<menu id="s4cy4"></menu>
  • 歡迎您光臨消防知識網,如有問題請及時聯系我們。

    IPv6網絡真的安全嗎?大家怎么看?

    作者:消防知識網
    文章來源:本站

      當前,“線上”網絡和“線下”生活正在深度融合,虛擬網絡世界和現實社會生活相互交織。人們在互聯網上變成了“透明人”,個人的一舉一動都被互聯網“記錄在案”,試想一下如果這些信息被非法使用,是不是很恐怖?

    IPv6網絡真的安全嗎?大家怎么看?

      另外,網絡在金融、交通、通信、軍事等各個領域的作用越來越重要,已成為一個國家正常運轉的“神經系統”。

      我們知道國家正在大力推動IPv6網絡的部署,其中有一個很重要的出發點,就是希望借助IPv6在安全性上的改進,促進網絡空間的安全治理,扭轉當前網絡安全的嚴峻形勢。

    IPv6網絡真的安全嗎?大家怎么看?

      IPv6在技術上有哪些改進?

      IPv6作為下一代互聯網的關鍵性技術,正逐步取代IPv4成為支撐互聯網運轉的核心協議,IPv6重點解決了IPv4兩方面的問題。

      地址空間問題

      與IPv4相比,IPv6把IP地址數量從2的32次方擴展到了2的128次方,足以滿足任何未來可預計的地址空間分配。這正是IPv6被選作新一代網絡承載協議并逐漸商用部署的根本驅動力。

    IPv6網絡真的安全嗎?大家怎么看?

      網絡安全問題

      IPv4因為地址資源有限,在很多時候一個公網地址需要通過地址翻譯(NAT)方式被多臺主機共用。因此也就破壞了端到端通信的透明性,為網絡安全事件的溯源帶來了困難。

      IPv6地址資源豐富,可采用逐級、層次化的結構進行地址分配,為每個責任體分配一個獨一無二的IPv6地址,使得追蹤定位,查詢溯源得到了很大的改善。

      可以說,IPv6技術是實施網絡空間安全治理的基礎性技術。

    IPv6網絡真的安全嗎?大家怎么看?

      IPv6在安全性上有哪些提高?

      1---可溯源和防攻擊

      IPv6的地址空間巨大,理論上不會再有IPv6地址短缺困境,也不需要廣泛使用NAT設備節省IPv6公網地址。IPv6終端之間可以直接建立點到點的連接,無需地址轉換,因此IPv6地址非常容易溯源。

      IPv6地址分為64位的網絡前綴和64位的接口地址。一個64位的前綴地址支持64位的主機數量,攻擊者無法掃描一個IPv6網段內所有可能的主機。假設攻擊者以每秒掃描100萬個主機的速度掃描,大約50萬年左右才能遍歷一個64位前綴內所有的主機地址。64位的主機地址使得網絡掃描的難度和代價都大大增加,從而進一步防范了攻擊。

      2---支持IPSec安全加密機制

      IPv6協議中默認集成了IPSec安全功能,通過擴展認證報頭(AH)和封裝安全載荷報頭(ESP)實現加密和驗證功能。

      AH協議實現數據完整性和數據源身份認證功能,ESP在上述功能基礎上增加安全加密功能。集成了IPSec的IPv6協議真正實現了端到端的安全,中間轉發設備只需要對帶有IPSec擴展包頭的報文進行普通轉發,而不對IPSec擴展包頭進行處理,大大減輕轉發壓力。

      3---NDP和SEND的安全增強在IPv6協議中,采用鄰居發現協議(NDP)取代現有IPv4中的ARP及部分ICMP控制功能。NDP協議通過在節點之間交換ICMPv6信息報文和差錯報文實現鏈路層地址及路由發現、地址自動配置等功能,并且通過維護鄰居可達狀態來加強通信的健壯性。

      NDP協議獨立于傳輸介質,可以更方便地進行功能擴展。現有的IPv6協議層加密認證機制可以實現對NDP協議的保護。IPv6的安全鄰居發現協議(SEND)協議是NDP的一個安全擴展,SEND的目的是提供一種備用機制,通過獨立于IPSec的另一種加密方式保護NDP,保證了傳輸的安全性。

      4---真實源地址驗證體系

      真實源IPv6地址驗證體系結構(SAVA)分為接入網(Access Network)、區域內(Intra-AS)和區域間(Inter-AS)源地址驗證三個層次,從主機IP 地址、IP 地址前綴和自治域三個粒度構成多重監控防御體系。該體系不但可以有效阻止仿冒源地址類攻擊,還能夠通過監控流量來實現基于真實源地址的計費和網管。

      因此,IPv6不止IP地址接近無限,還在網絡安全性方面更勝一籌。

      IPv6依然存在風險?

      與IPv4相比,IPv6在安全性方面進行了預先設計和充分考慮,但仍然存在一些難以解決的安全風險。IPv6作為網絡層協議,并不能解決所有的網絡安全問題。其他功能層(如由于應用層漏洞)所引發的攻擊,IPv6本身并不能解決。 IPv6仍然沿襲了部分IPv4存在的安全風險,在IPv4與IPv6實施的雙棧配置等過渡期機制也可能引入安全風險。網絡中也會出現一些專門針對IPv6協議形成的新安全風險。

      繼承自IPv4的安全威脅

      1、IPv6中協議和報文結構雖有變化,但一些存在于IPv4網絡中的攻擊類型仍然存在。

    IPv6網絡真的安全嗎?大家怎么看?

      2、過渡機制存在的安全風險

      當前我國IPv6規模部署工作呈現加速發展態勢,在從IPv4向IPv6過渡的過程中,“雙棧”、“隧道”、“翻譯”是三種采用的方案,均可能引入新的安全威脅。

      雙棧機制安全風險

      IPv4IPv6雙棧技術是指在網絡節點上同時運行IPv4和IPv6兩種協議,在IP網絡中形成邏輯上相互獨立的兩張網絡:IPv4網絡和IPv6網絡。過渡期間同時運行著IPv4、IPv6兩個邏輯網絡,增加了設備及系統的暴露面,也意味著防火墻、安全網關等防護設備需同時配置雙棧策略,導致策略管理復雜度加倍,防護被穿透的機會加倍。在IPv4網絡中,部分操作系統缺省啟動了IPv6自動地址配置功能,使得IPv4網絡中存在隱蔽的IPv6通道,但由于該IPv6通道并沒有進行防護配置,攻擊者可能利用IPv6通道實施攻擊。雙棧系統同時運行IPv4協議、IPv6協議,會增加網絡節點協議處理復雜性和數據轉發負擔,導致網絡節點的故障率增加。

      隧道機制安全風險

      一些隧道機制對任何來源的數據包只進行簡單的封裝和解封,所以各種隧道機制的引入,為網絡環境增添了安全隱患。不對IPv4和IPv6地址的關系做檢查。攻擊者利用隧道機制,可將IPv6報文封裝成IPv4報文進行傳輸,由于IPv4網絡無法驗證源地址的真實性,攻擊者可以偽造隧道報文注入到目的網絡中。 不對隧道封裝的內容進行檢查,通過隧道封裝攻擊報文。對于以隧道形式傳輸的IPv6流量,很多網絡設備直接轉發或者只做簡單的檢查。攻擊者可以配置IPv4 over IPv6,將IPv4流量封裝在IPv6報文中,導致原來IPv4網絡的攻擊流量經由IPv6的“掩護”后穿越防護造成威脅。

      翻譯機制安全風險

      翻譯機制(即協議轉換)通過IPv6與IPv4的網絡地址與協議轉換,實現了IPv6網絡與IPv4網絡的雙向互訪。翻譯設備作為IPv6網絡與IPv4網路的互連節點,易成為安全瓶頸,一旦被攻擊可能導致網絡癱瘓。

      3、IPv6特有的安全威脅

      IPv6報文結構中引入的新字段(如流標簽、RH0、路由頭等)、IPv6協議族中引入的新協議(如NDP鄰居發現協議等)可能存在漏洞,被用于發起嗅探、DoS等攻擊。

    IPv6網絡真的安全嗎?大家怎么看?

      IPv6新的應用也可能帶來安全風險。IPv6使用IPSec,使得防火墻過濾變得困難,防火墻需要解析隧道信息。如果使用ESP加密,三層以上的信息都是不可見的,控制難度大大增加,需要安全設備能夠識別出攻擊報文新方法和措施。

      寫在最后

      IPv6并不能解決所有的網絡安全問題。

      但是因為IPv6協議提供可靠的地址驗證與溯源機制,可以在上述攻擊發生后及時溯源處置,實現高效的信息安全治理。

      擁有網絡安全意識是保證網絡安全的前提,因此在IPv6部署時就需要樹立良好的安全防范意識。部署時充分利用IPv6自身的安全特性的同時,設定合理的安全部署策略。

      IPv6是革命性的,IPv6允許我們為未來無處不在的萬物互聯做好準備。但是,同其他的技術創新一樣,我們也需要從安全的角度認真關注IPv6。

      相關閱讀:全球43億個IPv4地址正式耗盡,已經分配完成,正式向IPv6時代進軍

      備注:本文來源自中興文檔,侵刪!歡迎關注工程師小何,持續更新硬件、射頻知識,如果您覺得本文有點小用,可以點擊右上角“…”擴散到朋友圈~~~

    來源:文章來源于網絡,如有侵權請聯系我們及時刪除。本文由消防知識網轉載編輯,歡迎分享本文!
    亚洲色最大色综合网站