安全形勢分析之IPv6協議網絡
在傳統IPv4網絡中,安全一直是令我們頭疼的問題。現在IPv6協議網絡的到來卻給我們解決了諸多的安全問題。這是因為,在IPv4網絡上面,我們演進的V6版本,采取了不同的傳輸結構, 那么安全機制也有了改變。但是這個真的就安全了嗎?
IP安全協議(IPSec) IPSec是IPv4的一個可選擴展協議,而在IPv6協議則是一個必備組成部分。IPSec協議可以“無縫"地為IP提供安全特性,如提供訪問控制、數據源的身份驗證、數據完整性檢查、機密性保證,以及抗重播(Replay)攻擊等。新版路由協議OSPFv3 和 RIPng采用IPSec來對路由信息進行加密和認證,提高抗路由攻擊的性能。
端到端的安全保證 IPv6協議網絡最大的優勢在于保證端到端的安全,可以滿足用戶對端到端安全和移動性的要求。IPv6限制使用NAT,允許所有的網絡節點使用其全球惟一的地址進行通信。每當建立一個IPv6的連接,都會在兩端主機上對數據包進行 IPSec封裝,中間路由器實現對有IPSec擴展頭的IPv6數據包進行透明傳輸,通過對通信端的驗證和對數據的加密保護,使得敏感數據可以在IPv6協議網絡上安全地傳遞,因此,無需針對特別的網絡應用部署ALG(應用層網關),就可保證端到端的網絡透明性,有利于提高網絡服務速度。
地址分配與源地址檢查在IPv6的地址概念中,有了本地子網(Link-local)地址和本地網絡(Site-local)地址的概念。從安全角度來說,這樣的地址分配為網絡管理員強化網絡安全管理提供了方便。若某主機僅需要和一個子網內的其他主機建立聯系,網絡管理員可以只給該主機分配一個本地子網地址;若某服務器只為內部網用戶提供訪問服務,那么就可以只給這臺服務器分配一個本地網絡地址,而企業網外部的任何人都無法訪問這些主機。
域名系統DNS 基于IPv6的DNS系統作為公共密鑰基礎設施(PKI)系統的基礎,有助于抵御網上的身份偽裝與偷竊,而采用可以提供認證和完整性安全特性的DNS安全擴展 (DNS Security Extensions)協議,能進一步增強目前針對DNS新的攻擊方式的防護,例如“網絡釣魚(Phishing)"攻擊、“DNS中毒(DNS poisoning)"攻擊等,這些攻擊會控制DNS服務器,將合法網站的IP地址篡改為假冒、惡意網站的IP地址等。此外,專家認為,如果能爭取在我國建立IPv6域名系統根服務器,則對于我國的信息安全很有必要和十分重要。
總體來說IPv6與IPV4相比具有以下幾個優勢:
1、IPv6協議網絡具有更大的地址空間。IPv4中規定IP地址長度為32,即有2^32-1(符號^表示升冪,下同)個地址;而IPv6中IP地址的長度為128,即有2^128-1個地址。
2、IPv6使用更小的路由表。IPv6的地址分配一開始就遵循聚類(Aggregation)的原則,這使得路由器能在路由表中用一條記錄(Entry)表示一片子網,大大減小了路由器中路由表的長度,提高了路由器轉發數據包的速度。
3、IPv6增加了增強的組播(Multicast)支持以及對流的支持(Flow Control),這使得網絡上的多媒體應用有了長足發展的機會,為服務質量(QoS,Quality of Service)控制提供了良好的網絡平臺。
4、IPv6加入了對自動配置(Auto Configuration)的支持。這是對DHCP協議的改進和擴展,使得網絡(尤其是局域網)的管理更加方便和快捷。#p#
5、IPv6具有更高的安全性。在使用IPv6協議網絡中用戶可以對網絡層的數據進行加密并對IP報文進行校驗,極大的增強了網絡的安全性。
IPv6出現的安全新問題:
IPv6是新的協議,在其發展過程中必定會產生一些新的安全問題,主要包括應對拒絕服務攻擊(DoS)乏力、包過濾式防火墻無法根據訪問控制列表ACL正常工作、入侵檢測系統(IDS)遭遇拒絕服務攻擊后失去作用、被黑客篡改報頭等問題。
此外,在IPv6中還有一些問題有待解決,主要包括:
1、IP網中許多不安全問題主要是管理造成的。IPv6協議網絡的管理與IPv4在思路上有可借鑒之處。但對于一些網管技術,如SNMP等,不管是移植還是重新另搞,其安全性都必須從本質上有所提高。由于目前針對IPv6的網管設備和網管軟件幾乎沒有成熟產品出現,因此缺乏對IPv6網絡進行監測和管理的手段,缺乏對大范圍的網絡故障定位和性能分析的手段。沒有網管,何談保障網絡高效、安全運行?
2、PKI管理在IPv6中是懸而未決的新問題。
3、IPv6協議網絡同樣需要防火墻、VPN、IDS、漏洞掃描、網絡過濾、防病毒網關等網絡安全設備。事實上IPv6環境下的病毒已經出現。這方面的安全技術研發還尚需時日。
4、IPv6協議仍需在實踐中完善,例如IPv6組播功能僅僅規定了簡單的認證功能,所以還難以實現嚴格的用戶限制功能,而移動IPv6(Mobiel IPv6)也存在很多新的安全挑戰。DHCP必須經過升級才可以支持IPv6地址,DHCPv6仍然處于研究、制訂之中。
由于IPv6與IPv4網絡將會長期共存,網絡必然會同時存在兩者的安全問題,或由此產生新的安全漏洞。與IPv4相比,IPv6協議網絡在網絡保密性、完整性方面有了更好的改進,在可控性和抗否認性方面有了新的保證,但IPv6不僅不可能徹底解決所有安全問題,同時還會伴隨其產生新的安全問題。目前多數網絡攻擊和威脅來自應用層而非IP層,因此,保護網絡安全與信息安全,只靠一兩項技術并不能實現,還需配合多種手段,構建一個整體的防御體系,這樣才能使我們的網絡應用更加安全。
