业界动态

当前位置:首页  工作动态  业界动态

IPv6来临,从事信息安全的你,准备好了吗?

发布人:薛成鑫时间:2018-05-17浏览:449

来源于《人民邮电报》

    IPv6作为下一代互联网的关键性技术,将逐步取代IPv4成为支撑互联网运转的核心协议。因此,了解IPv6的信息安全特性及隐患,并寻求相应的对策,对于提高下一代互联网的信息安全水平,具有十分重要的意义。

IPv6的信息安全特性

    IPv6作为下一代IP协议,是未来互联网建构的基石。其主要特点:一是能提供比IPv4大得多的地址空间。有人形象地称这一协议可为地球表面的每粒沙子分配一个IP地址。二是数据传输速度更快。基于IPv6的主干网或城域网的传输速率,将比现在提高100倍到1000倍。

  安全问题一直是网络通信中关注的焦点问题。IPv6在设计之初,就对安全性有了较为周密的考虑,它内嵌一种标准化的IP安全协议(IPsec),解决了通信设备之间安全通信的标准化、互操作等问题,从而确保端到端的通信安全,实现“深度防护”安全策略。采用IPv6后,发送信息的设备有了永久的IP地址,设备类型很容易被识别。IPsec还能提供认证报头服务,用于保证数据的保密性和一致性。

    IPv6还采取了两项技术措施增强其安全性。一是认证,它要求接收端中能存放发送端的信息,如果接收端无法识别发送端,则无法进行信息传输;如果可以进行通信,则需保证信息是由指定发送端发送的,同时信息在传输过程中没有被其他用户更改。二是私有性,它要求发送的信息必须被加密,接收端必须是授权的,这样就能很好地防止信息被未授权用户窃取。

    IPv6作为一种新的网络通信协议,尚未被广泛推广应用,绝大多数用户对其了解不深,专门进行相关研究的就更少,这就决定了针对IPv6网络的攻击方法手段,还没有真正发展起来,也很少有机会去验证其攻击效果。然而,随着IPv6的推广应用,也会像目前IPv4一样,信息安全隐患将会逐渐暴露,并被攻击者加以利用。

IPv6的信息安全隐患

  构建基于IPv6的可信任下一代互联网,是一项长期而艰巨的任务。虽然IPv6IPv4相比,在安全性方面进行了预先设计和充分考虑,但仍然存在一些难以解决的安全隐患。

  一是难以应对拒绝服务攻击。拒绝服务攻击仍然是IPv6面临的最严重的一种攻击,它可能导致计算机硬盘、物理设备毁坏和所有可用内存耗尽的危险。IPv6支持动态自动寻址,虽然给合法网络用户使用带来了方便,但非授权的用户可以更容易地接入和使用网络,埋下了拒绝服务攻击的隐患。拒绝服务攻击主要包括两种方式:一种是通过向服务器或主机发送大量数据包,使得主机忙于处理这些无用的数据包而无法响应有用的信息;另一种是对网络上两个节点之间的通信直接进行干扰,攻击者可以冒充通信节点向目标通信节点发送错误消息,从而造成路由迂回,导致网络带宽浪费及时延增加。对这两种方式,IPv6从技术上都没有很好地解决。

  二是难以弥补整个网络协议族的安全缺陷。根据国际标准化组织提出的各种计算机在世界范围内互联成网的标准框架,即开放系统互联参考模型,计算机网络分为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层等七个功能层。IP协议只是网络层的协议,其安全性设计得再好,也只能保证本功能层的安全,其他功能层如应用层的网页服务、邮件服务及文件传输等服务的安全仍然难以保证。

  加强IPv6信息安全的对策

  互联网协议设计的一个基本要求,就是新协议的设计不能引入新的安全威胁。如果存在安全威胁,那么协议本身必须要规定相应的安全机制来克服。因此,要深入研究IPv6的技术特点,针对各种可能的安全威胁,改进完善技术手段,建立健全防范机制。

  一方面,要改进完善技术手段。一是改进防火墙的设计,应对拒绝服务攻击。IPv6相对IPv4在数据报头上有了很大的改变,要求防火墙必须解析整个数据包才能进行过滤操作,这对防火墙的处理性能会有很大的影响。因此,必须采取各种技术手段,提高防火墙的性能,适应IPv6的需要。二是完善入侵检测系统的设计,严格用户限制。IPv6中引入了网络层的加密技术,未来网络数据通信的保密性将会越来越强,要求入侵检测系统在任何网络状况、任何服务器、任何客户端、任何应用环境都能进行适当的自转换和自适应,以严格控制访问用户的身份认证和权限验证等内容。三是采用安全迁移设计,保障快速平稳过渡。目前,IPv4正在向IPv6过渡,与采用其他任何一种新的网络协议一样,其安全措施必须经过慎重的考虑和测试,避免产生新的技术漏洞。

  另一方面,要建立健全防护机制。尽管IPv6还不是当前网络通信的主流协议,但从长远看,有必要开展超前研究,从健全安全防范制度和建立防范体系两个方面,制定下一代互联网的系统安全机制和信息安全机制。一是要健全安全防范制度,保障网络系统安全。为加强网络系统安全,在管理上要建章立制来强化相关人员的安全意识及规范其处置行为。例如,建立安全检查制度,定期和不定期相结合进行安全保密检查,排查安全隐患,杜绝网络违规操作,减少人为纰漏;建立网络值勤制度,不断强化网络值勤人员的保密意识、责任意识及服务意识,明确人员的职责划分和操作规程,建立完善的值勤登记统计,使网络值勤管理精细化、正规化。二是要建立具有主动性的网络安全防范体系,确保网络信息安全。采取加密、认证、数字签名、访问控制、安全代理、安全审计和监督控制等多种安全防护机制,实现信息储存保密、传输保密和浏览保密,进行实体认证、操作员认证和信息认证,从运行机制上保证网络信息的安全。

IPv6对信息安全工作的影响

  安全人员需要有关IPv6协议的教育和培训。IPv6协议将在你的控制之下进入你的网络,这只是个时间问题。同许多新的网络技术一样,学习IPv6的基础知识是非常重要的,特别是学习寻址方案和协议,以便适应事件的处理和相关的活动。

  安全工具需要升级。IPv6不向下兼容。用于整个网络的通信路由和安全分析的硬件与软件都要进行升级,以支持IPv6协议,否则这些硬件和软件都不支持IPv6。当使用边界保护设备的时候,记住这一点是非常重要的。为了兼容IPv6,路由器、防火墙和入侵检测系统都需要软件或者硬件升级。

  现有的设备需要额外设置。支持IPv6的设备把它当成一个完全独立的协议。因此,访问控制列表、规则库和其他设置参数要重新进行评估,并且要转换为支持IPv6的环境。

  隧道协议产生新的风险。网络和安全团体已经耗费了很多时间和精力确保IPv6是一个具有安全功能的协议。然而,这种转换的最大的风险之一是使用隧道协议支持向IPv6的转换。这些协议允许在IPv4数据流通过非兼容设备时把IPv6的通信隔离开。因此,在你准备好正式支持IPv6之前,你的网络用户可以使用这些隧道协议运行IPv6。如果这是一个令人担心的问题,就在你的边界内封锁IPv6隧道协议。

    IPv6自动设置可造成寻址的复杂性。IPv6另一个有趣的功能是自动设置。自动设置功能允许系统自动获得一个网络地址,而不需要管理员的干预。IPv6支持两种不同的自动设置技术。监控状态的自动设置使用DHCPv6,这是对目前的DHCP协议的简单升级,从安全的角度看并没有很大的不同。另外,关注一下非监控状态的自动设置功能。这个技术允许系统产生自己的IP地址,并且检查地址的重复性。从系统管理的角度说,这种非集中化的方式可能更容易一些,但是,对于跟踪网络资源使用情况的网络管理员来说,这种做法提出了很大的难题。

    IPv6是革命性的。IPv6允许我们为未来十年的无处不在的接入做好准备。但是,同其他的技术创新一样,我们需要从安全的角度认真关注IPv6