IPv6技术及其安全等问题分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇IPv6技术及其安全等问题分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着网络规模的迅速扩大、网络业务的不断发展和网络功能的不断增强,IPv4协议逐渐出现其不适应发展的地方,尤其是地址空间的不足。ipv6正是在这样的环境和条件下产生的,这篇论文论述了由IPv4过渡到IPv6的必然趋势,IPv6的技术特点,IPV6在安全方面的改进以及它所存在的安全隐患。
关键词:IPv6;技术特点;安全机制;安全隐患
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)28-0098-02
IPv6 Technology and the Analyses of Its Security Problem
YUAN Qiang, YANG Mu-qing
(South-Central University for Nationalities, Wuhan 430074, China)
Abstract: With the rapid expansion of the internet, the continuous development of the network operations and the growing function of network, IPv4 is gradually not adapting to the development of network, particularly the problem of shortage of address space. IPv6 is developed in this situation. This paper have discussed the inevitable trend of transition from IPv4 to IPv6, including the technical characteristics of IPv6, its improvement in security and also its security risks.
Key words: IPv6; technology Features; security mechanism; security hidden risk
1 引言
Internet在全球迅速发展,随着互联网用户数量不断增长以及对互联网应用的要求不断提高,IPv4协议的不足逐渐体现出来。首要的问题就是不断增长的对互联网资源的巨大需求与IPv4地址空间不足的矛盾, Ipv6通过几乎无限大的地址空间、自动识别机制、网络安全设置,对每一个终端(包括无线终端)、家电、生产流程、感应器等进行IP全球化管理,宣告了信息新时代的到来。
与此同时,网络安全也是一个需要迫切解决的问题。现行的IPv4协议标准虽有简单性和可缩放性等特点,但在网络安全方面存在许多安全隐患,例如:非法截获并伪造信息包、地址的电子欺骗、扰乱网络逻辑组织等。对于种种威胁网络安全的攻击,现有的一些措施往往没有涉及协议的较低层次,而网络安全功能恰恰是定位在较低层次上的,这对阻止在网络攻击中占比例非常大的较低层次攻击是不合适的。
因此在IPv6协议下,增添了许多新的重要功能,支持IPv4到IPv6的平稳过渡,可以像一般的软件升级一样在Internet设备上安装。IPv6在IP层上实现了各种安全服务,既是面向高性能网络(如ATM)的,也可以在低带宽的网络(如无线网)上有效地运行。
2 IPv6 技术特点
IPv6是为了解决IPv4所存在的一些问题和不足而提出的,同时它还在许多方面提出了改进,例如路由方面、自动配置方面。经过一个较长的IPv4和IPv6共存的时期,IPv6最终会完全取代IPv4在互连网上占据统治地位。IPv6技术特点如下:
2.1 地址空间巨大
地址空间巨大IPv6地址空间由IPv4的32位扩大到128位,2的128次方形成了一个巨大的地址空间。采用IPV6地址后,未来的移动电话、冰箱等信息家电都可以拥有自己的IP地址。
2.2 地址层次丰富分配合理
地址层次丰富分配合理IPv6的管理机构将某一确定的TLA分配给某些骨干网的ISP,然后骨干网ISP再灵活地为各个中小ISP分配NLA,而用户从中小ISP 获得IP地址。
2.3 实现IP层网络安全
实现IP层网络安全IPv6要求强制实施因特网安全协议IPSec,并已将其标准化。IPSec支持验证头协议、封装安全性载荷协议和密钥交换IKE协议,这3种协议将是未来Internet的安全标准。
2.4 无状态自动配置
无状态自动配置IPv6通过邻居发现机制能为主机自动配置接口地址和缺省路由器信息,使得从互联网到最终用户之间的连接不经过用户干预就能够快速建立起来。
3 IPv6的安全机制分析
3.1 协议安全
在协议安全层面上,IPv6全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头.AH认证支持hmac_md5_96!hmac_sha_1_96认证加密算法,ESP封装支持DES_CBC!3DES_CBC以及Null等三种算法。
3.2 网络安全
3.2.1 端到端的安全保证
IPv6协议对两端主机的报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,从而实现端到端的安全。
3.2.2 对内部网络的保密
当内部主机与因特网上其他主机进行通信时,为了保证内部网络的安全,可以通过配置的IPSec网关实现,因为IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的节点解析处理。
3.2.3 通过安全隧道构建安全的VPN
此处的VPN是通过IPv6的IPSec隧道实现的,在路由器之间建立IPSec的安全隧道,构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上就是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加密板卡。
3.2.4 通过隧道嵌套实现网络安全
通过隧道嵌套的方式可以获得多重的安全保护,当配置了IPSec的主机通过安全隧道接入到配置了IPSec网关的路由器,并且该路由器作为外部隧道的终结点将外部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。
3.3 地址机制安全
IPv6采用128位的地址空间,相当于地球表面每平方米拥有6.65×1023个IP地址。一方面解决了当前地址空间枯竭的问题, 使网络的发展不再受限于地址数目的不足;另一方面可容纳多级的地址层级结构,使得对寻址和路由层次的设计更具有灵活性,更好地反映现代Internet的拓扑结构。
IPv6的接口ID固定为64位,因此用于子网ID的地址空间达到了64位,便于实施多级路由结构和地址集聚。IPv6 的前缀类型多样,64位的前缀表示一个子网ID,小于64位的前缀要么表示一个路由,要么表示一个地址聚类。IPv6 的地址类型包括单播、多播和任播地址,取消了广播地址。
IPv6 的地址机制带来的安全措施包括:
3.3.1 防范网络扫描与病毒、蠕虫传播
传统的扫描和传播方式在IPv6环境下将难以适用, 因为其地址空间太大。如果病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机,就犹如大海捞针。在IPv6的世界中,对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。
所以,在IPv6的世界里,病毒、互联网蠕虫的传播将变得非常困难。但是,基于应用层的病毒和互联网蠕虫是一定会存在的,电子邮件的病毒还是会继续传播。
3.3.2 防范IP地址欺骗
IPv6 的地址构造为可会聚、层次化的地址结构,每一ISP可对其客户范围内的IPv6地址进行集聚, 接入路由器在用户进入时可对IP包进行源地址检查,验证其合法性,非法用户将无法访问网络所提供的服务。
另外,将一个网络作为中介去攻击其他网络的跳板攻击将难以实施,因为中介网络的边界路由器不会转发源地址不属其范围之内的IPv6数据包。
3.3.3 防范外网入侵
IPv6 地址有一个作用范围,在这个范围之内,它们是唯一的。在基于IPv6的网络环境下,主机的一个网络接口可配置多种IPv6地址,如链路本地地址、站点本地地址、单播全球地址等,这些不同地址有不同的作用域。
IPv6 路由器对IPv6地址的作用范围是敏感的,绝不会通过没有正确范围的接口转发数据包。因此,可根据主机的安全需求,为其配置相应的IPv6 地址。例如,为保障本地子网或本地网络内的主机的安全,可为其配置相应的链路本地或站点本地地址, 使其通信范围受限于所在链路或站点, 从而阻断外网入侵。
3.4 域名系统DNS安全
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃,而采用可以提供认证和完整性安全特性的DNS安全扩展(DNS Security Extensions)协议,能进一步增强目前针对DNS新的攻击方式的防护,例如网络钓鱼攻击、DNS中毒(DNS poisoning)攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。
4 IPv6安全方面的挑战
4.1 网络侦察和非法访问
对于Ping扫描或端口扫描,由于IPv6网络巨大的地址空间,使列举法攻击变得非常困难。其次,IPv6的新型组播地址使攻击者会更容易发现网络中的关键系统。如路由器、NTP servers等。如果网络中的路由器或网关设备的安全方面考虑不足,攻击者会利用邻居发现缓冲数据,或者依靠简单的报文截获就可发现网络中的主机。IPv6抵抗网络侦察攻击的手段依然是防火墙技术。
由于IP协议栈中不对主机之间的连接做任何限制,攻击者利用IP协议与网络中的主机或设备建立上层协议的连接进行非法访问。IPv6扩展可有效防止网络侦察,IPSec的全面部署会使主机的访问控制更加容易。但仍然需要防止非法访问。目前市场已有许多IPv6防火墙产品,这些产品只是解决了部分IPv6中的安全问题。
4.2 第三层和第四层欺骗
攻击者修改他们的源IP地址和目的地址端口,使他们发出的报文看似发自于另一台主机或另一个应用程序,这种欺骗攻击依然十分流行。IPv6地址具有全球聚集属性,IPv6对于第三层欺骗具有很好的防护作用。
对于RFC2827 过滤策略,ISP很容易判断出那些超出他们范围的欺骗地址。目前这种过滤还不是一种标准行为,它需要管理者去实现。由于IPSe的部署,第四层欺骗在IPv6不会发生变化。而IPv6拥有巨大的地址空间,即使部署RFC2827过滤策略,攻击者也拥有大量可用的地址,这也增加了防范难度。
4.3 非IP层攻击和路由攻击
IPv6 网络中传输数据包的基本机制没有发生改变,仍然在控制平面学习路由以适应网络拓扑的变化, 在数据平面根据已知的路由信息对数据包进行路由转发。因此,在IPv4网络中除IP层之外,其他六层中出现的攻击在IPv6网络中仍然会存在。
恶意攻击者也可以通过伪造的 MAC 帧来欺骗数据链路层设备, 如交换机。还有的DNS 安全性、路由协议的安全性、SNMP 的安全性、SMTP/MIME 中的安全漏洞、病毒、木马、蠕虫等。均属于这一类。这类攻击并非IPv6特有, 它们在IPv4网络中同样存在, 因此可以借鉴IPv4网络中的防护办法和经验, 并将其用于IPv6网络中。
而路由攻击则可破坏或重定向网络中的流量。它采用多种手段,例如利用范洪攻击、快速宣告和撤销路由、虚假路由信息等。IPv6中,有几种协议并没有改变它们的安全机制。BGP仍然依赖于TCP MD5认证机制。
4.4 IPv4与IPv6之间的互通
IPv4过渡到IPv6是必然趋势, 但不可能在一夜之间完全升级过渡到 IPv6,这将经历一个漫长的过渡时期。期间将同时存在IPv4和IPv6两种网络, 以及各种各样的过渡技术, 将使网络结构更复杂, 存在新的安全隐患,这给网络安全防护提出更严峻的挑战。
IPv4 和IPv6的互通主要模式:双栈、隧道和转换。以上所提到的问题都是假设网络中主机和网络基础设施都基于双栈结构。针对于IPv6 隧道技术和防火墙,如果网络设计者在设计安全策略时不考虑 IPv6 隧道,那么将有可能导致非法报文通过隧道。
4.5 IPv6自身的安全问题
IPv6 的管理与IPv4 在思路上有可借鉴之处。但对于一些网管技术,如SNMP等,不管是移植还是重新设计,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对 IPv6 网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,无法保障网络高效、安全运行。
IPv6相比IPv4,除地址空间增大外,很多协议机制也发生了变化。例如在IPv6中不再有ARP, 而采用邻居发现ND 进行地址和IP 地址的解析; 在IPv6 中, 除支持有状态地址自动配置(DHCPv6)外, 还支持无状态地址自动配置。这些变化使得IPv6网络的安全问题与IPv4 网络相比有很多不同。
网络安全是一个体系,涉及各个层次、各个方面。IPv6主要解决的是网络层的身份认证、数据包完整性和加密问题。因此, 一些从上层发起的攻击如应用层的缓冲区溢出攻击和传输层的TCPSYN FLOOD攻击等在IPv6下仍然存在。此外, IPSEC的引入在强化网络层安全的同时对目前的网络安全体系和保护机制带来了冲击, 这些都需要在今后的研究中加以改进和完善。
5 结束语
IPv4地址耗尽并不是部署和升级到IPv6的唯一理由, IPv6协议可满足下一个世纪的高性能、可扩展性的网络互联, 并可解决IPv4协议中存在的许多问题。新技术支持新应用, 新应用推动新技术的标准化和商业化,机遇同时也是挑战,随着IPv6网络建设的逐步展开,关于IPv6 网络的安全性方面也得到了越来越多的重视。IPv6的新的特性与协议机制,使传统网络上的攻击与防护在 IPv6网络中遇到了新的问题与挑战。
参考文献:
[1] 窦文华, 张鹤颖, 郑彦兴,等. 计算机网络前沿技术[M]. 国防科技大学出版社. 2007.
[2] 张宏科. IPv6 互联网络技术的现状与未来[J]. 中国数据通信, 2005(4):17-20.
[3] 陈琦. IPv6网络技术发展现状与策略[J]. 通信世界, 2006(9):34-35.
[4] 刘年生, 郭东辉, 吴伯僖. IPv6安全机制及其密码算法的安全性分析[J]. 计算机工程与应用, 2006,37(16):30-33.
[5] 郎为民.下一代网络技术原理与应用[M]. 北京:机械工业出版社,2006.