当前,“线上”网络与“线下”生活深度融合,虚拟网络世界与现实社会生活相互交织。人们已经成为网络上的“透明人”,一举一动都被网络“记录”下来。试想一下,如果这些信息被非法使用。人力资源等各个领域的作用越来越重要,已经成为一个国家正常运转的“神经系统”。在往期IPv6专题文章(见文末相关阅读)中,我们了解到国家正在大力推进IPv6网络的部署。重要的出发点之一就是希望借助IPv6的安全改进来促进网络空间的安全。治理以扭转当前网络安全的严峻形势。IPv6有哪些技术改进?作为下一代互联网的关键技术,IPv6正逐步取代IPv4成为支撑互联网运行的核心协议。IPv6着重解决了IPv4的两个问题。地址空间问题与IPv4相比,IPv6将IP地址的数量从2的128次方扩大,足以满足未来任何可预测的地址空间分配。这是IPv6被选为新一代网络承载协议并逐步商用的根本推动力。网络安全问题由于IPv4的地址资源有限,很多情况下,一个公网地址需要通过地址转换(NAT)的方式被多台主机共享。因此,端到端通信的透明性被破坏,给网络安全事件的溯源带来困难。IPv6地址资源丰富,可以逐级、分级地进行地址分配。为每个责任主体分配唯一的IPv6地址,大大提高了跟踪定位和溯源能力。可以说,IPv6技术是实施网络空间安全治理的基础技术。IPv6如何提高安全性?1.溯源与防攻击IPv6地址空间巨大,理论上不会出现IPv6地址短缺,也没有必要大量使用NAT设备来节省IPv6公网地址。IPv6终端之间可以直接建立点对点连接,无需地址转换,因此IPv6地址非常容易追踪。IPv6地址分为64位网络前缀和64位接口地址。64位前缀地址支持64位主机号,攻击者无法扫描IPv6网段内所有可能的主机。假设攻击者以每秒100万台主机的速度扫描,遍历一个64位前缀以内的所有主机地址大约需要50万年。64位主机地址大大增加了网络扫描的难度和成本,从而进一步防止攻击。2、支持IPSec安全加密机制IPv6协议中默认集成了IPSec安全功能,通过扩展认证头(AH)和封装安全负载头(ESP)实现加密和验证功能。AH协议实现了数据完整性和数据源身份认证功能,ESP在上述功能的基础上增加了安全加密功能。与IPSec集成的IPv6协议真正实现了端到端的安全。中间转发设备只需要对带有IPSec扩展头的报文进行正常转发,而不需要对IPSec扩展头进行处理,大大减轻了转发压力。3.NDP和SEND的安全增强在IPv6协议中,邻居发现协议(NDP)用于替代现有IPv4中的ARP和部分ICMP控制功能。NDP协议通过在节点间交换ICMPv6信息包和错误包来实现链路层地址和路由发现、地址自动配置等功能,并通过维护邻居的可达性状态来增强通信的健壮性。NDP协议与传输介质无关,可以更方便的进行功能扩展。现有的IPv6协议层加密认证机制可以实现对NDP协议的保护。IPv6安全邻居发现协议(SEND)协议是NDP的安全扩展。SEND的目的是提供一种备份机制,通过独立于IPSec的另一种加密方式来保护NDP,保证传输的安全。4.真源地址验证体系IPv6真源地址验证架构(SAVA)分为三个层次:接入网(AccessNetwork)、区域内(Intra-AS)和区域间(Inter-AS)源地址验证.主机IP地址、IP地址前缀、自治域三个粒度构成多监控防御体系。该系统不仅可以有效防止伪造源地址攻击,还可以通过流量监控实现基于真实源地址的计费和网络管理。因此,IPv6不仅接近于无限的IP地址,而且在网络安全方面也更胜一筹。IPv6还有风险?与IPv4相比,IPv6已经在安全方面进行了预先设计和充分考虑,但仍存在一些难以解决的安全隐患。IPv6作为一种网络层协议,并不能解决所有的网络安全问题。IPv6本身无法解决其他功能层引起的攻击(如应用层漏洞)。IPv6仍然继承了IPv4的一些安全风险,IPv4和IPv6之间实现双栈配置等过渡机制也可能带来安全风险。网络中还会出现一些专门针对IPv6协议形成的新的安全隐患。IPv4继承的安全威胁1.尽管IPv6中的协议和数据包结构发生了变化,但IPv4网络中存在的一些攻击类型仍然存在。2、过渡机制存在安全隐患目前,我国IPv6规模部署呈现加速发展态势。在IPv4向IPv6过渡的过程中,“双栈”、“隧道”和“转换”是采用的三种方案,都是可行的。引入新的安全威胁。双栈机制安全隐患IPv4/IPv6双栈技术是指IPv4和IPv6协议在网络节点上同时运行,在IP网络中形成两个逻辑上独立的网络:IPv4网络和IPv6网络。在过渡期间,IPv4和IPv6两个逻辑网络同时运行,增加了设备和系统的暴露程度。这也意味着防火墙、安全网关等防护设备需要同时配置双栈策略,使策略管理的复杂度成倍增加,防止防护被穿透。机会翻倍。在IPv4网络中,一些操作系统默认开启了IPv6地址自动配置功能,从而在IPv4网络中存在一条隐藏的IPv6通道。但是由于IPv6通道没有配置保护,攻击者可能会利用IPv6通道进行攻击。同时运行IPv4协议和IPv6协议的双栈系统会增加网络节点协议处理的复杂度和数据转发的负担,导致网络节点的故障率增加。隧道机制的安全隐患一些隧道机制只是对来自任何来源的数据包进行简单的封装和解封装,因此各种隧道机制的引入给网络环境增加了安全风险。不检查IPv4和IPv6地址之间的关系。攻击者利用隧道机制将IPv6报文封装到IPv4报文中传输。由于IPv4网络无法验证源地址的真实性,攻击者可以伪造隧道数据包并将其注入目的网络。不检查隧道封装的内容,攻击报文通过隧道进行封装。对于以隧道形式传输的IPv6流量,很多网络设备直接转发或者只进行简单的检测。攻击者可以通过配置IPv4overIPv6,将IPv4流量封装在IPv6报文中,导致原本IPv4网络上的攻击流量被IPv6“覆盖”后通过保护,造成威胁。转换机制安全风险转换机制(协议转换)通过IPv6和IPv4之间的网络地址和协议转换,实现IPv6网络和IPv4网络的双向互访。翻译设备作为IPv6网络和IPv4网络的互联节点,很容易成为安全瓶颈,一旦受到攻击,可能导致网络瘫痪。IPv6特有的安全威胁IPv6数据包结构中引入的新字段(如流标签、RH0、路由头等),以及IPv6协议族中引入的新协议(如NDPNeighborDiscoveryProtocol等)Probe、DoS等攻击。IPv6的新应用也可能带来安全隐患。IPv6使用IPSec,防火墙过滤困难,防火墙需要分析隧道信息。如果采用ESP加密,第三层以上的信息是不可见的,控制难度大大增加。安全设备识别攻击报文需要新的方法和措施。写在最后IPv6并不能解决所有的网络安全问题。但是,由于IPv6协议提供了可靠的地址验证和溯源机制,可以在上述攻击发生后及时追溯和处理,实现高效的信息安全治理。具备网络安全意识是保证网络安全的前提。因此,在部署IPv6时需要树立良好的安全意识。在部署时,充分利用IPv6自身的安全特性,设置合理的安全部署策略。IPv6是革命性的,IPv6让我们为未来无处不在的万物互联做好准备。然而,与其他技术创新一样,我们也需要从安全角度认真关注IPv6。
