IPv4協(xié)議是在1975年推出,由于其內(nèi)在的開(kāi)放性和不斷更新而受到開(kāi)發(fā)人員和用戶的歡迎�����,成為了互聯(lián)網(wǎng)的通用協(xié)議���。隨著互聯(lián)網(wǎng)的迅速發(fā)展,IPv4定義的有限地址空間消耗速度正在逐年加快�����,雖然采取了許多節(jié)約地址的方法(如子網(wǎng)劃分技術(shù)����、NAT地址轉(zhuǎn)換、保留IP地址等)�,但按照互聯(lián)網(wǎng)現(xiàn)在的發(fā)展速度,IPv4地址將被分配完畢�。
IPv4
協(xié)議本身也存在著諸多安全缺陷:第一,很容易被竊聽(tīng)和欺騙�。大多數(shù)因特網(wǎng)上的流量是沒(méi)有加密的��。電子郵件口令�、文件傳輸很容易被監(jiān)聽(tīng)和劫持。第二,配置的復(fù)雜性�。訪問(wèn)控制的配置十分復(fù)雜,很容易被錯(cuò)誤配置���,從而給黑客以可乘之機(jī)���。第三,缺乏安全策略�����。許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限��,忽視了這些權(quán)限可能會(huì)被內(nèi)部人員濫用�。
IPv6 協(xié)議的特點(diǎn)與安全性
IPv6是由互聯(lián)網(wǎng)工程任務(wù)組(IETF)設(shè)計(jì)的用來(lái)替代現(xiàn)行的IPv4協(xié)議的一種新的IP協(xié)議,與IPv4相比�����,IPv6在網(wǎng)絡(luò)保密性�、完整性方面有了更好的改進(jìn),在可控性��、抗否認(rèn)性方面有了新的保證��,IPv6協(xié)議的主要特點(diǎn)為:
1、擴(kuò)展的地址和路由選擇功能�。IP地址長(zhǎng)度由32位增加到128位,可支持?jǐn)?shù)量大得多的可尋址節(jié)點(diǎn)�����、更多級(jí)的地址層次和較為簡(jiǎn)單的地址自動(dòng)配置��。
2����、真正地實(shí)現(xiàn)無(wú)狀態(tài)地址自動(dòng)配置。大容量的地址空間能夠真正實(shí)現(xiàn)無(wú)狀態(tài)地址自動(dòng)配置�����,使IPv6終端能夠快速連接到網(wǎng)絡(luò)上����,無(wú)需人工配置,實(shí)現(xiàn)了真正的即插即用����。
3、簡(jiǎn)化的首部格式��。IPv4首部的某些字段被取消或改為選項(xiàng)���,以減少報(bào)文�。分組處理過(guò)程中常用情況的處理費(fèi)用�����,并使得IPv6首部額帶寬開(kāi)銷盡可能低�,盡管地址長(zhǎng)度增加了。
4���、支持?jǐn)U展首部和選項(xiàng)�。IPv6的選項(xiàng)放在單獨(dú)的首部中���,位于報(bào)文分組中IPv6首部和傳送層首部之間���。IPv6的另一改進(jìn),是其選項(xiàng)與IPv4不同����,可具有任意長(zhǎng)度,不限于40字節(jié)���。
5�、支持驗(yàn)證和隱私權(quán)。IPv6定義了一種擴(kuò)展���,可支持權(quán)限驗(yàn)證和數(shù)據(jù)完整性�。這一擴(kuò)展是IPv6的基本內(nèi)容�����,要求所有的實(shí)現(xiàn)必須支持這一擴(kuò)展�。IPv6還定義了一種擴(kuò)展,借助于加密支持保密性要求���。
6��、服務(wù)質(zhì)量能力����。IPv6增加了一種新的能力��,如果某些報(bào)文分組屬于特定的工作流����,發(fā)送者要求對(duì)其給予特殊處理�。
IPv6通過(guò)IPSec協(xié)議來(lái)保證IP
層的安全��。IPSec是IPv6的一個(gè)組成部分�。雖然在實(shí)現(xiàn)IPv6時(shí)必須要實(shí)現(xiàn)IPSec協(xié)議���,但應(yīng)用時(shí)并不一定要使用它����,IPv6協(xié)議把認(rèn)證頭部(AH)和封裝安全凈荷頭部(ESP)作為兩個(gè)可選的擴(kuò)展頭部�����。因此��,本質(zhì)上IPv6并不能比IPv4帶來(lái)更高的安全性��。
盡管IPv6協(xié)議采取了諸如支持驗(yàn)證和隱私權(quán)之類安全措施�����。但是IPv6也不可能徹底解決所有網(wǎng)絡(luò)安全問(wèn)題����,同時(shí)還會(huì)伴隨其產(chǎn)生新的安全問(wèn)題�,它的應(yīng)用也給現(xiàn)行的網(wǎng)絡(luò)體系帶來(lái)了新的要求和挑戰(zhàn)���。在建設(shè)IPv6網(wǎng)絡(luò)的時(shí)候�,需要全面考慮網(wǎng)絡(luò)的安全問(wèn)題�。
IPv6網(wǎng)絡(luò)存在的安全隱患
IPv4向IPv6過(guò)渡技術(shù)的隱患
在IPv4到IPv6網(wǎng)絡(luò)演進(jìn)過(guò)程中,主要應(yīng)解決兩類問(wèn)題:1. IPv6孤島互通技術(shù):實(shí)現(xiàn)IPv6網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)的互通問(wèn)題;2.
IPv6與IPv4互通技術(shù)���。實(shí)現(xiàn)兩個(gè)不同網(wǎng)絡(luò)之間互相訪問(wèn)資源�。對(duì)此�����,目前已經(jīng)推出了16種過(guò)渡技術(shù)�,其中最基本的過(guò)渡技術(shù)包括雙棧技術(shù)和隧道技術(shù)。
雙協(xié)議棧會(huì)帶來(lái)新的安全問(wèn)題�,對(duì)于同時(shí)支持IPv4和IPv6的主機(jī),黑客可以同時(shí)用兩種協(xié)議進(jìn)行協(xié)調(diào)攻擊����,發(fā)現(xiàn)兩種協(xié)議中存在的安全弱點(diǎn)和漏洞,或者利用兩種協(xié)議版本中安全設(shè)備的協(xié)調(diào)不足來(lái)逃避檢測(cè)���。而且雙協(xié)議棧中一種協(xié)議的漏洞會(huì)影響另一種協(xié)議的正常工作��。由于隧道機(jī)制對(duì)任何來(lái)源的數(shù)據(jù)包只進(jìn)行簡(jiǎn)單的封裝和解封�,而不對(duì)IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查,所以隧道機(jī)制的引入��,會(huì)給網(wǎng)絡(luò)安全帶來(lái)更復(fù)雜的問(wèn)題�,也較多的出現(xiàn)安全隱患。
IPv6中組播技術(shù)缺陷的隱患
組播報(bào)文是通過(guò)UDP(用戶數(shù)據(jù)報(bào)協(xié)議)進(jìn)行傳輸?shù)?�,所以它缺乏TCP(傳輸控制協(xié)議)所提供的可靠傳輸?shù)墓δ?���。組播的開(kāi)放性使通信數(shù)據(jù)缺乏機(jī)密性和完整性的安全保護(hù)���,而IPv6組播所需的MLD等組播維護(hù)協(xié)議不能滿足安全的需要���。IP
組播使用UDP,任何主機(jī)都可以向某個(gè)組播地址發(fā)送UDP包�����,并且低層組播機(jī)構(gòu)將傳送這些UDP包到所有組成員�����。由于在IPv6組播通信中,任何成員都可以利用MLD報(bào)文請(qǐng)求臨近的路由加入組播群組��,組播加入成員的約束機(jī)制很匱乏���,無(wú)法保證通信的機(jī)密性��,因此���,對(duì)機(jī)密數(shù)據(jù)的竊聽(tīng)將非常容易。
無(wú)狀態(tài)地址自動(dòng)配置的隱患
通過(guò)ND協(xié)議實(shí)現(xiàn)IPv6節(jié)點(diǎn)無(wú)狀態(tài)地址自動(dòng)配置�����,實(shí)現(xiàn)了IPv6節(jié)點(diǎn)的即插即用�,具有IPv6聯(lián)網(wǎng)的易用性和地址管理的方便性。同時(shí)也帶來(lái)了一些安全隱患:首先���,對(duì)路由器發(fā)現(xiàn)機(jī)制��,主要是通過(guò)路由器RA報(bào)文來(lái)實(shí)現(xiàn)���。惡意主機(jī)可以假冒合法路由器發(fā)送偽造的RA報(bào)文,在RA報(bào)文中修改默認(rèn)路由器為高優(yōu)先級(jí),使IPv6節(jié)點(diǎn)在自己的默認(rèn)路由器列表中選擇惡意主機(jī)為缺省網(wǎng)關(guān)��,從而達(dá)到中間人攻擊的目的�。其次,對(duì)重復(fù)地址檢測(cè)機(jī)制�����,IPv6節(jié)點(diǎn)在無(wú)狀態(tài)自動(dòng)配置鏈路本地或全局單播地址的時(shí)候�����,需先設(shè)置地址為臨時(shí)狀態(tài)��,然后發(fā)送NS報(bào)文進(jìn)行DAD檢測(cè)�,惡意主機(jī)這時(shí)可以針對(duì)NS請(qǐng)求報(bào)文發(fā)送假冒的NA響應(yīng)報(bào)文�,使IPv6節(jié)點(diǎn)的DAD檢測(cè)不成功,從而使IPv6節(jié)點(diǎn)停止地址的自動(dòng)配置過(guò)程���。最后�����,針對(duì)前綴重新編址機(jī)制����,惡意主機(jī)通過(guò)發(fā)送假冒的RA通告,從而造成網(wǎng)絡(luò)訪問(wèn)的中斷�。
鄰居發(fā)現(xiàn)協(xié)議的隱患
在自動(dòng)地址配置中,
鄰居發(fā)現(xiàn)協(xié)議(NDP)是基于IP的協(xié)議結(jié)構(gòu),用來(lái)完成鄰居可達(dá)性檢測(cè)����、鏈路地址解析、路由及網(wǎng)絡(luò)前綴發(fā)現(xiàn)���、流量重定向和DOA檢測(cè)等鏈路機(jī)制�。報(bào)文身份的可鑒別性是NDP協(xié)議的主要安全需求���,而哄騙報(bào)文攻擊是其所而臨的主要安全威脅���。攻擊者只要仿造節(jié)點(diǎn)不可達(dá)信息和重復(fù)地址檢測(cè),進(jìn)行DoS攻擊���,或者傳播虛假的路由響應(yīng)和重定向報(bào)文��,就能誘騙網(wǎng)絡(luò)流量�。
IPv6中PKI管理系統(tǒng)的隱患
IPv6網(wǎng)絡(luò)管理中PKI管理是一個(gè)懸而未決的問(wèn)題��,必須要首先考慮PKI系統(tǒng)本身的安全性。在應(yīng)用上存在一些需要解決的主要問(wèn)題:
必須解決數(shù)字設(shè)備證書(shū)與密鑰管理問(wèn)題;IPv6網(wǎng)絡(luò)的用戶數(shù)量龐大�,設(shè)備規(guī)模巨大,證書(shū)注冊(cè)�����、更新�、存儲(chǔ)、查詢等操作頻繁�����,于是要求PKI能夠滿足高訪問(wèn)量的快速響應(yīng)并提供及時(shí)的狀態(tài)查詢服務(wù);IPv6中認(rèn)證實(shí)體規(guī)模巨大�,單純依靠管理員手工管理將不能適應(yīng)現(xiàn)實(shí)需求,同時(shí)為了保障企業(yè)中其他服務(wù)器的安全���,要制定嚴(yán)格而合理的訪問(wèn)控制策略�,來(lái)掌控各類用戶對(duì)PKI系統(tǒng)和其他服務(wù)器的訪問(wèn)�。
移動(dòng)IPv6的隱患
移動(dòng)計(jì)算與普通計(jì)算的環(huán)境存在較大的區(qū)別��,如多數(shù)情況移動(dòng)計(jì)算是在無(wú)線環(huán)境下����,容易受到竊聽(tīng)、重發(fā)攻擊以及其他主動(dòng)攻擊,且移動(dòng)節(jié)點(diǎn)需要不斷更改通信地址��,因此�����,其協(xié)議架構(gòu)的復(fù)雜性�,使得移動(dòng)IPv6的安全性問(wèn)題凸顯。
IPv6的安全機(jī)制對(duì)網(wǎng)絡(luò)安全體系的挑戰(zhàn)隱患
第一��,由網(wǎng)絡(luò)層的傳輸中采用加密方式帶來(lái)的隱患分析�����。1.
針對(duì)密碼的攻擊�,對(duì)一些老版本的操作系統(tǒng),有的組件不是在驗(yàn)證網(wǎng)絡(luò)傳輸標(biāo)識(shí)信息時(shí)進(jìn)行信息保護(hù)���,于是����,竊聽(tīng)者可以捕獲有效的用戶名及其密碼�,掌握合法用戶權(quán)限,進(jìn)入機(jī)器內(nèi)部破壞��。2.
針對(duì)密鑰的攻擊,IPv6下����,IPSec的兩種工作模式都要交換密鑰,一旦攻擊者破解到正確的密鑰���,就可以得到安全通信的訪問(wèn)權(quán)�����,監(jiān)聽(tīng)發(fā)送者或接收者的傳輸數(shù)據(jù)���,甚至解密或竄改數(shù)據(jù)。3.
加密耗時(shí)過(guò)長(zhǎng)引發(fā)的DoS攻擊�����,加密需要很大的計(jì)算量�,如果黑客向目標(biāo)主機(jī)發(fā)送大規(guī)模看似合法事實(shí)上卻是任意填充的加密數(shù)據(jù)包���,目標(biāo)主機(jī)將耗費(fèi)大量CPU時(shí)間來(lái)檢測(cè)數(shù)據(jù)包而無(wú)法回應(yīng)其他用戶的通信請(qǐng)求,造成DoS�。第二�,對(duì)傳統(tǒng)防火墻的沖擊��,現(xiàn)行的防火墻有三種基本類型���,即包過(guò)濾型���、代理服務(wù)器型和復(fù)合型。其中代理服務(wù)器型防火墻工作在應(yīng)用層�,受IPv6的影響較小,另外兩種防火墻都將遭到巨大沖擊���。第三���,對(duì)傳統(tǒng)的入侵檢測(cè)系統(tǒng)的影響,入侵檢測(cè)(IDS)是防火墻后的第二道安全保障����。基于網(wǎng)絡(luò)IDS可以直接從網(wǎng)絡(luò)數(shù)據(jù)流中捕獲其所需要的審計(jì)數(shù)據(jù)����,從中檢索可疑行為。但是�,IPv6數(shù)據(jù)已經(jīng)經(jīng)過(guò)加密����,如果黑客利用加密后的數(shù)據(jù)包實(shí)施攻擊�,基于網(wǎng)絡(luò)IDS就很難檢測(cè)到任何入侵行為。
IPv6編址機(jī)制的隱患
IPv6中流量竊聽(tīng)將成為攻擊者安全分析的主要途徑����,面對(duì)龐大的地址空間,漏洞掃描�、惡意主機(jī)檢測(cè)等安全機(jī)制的部署難度將激增。IPv6引入了IPv4兼容地址����、本地鏈路地址、全局聚合單播地址和隨機(jī)生成地址等全新的編址機(jī)制�����。其中��,本地鏈路地址可自動(dòng)根據(jù)網(wǎng)絡(luò)接口標(biāo)識(shí)符生成而無(wú)需DHCP自動(dòng)配置協(xié)議等外部機(jī)制干預(yù)��,實(shí)現(xiàn)不可路由的本地鏈路級(jí)端對(duì)端通信���,因此移動(dòng)的惡意主機(jī)可以隨時(shí)連入本地鏈路��,非法訪問(wèn)甚至是攻擊相鄰的主機(jī)和網(wǎng)關(guān)����。
本文從IPv4向IPv6過(guò)渡技術(shù)��,IPv6中組播技術(shù)缺陷��,無(wú)狀態(tài)地址自動(dòng)配置����,鄰居發(fā)現(xiàn)協(xié)議,IPv6中PKI管理系統(tǒng)�����,移動(dòng)IPv6�����,IPv6的安全機(jī)制對(duì)網(wǎng)絡(luò)安全體系的挑戰(zhàn)以及IPv6編址機(jī)制等8個(gè)方面指出了IPv6網(wǎng)絡(luò)存在的安全隱患����。說(shuō)明IPv6網(wǎng)絡(luò)在安全方面還遠(yuǎn)沒(méi)有達(dá)到我們期望的高度。需要在IPv6網(wǎng)絡(luò)的推廣與應(yīng)用中不斷改進(jìn)與完善���。
對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)來(lái)說(shuō)���,安全永遠(yuǎn)只是相對(duì)的�����。新的技術(shù)只能暫時(shí)解決目前的安全問(wèn)題��,但新一輪的問(wèn)題又會(huì)接踵而來(lái)�����。討論IPv6網(wǎng)絡(luò)安全隱患的目的在于我們要提前認(rèn)清IPv6存在的安全隱患��,未雨綢繆�����,防患于未然��。在IPv6網(wǎng)絡(luò)的應(yīng)用中不斷改進(jìn)��、逐步提高����,才能使人們最終擁有一個(gè)高效、安全的下一代互聯(lián)網(wǎng)����。
