,只是在IPv6的網絡中事后追溯攻擊的源頭方面要比在IPv4中容易一些。
引入IPv6出現的安全新問題
IPv6路由協議在其發展過程中必定會產生一些新的安全問題,主要包括應對拒絕服務攻擊(DoS)乏力、包過濾式防火墻無法根據訪問控制列表ACL正常工作、入侵檢測系統(IDS)遭遇拒絕服務攻擊后失去作用、被黑客篡改報頭等問題。此外,在IPv6中還有一些問題有待解決,主要包括:
1. IP網中許多不安全問題主要是管理造成的。IPv6的管理與IPv4在思路上有可借鑒之處。但對于一些網管技術,如SNMP等,不管是移植還是重新另搞,其安全性都必須從本質上有所提高。由于目前針對IPv6的網管設備和網管軟件幾乎沒有成熟產品出現,因此缺乏對IPv6網絡進行監測和管理的手段,缺乏對大范圍的網絡故障定位和性能分析的手段。沒有網管,何談保障網絡高效、安全運行?
2. PKI管理在IPv6中是懸而未決的新問題。
3. IPv6網絡同樣需要防火墻、VPN、IDS、漏洞掃描、網絡過濾、防病毒網關等網絡安全設備。事實上IPv6環境下的病毒已經出現。這方面的安全技術研發還尚需時日。
4. IPv6路由協議仍需在實踐中完善,例如IPv6組播功能僅僅規定了簡單的認證功能,所以還難以實現嚴格的用戶限制功能,而移動IPv6(Mobiel IPv6)也存在很多新的安全挑戰。DHCP必須經過升級才可以支持IPv6地址,DHCPv6仍然處于研究、制訂之中。
向IPv6遷移的可能漏洞
由于IPv6與IPv4網絡將會長期共存,網絡必然會同時存在兩者的安全問題,或由此產生新的安全漏洞。已經發現從IPv4向 IPv6轉移時出現的一些安全漏洞,例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協議的LAN的網絡資源,攻擊者可以通過安裝了雙棧的使用IPv6的主機,建立由IPv6到IPv4的隧道,繞過防火墻對IPv4進行攻擊。
向IPv6路由協議的轉移與采用其他任何一種新的網絡協議一樣,需要重新配置防火墻,其安全措施必須經過慎重的考慮和測試,例如IPv4環境下的IDS并不能直接支持IPv6,需要重新設計,原來應用在IPv4協議的安全策略和安全措施必須在IPv6上得到落實。目前,IPv4向IPv6過渡有多種技術,其中基本過渡技術有雙棧、隧道和協議轉換,但目前這幾種技術運行都不理想。專家建議,向IPv6轉移應盡量采用雙棧技術,避免采用IPv6路由協議轉換;盡量采用靜態隧道,避免采用動態隧道;這些都需要在廣泛實驗中加以檢驗。
與IPv4相比,IPv6在網絡保密性、完整性方面有了更好的改進,在可控性和抗否認性方面有了新的保證,但IPv6不僅不可能徹底解決所有安全問題,同時還會伴隨其產生新的安全問題。目前多數網絡攻擊和威脅來自應用層而非IP層,因此,保護網絡安全與信息安全,只靠一兩項技術并不能實現,還需配合多種手段,諸如認證體系、加密體系、密鑰分發體系、可信計算體系等。
