IPv6作為下一代互聯(lián)網(wǎng)的關(guān)鍵性技術(shù)����,將逐步取代IPv4成為支撐互聯(lián)網(wǎng)運轉(zhuǎn)的核心協(xié)議。因此��,了解IPv6的信息安全特性及隱患�,并尋求相應(yīng)的對策,對于提高下一代互聯(lián)網(wǎng)的信息安全水平�,具有十分重要的意義。
(資料圖片 來源互聯(lián)網(wǎng))
IPv6的信息安全特性
IPv6作為下一代IP協(xié)議���,是未來互聯(lián)網(wǎng)建構(gòu)的基石���。其主要特點:一是能提供比IPv4大得多的地址空間�����。有人形象地稱這一協(xié)議可為地球表面的每粒沙子分配一個IP地址。二是數(shù)據(jù)傳輸速度更快�����?;贗Pv6的主干網(wǎng)或城域網(wǎng)的傳輸速率,將比現(xiàn)在提高100倍到1000倍��。
安全問題一直是網(wǎng)絡(luò)通信中關(guān)注的焦點問題���。IPv6在設(shè)計之初�����,就對安全性有了較為周密的考慮�����,它內(nèi)嵌一種標(biāo)準(zhǔn)化的IP安全協(xié)議(IPsec)�����,解決了通信設(shè)備之間安全通信的標(biāo)準(zhǔn)化�、互操作等問題,從而確保端到端的通信安全�,實現(xiàn)“深度防護”安全策略。采用IPv6后���,發(fā)送信息的設(shè)備有了永久的IP地址�,設(shè)備類型很容易被識別��。IPsec還能提供認(rèn)證報頭服務(wù)�,用于保證數(shù)據(jù)的保密性和一致性。
IPv6還采取了兩項技術(shù)措施增強其安全性����。一是認(rèn)證,它要求接收端中能存放發(fā)送端的信息����,如果接收端無法識別發(fā)送端,則無法進行信息傳輸�;如果可以進行通信,則需保證信息是由指定發(fā)送端發(fā)送的���,同時信息在傳輸過程中沒有被其他用戶更改�����。二是私有性�,它要求發(fā)送的信息必須被加密,接收端必須是授權(quán)的���,這樣就能很好地防止信息被未授權(quán)用戶竊取。
IPv6作為一種新的網(wǎng)絡(luò)通信協(xié)議���,尚未被廣泛推廣應(yīng)用��,絕大多數(shù)用戶對其了解不深���,專門進行相關(guān)研究的就更少,這就決定了針對IPv6網(wǎng)絡(luò)的攻擊方法手段��,還沒有真正發(fā)展起來����,也很少有機會去驗證其攻擊效果。然而����,隨著IPv6的推廣應(yīng)用���,也會像目前IPv4一樣,信息安全隱患將會逐漸暴露�,并被攻擊者加以利用。
IPv6的信息安全隱患
構(gòu)建基于IPv6的可信任下一代互聯(lián)網(wǎng)�,是一項長期而艱巨的任務(wù)。雖然IPv6與IPv4相比��,在安全性方面進行了預(yù)先設(shè)計和充分考慮�,但仍然存在一些難以解決的安全隱患。
一是難以應(yīng)對拒絕服務(wù)攻擊�。拒絕服務(wù)攻擊仍然是IPv6面臨的最嚴(yán)重的一種攻擊,它可能導(dǎo)致計算機硬盤��、物理設(shè)備毀壞和所有可用內(nèi)存耗盡的危險��。IPv6支持動態(tài)自動尋址���,雖然給合法網(wǎng)絡(luò)用戶使用帶來了方便��,但非授權(quán)的用戶可以更容易地接入和使用網(wǎng)絡(luò)����,埋下了拒絕服務(wù)攻擊的隱患。拒絕服務(wù)攻擊主要包括兩種方式:一種是通過向服務(wù)器或主機發(fā)送大量數(shù)據(jù)包��,使得主機忙于處理這些無用的數(shù)據(jù)包而無法響應(yīng)有用的信息���;另一種是對網(wǎng)絡(luò)上兩個節(jié)點之間的通信直接進行干擾�,攻擊者可以冒充通信節(jié)點向目標(biāo)通信節(jié)點發(fā)送錯誤消息��,從而造成路由迂回����,導(dǎo)致網(wǎng)絡(luò)帶寬浪費及時延增加�����。對這兩種方式�����,IPv6從技術(shù)上都沒有很好地解決�����。
二是難以彌補整個網(wǎng)絡(luò)協(xié)議族的安全缺陷���。根據(jù)國際標(biāo)準(zhǔn)化組織提出的各種計算機在世界范圍內(nèi)互聯(lián)成網(wǎng)的標(biāo)準(zhǔn)框架����,即開放系統(tǒng)互聯(lián)參考模型,計算機網(wǎng)絡(luò)分為物理層���、數(shù)據(jù)鏈路層�����、網(wǎng)絡(luò)層����、傳輸層��、會話層�����、表示層和應(yīng)用層等七個功能層���。IP協(xié)議只是網(wǎng)絡(luò)層的協(xié)議����,其安全性設(shè)計得再好,也只能保證本功能層的安全���,其他功能層如應(yīng)用層的網(wǎng)頁服務(wù)�����、郵件服務(wù)及文件傳輸?shù)确?wù)的安全仍然難以保證���。
加強IPv6信息安全的對策
互聯(lián)網(wǎng)協(xié)議設(shè)計的一個基本要求,就是新協(xié)議的設(shè)計不能引入新的安全威脅�。如果存在安全威脅,那么協(xié)議本身必須要規(guī)定相應(yīng)的安全機制來克服���。因此,要深入研究IPv6的技術(shù)特點���,針對各種可能的安全威脅��,改進完善技術(shù)手段�,建立健全防范機制���。
一方面�����,要改進完善技術(shù)手段�。一是改進防火墻的設(shè)計,應(yīng)對拒絕服務(wù)攻擊���。IPv6相對IPv4在數(shù)據(jù)報頭上有了很大的改變�,要求防火墻必須解析整個數(shù)據(jù)包才能進行過濾操作���,這對防火墻的處理性能會有很大的影響�。因此��,必須采取各種技術(shù)手段�,提高防火墻的性能,適應(yīng)IPv6的需要����。二是完善入侵檢測系統(tǒng)的設(shè)計,嚴(yán)格用戶限制��。IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù)�,未來網(wǎng)絡(luò)數(shù)據(jù)通信的保密性將會越來越強���,要求入侵檢測系統(tǒng)在任何網(wǎng)絡(luò)狀況、任何服務(wù)器���、任何客戶端�����、任何應(yīng)用環(huán)境都能進行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng)��,以嚴(yán)格控制訪問用戶的身份認(rèn)證和權(quán)限驗證等內(nèi)容�。三是采用安全遷移設(shè)計����,保障快速平穩(wěn)過渡。目前����,IPv4正在向IPv6過渡,與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣���,其安全措施必須經(jīng)過慎重的考慮和測試,避免產(chǎn)生新的技術(shù)漏洞�����。
另一方面,要建立健全防護機制����。盡管IPv6還不是當(dāng)前網(wǎng)絡(luò)通信的主流協(xié)議,但從長遠看�����,有必要開展超前研究�����,從健全安全防范制度和建立防范體系兩個方面�,制定下一代互聯(lián)網(wǎng)的系統(tǒng)安全機制和信息安全機制。一是要健全安全防范制度���,保障網(wǎng)絡(luò)系統(tǒng)安全���。為加強網(wǎng)絡(luò)系統(tǒng)安全,在管理上要建章立制來強化相關(guān)人員的安全意識及規(guī)范其處置行為�����。例如,建立安全檢查制度�����,定期和不定期相結(jié)合進行安全保密檢查�,排查安全隱患,杜絕網(wǎng)絡(luò)違規(guī)操作����,減少人為紕漏;建立網(wǎng)絡(luò)值勤制度���,不斷強化網(wǎng)絡(luò)值勤人員的保密意識��、責(zé)任意識及服務(wù)意識����,明確人員的職責(zé)劃分和操作規(guī)程��,建立完善的值勤登記統(tǒng)計����,使網(wǎng)絡(luò)值勤管理精細(xì)化、正規(guī)化�����。二是要建立具有主動性的網(wǎng)絡(luò)安全防范體系��,確保網(wǎng)絡(luò)信息安全����。采取加密、認(rèn)證�、數(shù)字簽名、訪問控制�、安全代理、安全審計和監(jiān)督控制等多種安全防護機制�,實現(xiàn)信息儲存保密、傳輸保密和瀏覽保密�����,進行實體認(rèn)證����、操作員認(rèn)證和信息認(rèn)證,從運行機制上保證網(wǎng)絡(luò)信息的安全��。
IPv6對信息安全工作的影響
安全人員需要有關(guān)IPv6協(xié)議的教育和培訓(xùn)�。IPv6協(xié)議將在你的控制之下進入你的網(wǎng)絡(luò)�����,這只是個時間問題���。同許多新的網(wǎng)絡(luò)技術(shù)一樣,學(xué)習(xí)IPv6的基礎(chǔ)知識是非常重要的��,特別是學(xué)習(xí)尋址方案和協(xié)議��,以便適應(yīng)事件的處理和相關(guān)的活動���。
安全工具需要升級��。IPv6不向下兼容����。用于整個網(wǎng)絡(luò)的通信路由和安全分析的硬件與軟件都要進行升級��,以支持IPv6協(xié)議�����,否則這些硬件和軟件都不支持IPv6。當(dāng)使用邊界保護設(shè)備的時候��,記住這一點是非常重要的�。為了兼容IPv6,路由器�����、防火墻和入侵檢測系統(tǒng)都需要軟件或者硬件升級�����。
現(xiàn)有的設(shè)備需要額外設(shè)置�。支持IPv6的設(shè)備把它當(dāng)成一個完全獨立的協(xié)議��。因此���,訪問控制列表�、規(guī)則庫和其他設(shè)置參數(shù)要重新進行評估�,并且要轉(zhuǎn)換為支持IPv6的環(huán)境。
隧道協(xié)議產(chǎn)生新的風(fēng)險����。網(wǎng)絡(luò)和安全團體已經(jīng)耗費了很多時間和精力確保IPv6是一個具有安全功能的協(xié)議。然而��,這種轉(zhuǎn)換的最大的風(fēng)險之一是使用隧道協(xié)議支持向IPv6的轉(zhuǎn)換。這些協(xié)議允許在IPv4數(shù)據(jù)流通過非兼容設(shè)備時把IPv6的通信隔離開����。因此,在你準(zhǔn)備好正式支持IPv6之前�,你的網(wǎng)絡(luò)用戶可以使用這些隧道協(xié)議運行IPv6。如果這是一個令人擔(dān)心的問題���,就在你的邊界內(nèi)封鎖IPv6隧道協(xié)議����。
IPv6自動設(shè)置可造成尋址的復(fù)雜性��。IPv6另一個有趣的功能是自動設(shè)置�����。自動設(shè)置功能允許系統(tǒng)自動獲得一個網(wǎng)絡(luò)地址�����,而不需要管理員的干預(yù)�����。IPv6支持兩種不同的自動設(shè)置技術(shù)。監(jiān)控狀態(tài)的自動設(shè)置使用DHCPv6�����,這是對目前的DHCP協(xié)議的簡單升級��,從安全的角度看并沒有很大的不同����。另外�,關(guān)注一下非監(jiān)控狀態(tài)的自動設(shè)置功能。這個技術(shù)允許系統(tǒng)產(chǎn)生自己的IP地址���,并且檢查地址的重復(fù)性��。從系統(tǒng)管理的角度說�,這種非集中化的方式可能更容易一些�,但是,對于跟蹤網(wǎng)絡(luò)資源使用情況的網(wǎng)絡(luò)管理員來說�,這種做法提出了很大的難題。
IPv6是革命性的�����。IPv6允許我們?yōu)槲磥硎甑臒o處不在的接入做好準(zhǔn)備。但是��,同其他的技術(shù)創(chuàng)新一樣�����,我們需要從安全的角度認(rèn)真關(guān)注IPv6���。(余叢)
轉(zhuǎn)自:人民郵電報
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”�����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊����,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場��。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
