IPv6對網(wǎng)絡(luò)安全的改進與挑戰(zhàn)

申請免費試用、咨詢電話：400-8352-114

IPv4地址資源的緊缺引發(fā)了一系列安全問題，盡管IPv6協(xié)議在網(wǎng)絡(luò)安全上做了多項改進，但是其引入也帶來了新的安全問題。

由于我國IPv4地址資源嚴重不足，除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊張問題，更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT/PAT）技術(shù)來解決這個問題。比如PSTN、ADSL、GPRS撥號上網(wǎng)、寬帶用戶以及很多校園網(wǎng)、企業(yè)網(wǎng)大都是采用私有IPv4地址，通過NAT技術(shù)接入互聯(lián)網(wǎng)，這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣龋野踩缘确矫嬉搽y以得到保障。從根本上看，互聯(lián)網(wǎng)可信度問題、端到端連接特性遭受破壞、網(wǎng)絡(luò)沒有強制采用IPSec而帶來的安全性問題，使IPv4網(wǎng)絡(luò)面臨各種威脅。

IPv6協(xié)議在網(wǎng)絡(luò)安全上有改進

IP安全協(xié)議（IPSec） IPSec是IPv4的一個可選擴展協(xié)議，而在IPv6則是一個必備組成部分。IPSec協(xié)議可以“無縫”地為IP提供安全特性，如提供訪問控制、數(shù)據(jù)源的身份驗證、數(shù)據(jù)完整性檢查、機密性保證，以及抗重播（Replay）攻擊等。新版路由協(xié)議OSPFv3 和 RIPng采用IPSec來對路由信息進行加密和認證，提高抗路由攻擊的性能。

需要指出的是，雖然IPSec能夠防止多種攻擊，但無法抵御Sniffer、DoS攻擊、洪水（Flood）攻擊和應(yīng)用層攻擊。IPSec作為一個網(wǎng)絡(luò)層協(xié)議，只能負責(zé)其下層的網(wǎng)絡(luò)安全，不能對其上層如Web、E-mail及FTP等應(yīng)用的安全負責(zé)。

端到端的安全保證 IPv6最大的優(yōu)勢在于保證端到端的安全，可以滿足用戶對端到端安全和移動性的要求。IPv6限制使用NAT，允許所有的網(wǎng)絡(luò)節(jié)點使用其全球惟一的地址進行通信。每當(dāng)建立一個IPv6的連接，都會在兩端主機上對數(shù)據(jù)包進行IPSec封裝，中間路由器實現(xiàn)對有IPSec擴展頭的IPv6數(shù)據(jù)包進行透明傳輸，通過對通信端的驗證和對數(shù)據(jù)的加密保護，使得敏感數(shù)據(jù)可以在IPv6 網(wǎng)絡(luò)上安全地傳遞，因此，無需針對特別的網(wǎng)絡(luò)應(yīng)用部署ALG（應(yīng)用層網(wǎng)關(guān)），就可保證端到端的網(wǎng)絡(luò)透明性，有利于提高網(wǎng)絡(luò)服務(wù)速度。

地址分配與源地址檢查 在IPv6的地址概念中，有了本地子網(wǎng)（Link-local）地址和本地網(wǎng)絡(luò)（Site-local）地址的概念。從安全角度來說，這樣的地址分配為網(wǎng)絡(luò)管理員強化網(wǎng)絡(luò)安全管理提供了方便。若某主機僅需要和一個子網(wǎng)內(nèi)的其他主機建立聯(lián)系，網(wǎng)絡(luò)管理員可以只給該主機分配一個本地子網(wǎng)地址；若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問服務(wù)，那么就可以只給這臺服務(wù)器分配一個本地網(wǎng)絡(luò)地址，而企業(yè)網(wǎng)外部的任何人都無法訪問這些主機。

由于IPv6地址構(gòu)造是可會聚的（aggregate-able）、層次化的地址結(jié)構(gòu)，因此，在IPv6接入路由器對用戶進入時進行源地址檢查，使得ISP可以驗證其客戶地址的合法性。

源路由檢查 出于安全性和多業(yè)務(wù)的考慮，許多核心路由器可根據(jù)需要，開啟反向路由檢測功能，防止源路由篡改和攻擊。

防止未授權(quán)訪問 IPv6固有的對身份驗證的支持，以及對數(shù)據(jù)完整性和數(shù)據(jù)機密性的支持和改進，使得IPv6增強了防止未授權(quán)訪問的能力，更加適合于那些對敏感信息和資源有特別處理要求的應(yīng)用。

域名系統(tǒng)DNS 基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施（PKI）系統(tǒng)的基礎(chǔ)，有助于抵御網(wǎng)上的身份偽裝與偷竊，而采用可以提供認證和完整性安全特性的DNS安全擴展 （DNS Security Extensions）協(xié)議，能進一步增強目前針對DNS新的攻擊方式的防護，例如“網(wǎng)絡(luò)釣魚（Phishing）”攻擊、“DNS中毒（DNS poisoning）”攻擊等，這些攻擊會控制DNS服務(wù)器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。此外，專家認為，如果能爭取在我國建立IPv6域名系統(tǒng)根服務(wù)器，則對于我國的信息安全很有必要和十分重要。

靈活的擴展報頭 一個完整的IPv6的數(shù)據(jù)包可包括多種擴展報頭，例如逐個路程段選項報頭、目的選項報頭、路由報頭、分段報頭、身份認證報頭、有效載荷安全封裝報頭、最終目的報頭等。這些擴展報頭不僅為IPv6擴展應(yīng)用領(lǐng)域奠定了基礎(chǔ)，同時也為安全性提供了保障。

防止網(wǎng)絡(luò)掃描與病毒蠕蟲傳播 當(dāng)病毒和蠕蟲在感染了一臺主機之后，就開始對其他主機進行隨機掃描，在掃描到其他有漏洞的主機后，會把病毒傳染給該主機。這種傳播方式的傳播速度在IPv4環(huán)境下非常迅速（如Nimdar病毒在4～5分鐘內(nèi)可以感染上百萬臺計算機）。但這種傳播方式因為IPv6的地址空間的巨大變得不適用了，病毒及網(wǎng)絡(luò)蠕蟲在IPv6的網(wǎng)絡(luò)中傳播將會變得很困難。

防止網(wǎng)絡(luò)放大攻擊（Broadcast Amplication Attacks） ICMPv6在設(shè)計上不會響應(yīng)組播地址和廣播地址的消息，不存在廣播，所以，只需要在網(wǎng)絡(luò)邊緣過濾組播數(shù)據(jù)包，即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊。

防止碎片（Fragment）攻擊 IPv6認為MTU小于1280字節(jié)的數(shù)據(jù)包是非法的，處理時會丟棄MTU小于1280字節(jié)的數(shù)據(jù)包（除非它是最后一個包），這有助于防止碎片攻擊。

由此看來，IPv6協(xié)議確實比IPv4的安全性有所改進，IPv4中常見的一些攻擊方式，將在IPv6網(wǎng)絡(luò)中失效，例如網(wǎng)絡(luò)偵察、報頭攻擊、ICMP攻擊、碎片攻擊、假冒地址、病毒及蠕蟲等。但數(shù)據(jù)包偵聽、中間人攻擊、洪水攻擊、拒絕服務(wù)攻擊、應(yīng)用層攻擊等一系列在IPv4網(wǎng)絡(luò)中的問題，IPv6仍應(yīng)對乏力，只是在IPv6的網(wǎng)絡(luò)中事后追溯攻擊的源頭方面要比在IPv4中容易一些。

引入IPv6出現(xiàn)的安全新問題

IPv6是新的協(xié)議，在其發(fā)展過程中必定會產(chǎn)生一些新的安全問題，主要包括應(yīng)對拒絕服務(wù)攻擊（DoS）乏力、包過濾式防火墻無法根據(jù)訪問控制列表ACL正常工作、入侵檢測系統(tǒng)（IDS）遭遇拒絕服務(wù)攻擊后失去作用、被黑客篡改報頭等問題。

此外，在IPv6中還有一些問題有待解決，主要包括：

1. IP網(wǎng)中許多不安全問題主要是管理造成的。IPv6的管理與IPv4在思路上有可借鑒之處。但對于一些網(wǎng)管技術(shù)，如SNMP等，不管是移植還是重新另搞，其安全性都必須從本質(zhì)上有所提高。由于目前針對IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件幾乎沒有成熟產(chǎn)品出現(xiàn)，因此缺乏對IPv6網(wǎng)絡(luò)進行監(jiān)測和管理的手段，缺乏對大范圍的網(wǎng)絡(luò)故障定位和性能分析的手段。沒有網(wǎng)管，何談保障網(wǎng)絡(luò)高效、安全運行？

2. PKI管理在IPv6中是懸而未決的新問題。

3. IPv6網(wǎng)絡(luò)同樣需要防火墻、VPN、IDS、漏洞掃描、網(wǎng)絡(luò)過濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。事實上IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)。這方面的安全技術(shù)研發(fā)還尚需時日。

4. IPv6協(xié)議仍需在實踐中完善，例如IPv6組播功能僅僅規(guī)定了簡單的認證功能，所以還難以實現(xiàn)嚴格的用戶限制功能，而移動IPv6（Mobiel IPv6）也存在很多新的安全挑戰(zhàn)。DHCP必須經(jīng)過升級才可以支持IPv6地址，DHCPv6仍然處于研究、制訂之中。

向 IPv6遷移的可能漏洞

由于IPv6與IPv4網(wǎng)絡(luò)將會長期共存，網(wǎng)絡(luò)必然會同時存在兩者的安全問題，或由此產(chǎn)生新的安全漏洞。

已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移時出現(xiàn)的一些安全漏洞，例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協(xié)議的LAN的網(wǎng)絡(luò)資源，攻擊者可以通過安裝了雙棧的使用IPv6的主機，建立由IPv6到IPv4的隧道，繞過防火墻對IPv4進行攻擊。

向IPv6協(xié)議的轉(zhuǎn)移與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣，需要重新配置防火墻，其安全措施必須經(jīng)過慎重的考慮和測試，例如IPv4環(huán)境下的IDS并不能直接支持IPv6，需要重新設(shè)計，原來應(yīng)用在IPv4協(xié)議的安全策略和安全措施必須在IPv6上得到落實。

目前，IPv4向IPv6過渡有多種技術(shù)，其中基本過渡技術(shù)有雙棧、隧道和協(xié)議轉(zhuǎn)換，但目前這幾種技術(shù)運行都不理想。專家建議，向IPv6轉(zhuǎn)移應(yīng)盡量采用雙棧技術(shù)，避免采用協(xié)議轉(zhuǎn)換；盡量采用靜態(tài)隧道，避免采用動態(tài)隧道；這些都需要在廣泛實驗中加以檢驗。

與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面有了更好的改進，在可控性和抗否認性方面有了新的保證，但IPv6不僅不可能徹底解決所有安全問題，同時還會伴隨其產(chǎn)生新的安全問題。目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非IP層，因此，保護網(wǎng)絡(luò)安全與信息安全，只靠一兩項技術(shù)并不能實現(xiàn)，還需配合多種手段，諸如認證體系、加密體系、密鑰分發(fā)體系、可信計算體系等。 (ccw)