建设IPV6的安全性分析*
2021-12-29沈丹平
沈丹平
福建船政交通职业学院 福建 福州 350007
1 下一代互联网部署现状
2012年6月6日,下一代互联网IPv6 在全球正式启动。到目前为止,全球有超过一半的国家部署了下一代互联网IPv6,众多运营商提供了下一代互联网IPv6的接入服务;美国、欧盟等国发布下一代互联网IPv6的指导政策,也制定了发展计划。发达国家在IPv6用户数、资源、流量等位于世界前列。而我们国家在部署IPv6上面明显落后于发达国家,在教育领域,已经有1800余所高校接入到下一代互联网IPv6中,所占比例达67.7%,有650所 高等学校门户网站 支持IPv6解析453所 高校门户网站支持IPv6访问。
2 下一代互联网技术lPV6
发展以IPv6为基础的下一代互联网是大势所趋,IPv6地址是一个128位的二进制数,通常被分割为8个“16进制数” ;IPv6的优势——安全性更高,可对网络对象进行识别、身份认证和访问控制及授权,具有数据加密和完整性;更及时,提供组播服务,大规模实时交互应用;空间无限大,每粒沙子可分到一个地址;可管理,自动配置支持的加入,实现了对DHCP协议的改进和扩展;高性能通信,100M字节/秒以上的端到端性能通信;更方便,IPv6与移动通信的结合将为Internet开拓全新的领域[1]。
3 基于lPV6的下一代互联网面临的安全问题
IPv6采取了一些创新性的安全机制,如集成了IPSec安全功能,通过扩展认证报头(AH)和封装安全载荷报头(ESP)实现加密和验证功能等用来维护用户的安全。但在目前的网络中IPv6网络与IPv4网络不兼容问题普遍存在,使它们面临一些共同威胁。主要在于未采用双向认证机制,这使得一些黑客或病毒能够通过伪造用户身份,顺利通过网络认证进入到网络内部,造成信息破坏、隐私泄露;泛洪攻击带来的影响力扩大并蔓延到其他区域,如:网络层被攻击、出现安全漏洞后,还有可能蔓延到应用层。
IPv6使用的协议跟IPv4比,除了一些共同的安全威胁,本身也有新的安全隐患,主要体现在:第一许多IPv6网络任务是用软件来实现的,这留下了许多的潜在安全漏洞;而IPv6协议中的数据包报头扩展带来了潜在的、新的攻击途径;第二移动IPv6在访问节点时,对象是不确定的,造成了无法追查到访问者;第三IPv6的无状态地址自动配置,使一部分用户没有权限而进行违规操作,内部网络就容易造成地址冲突,或者出现仿冒攻击。
IPv6 过渡技术的安全隐患,其中“隧道”技术的安全防护是外部访问进来的时候可以对恶意的访问还有伪装的访问进行限制。但是一些内置的认证漏洞如果被攻击者所利用,就可以改变内层地址,提升自己的身份,突破外部限制,随意地对内部网络进行访问,开展攻击。而“双栈”技术,在过渡期间同时运行着两个逻辑网络,设备及系统的暴露面增加了,防火墙、安全网关等防护设备需同时配置双栈策略,导致策略管理复杂度加倍,防护被穿透的机会加倍。
最后在于使用IPv6连接入网,是没有使用NAT作为连接的,由于没有NAT这一道防护屏障,使内部用户直接面向互联网,信息在内外的网络层间传递,更容易被外部用户进行拦截,导致信息泄露。
4 构建lPv6的安全防护体系
4.1 构建动态安全防御体系的对策
基于IPv6的网络协议对IPSec的包含和强制使用,IPSec可以提供访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、业务流保密等安全服务,较大的提升了网络层的数据认证、数据完整性及机密性。但是不是所有的网络安全问题IPSec都能解决的,因此通过对漏洞和网络入侵的研究,可以实现对网络中存在的安全漏洞进行检测和修补,对入侵进行监测能够即时中断、隔离。实现防御的整体性和动态性,并引入安全审计和信息综合分析模块来实现防御的智能性,来构建安全防御体系。
4.2 做好安全域的划分及访问控制
在IPv6网络中根据作用的不同进行分类,每一个类别就是一个独立的安全域。通过安全域的划分,如果一个安全域出现了安全问题,其他类别的安全域可以不受影响和破坏。访问控制也是同样的,用户访问IPv6网络的时候,要有身份证明才能通过网络的识别。在访问过程中,对用户的操作进行分类,每个操作提供相对应权限及资源,只有得到系统响应后才能够完成操作,没有相应的权限是不能完成其他的操作,通过这种方式也能够起到对IPv6网络进行安全保护的效果。
4.3 管控资源互访
在目前大部分网络中,IPv4和IPv6在以后很长的一段时间内是共存的,两者的资源互访是非常重要的环节。资源在两个网络之间传递时,攻击者可以在传输环节中拦截到各类信息,因此要对资源的互访进行管控,还有必须采取外部的访问控制。
4.4 网络接入的安全认证
在IPv6的网络接入口上增加安全认证,可以防止攻击者通过身份伪装,攻击IPv6内部网络。安全认证有多种,可分为数字认证、权限认证、口令认证等形式。安全认证的增加显著提高对访问信息安全性识别的精度,有效制止了攻击者的隐藏和伪装。
5 结束语
IPv6并不能解决所有的网络安全问题。但是因为IPv6协议提供可靠的地址验证与溯源机制,可以在上述攻击发生后及时溯源处置,实现高效的信息安全治理。拥有网络安全意识是保证网络安全的前提,因此在IPv6部署时就需要树立良好的安全防范意识。部署时充分利用IPv6自身的安全特性的同时,设定合理的安全部署策略。
