淺析IPv6的安全威脅
IPv6做為新的網絡協議出現,基于IPv4的攻擊方式已經對其失效了,許多網絡發達的國家已經使用了IPv6協議。但是總有人誤認為“網絡改成IPv6,安全問題就全面解決了”。誠然,IPv4中常見的一些攻擊方式將在IPv6網絡中失效,例如網絡偵察、報頭攻擊、碎片攻擊、假冒地址及蠕蟲病毒等,但IPv6不僅不可能徹底解決所有安全問題,反而還會產生新的安全問題。
雖然與IPv4相比,IPv6在網絡保密性、完整性方面做了更好的改進,在可控性和抗否認性方面有了新的保證,但目前多數網絡攻擊和威脅來自應用層而非網絡層。因此,保護網絡安全與信息安全,只靠一兩項技術并不能實現,還需配合多種手段,諸如認證體系、加密體系、密鑰分發體系、可信計算體系等。
安全新問題如影隨形
IPv6是新的協議,在其發展過程中必定會產生一些新的安全問題,主要包括:
● 針對IPv6的網管設備和網管軟件都不太成熟。
IPv6的管理可借鑒IPv4。但對于一些網管技術,如SNMP(簡單網絡管理)等,不管是移植還是重建,其安全性都必須從本質上有所提高。由于目前針對IPv6的網管都不太成熟,因此缺乏對IPv6網絡進行監測和管理的手段,對大范圍的網絡故障定位和性能分析的能力還有待提高。
● IPv6中同樣需要防火墻、VPN、IDS(入侵檢測系統)、漏洞掃描、網絡過濾、防病毒網關等網絡安全設備。
事實上,IPv6環境下的病毒已經出現。例如,有研究人員在IPv6中發現了一處安全漏洞,可能導致用戶遭受拒絕服務攻擊。據悉,該漏洞存在于IPv6的type 0路由頭(RH0)特征中。某些系統在處理IPv6 type 0路由頭時存在拒絕服務漏洞。
● IPv6協議仍需在實踐中完善。
IPv6組播功能僅僅規定了簡單的認證功能,所以還難以實現嚴格的用戶限制功能。移動IPv6(Mobile IPv6)也存在很多新的安全挑戰,目前移動IPv6可能遭受的攻擊主要包括拒絕服務攻擊、重放攻擊以及信息竊取攻擊。另外,DHCP( Dynamic Host Configuration Protocol,動態主機配置協議)必須經過升級才可以支持IPv6地址,DHCPv6仍然處于研究、制訂之中。
● 向IPv6遷移過程中可能出現漏洞。
目前安全人員已經發現從IPv4向 IPv6轉移時出現的一些安全漏洞,例如黑客可以非法訪問采用了IPv4和IPv6兩種協議的LAN網絡資源,攻擊者可以通過安裝了雙棧的IPv6主機建立由IPv6到IPv4的隧道,從而繞過防火墻對IPv4進行攻擊。
IPv6協議在網絡安全上的改進
● IP安全協議(IPSec)技術
IP安全協議(IPSec)是IPv4的一個可選擴展協議,而在IPv6中則是一個必備的組成部分。IPSec協議可以“無縫”地為IP提供安全特性,如提供訪問控制、數據源的身份驗證、數據完整性檢查、機密性保證,以及抗重播(Replay)攻擊等。
IPSec通過三種不同的形式來保護通過公有或私有IP網絡來傳送的私有數據。
(1)驗證:通過認證可以確定所接受的數據與所發送的數據是否一致,同時可以確定申請發送者在實際上是真實發送者,而不是偽裝的。
(2)數據完整驗證:通過驗證保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
(3)保密:使相應的接收者能獲取發送的真正內容,而無關的接收者無法獲知數據的真正內容。
需要指出的是,雖然IPSec能夠防止多種攻擊,但無法抵御Sniffer、DoS攻擊、洪水(Flood)攻擊和應用層攻擊。IPSec作為一個網絡層協議,只能負責其下層的網絡安全,不能對其上層如Web、E-mail及FTP等應用的安全負責。
● 靈活的擴展報頭
一個完整的IPv6數據包包括多種擴展報頭,例如逐個路程段選項報頭、目的選項報頭、路由報頭、分段報頭、身份認證報頭、有效載荷安全封裝報頭、最終目的報頭等。這些擴展報頭不僅為IPv6擴展應用領域奠定了基礎,同時也為安全性提供了保障。
比較IPv4和IPv6的報頭可以發現,IPv6報頭采用基本報頭+擴展報頭鏈組成的形式,這種設計可以更方便地增添選項,以達到改善網絡性能、增強安全性或添加新功能的目的。
IPv6基本報頭被固定為40bit,使路由器可以加快對數據包的處理速度,網絡轉發效率得以提高,從而改善網絡的整體吞吐量,使信息傳輸更加快速。
IPv6基本報頭中去掉了IPv4報頭中的部分字段,其中段偏移選項和填充字段被放到IPv6擴展報頭中進行處理。
去掉報頭校驗(Header Checksum,中間路由器不再進行數據包校驗)的原因有三: 一是因為大部分鏈路層已經對數據包進行了校驗和糾錯控制,鏈路層的可靠保證使得網絡層不必再進行報頭校驗; 二是端到端的傳輸層協議也有校驗功能以發現錯包; 三是報頭校驗需隨著TTL值的變化在每一跳重新進行計算,增加包傳送的時延。
● 地址分配與源地址檢查
地址分配與源地址檢查在IPv6的地址概念中,有了本地子網(Link-local)地址和本地網絡(Site-local)地址的概念。從安全角度來說,這樣的地址分配為網絡管理員強化網絡安全管理提供了方便。若某主機僅需要和一個子網內的其他主機建立聯系,網絡管理員可以只給該主機分配一個本地子網地址;若某服務器只為內部網用戶提供訪問服務,那么就可以只給這臺服務器分配一個本地網絡地址,而企業網外部的任何人都無法訪問這些主機。
由于IPv6地址構造是可會聚的(aggregate-able)、層次化的地址結構,因此,IPv6接入路由器對用戶進入時進行源地址檢查,使得ISP可以驗證其客戶地址的合法性。
源路由檢查出于安全性和多業務的考慮,允許核心路由器根據需要,開啟反向路由檢測功能,防止源路由篡改和攻擊。
IPv6固有的對身份驗證的支持,以及對數據完整性和數據機密性的支持和改進,使得IPv6增強了防止未授權訪問的能力,更加適合于那些對敏感信息和資源有特別處理要求的應用。
通過端到端的安全保證,網絡可以滿足用戶對安全性和移動性的要求。IPv6限制使用NAT(Network Address Translation,網絡地址轉換),允許所有的網絡節點使用全球惟一的地址進行通信。每當建立一個IPv6的連接,系統都會在兩端主機上對數據包進行 IPSec封裝,中間路由器對有IPSec擴展頭的IPv6數據包進行透明傳輸。通過對通信端的驗證和對數據的加密保護,使得敏感數據可以在IPv6 網絡上安全地傳遞,因此,無需針對特別的網絡應用部署ALG(應用層網關),就可保證端到端的網絡透明性,有利于提高網絡服務速度。
● 域名系統DNS
基于IPv6的DNS系統作為公共密鑰基礎設施(PKI)系統的基礎,有助于抵御網上的身份偽裝與偷竊。當采用可以提供認證和完整性安全特性的DNS安全擴展 (DNS Security Extensions)協議時,能進一步增強對DNS新的攻擊方式的防護,例如網絡釣魚(Phishing)攻擊、DNS中毒(DNS poisoning)攻擊等,這些攻擊會控制DNS服務器,將合法網站的IP地址篡改為假冒、惡意網站的IP地址。
【編輯推薦】
