购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.1.3 IPv6的安全性概述

IPv6是在IPv4基础上改进的下一代互联网协议,对其的研究和建设正逐步成为信息技术领域的热点之一,IPv6的网络安全研究和应用已成为下一代互联网研究中的一个重要领域。

1.IPv6的优势及特点

1)扩展地址空间及应用。IPv6设计之初主要是解决由于互联网迅速发展而导致IPv4地址空间将被耗尽的问题,以免影响整个互联网的进一步扩展。由于IPv4采用32位地址长度,大约只有43亿个地址,而IPv6采用128位地址长度,极大地扩展了IP地址空间。

IPv6的研发还解决了IPv4的其他多种问题,如安全性、端到端IP连接、服务质量(QoS)、多播、移动性和即插即用等功效。IPv6还对报头进行了重新设计,由一个简化长度固定的基本报头和多个可选的扩展报头组成。既可加快路由速度,又能灵活地支持多种应用,便于扩展新的应用。IPv4和IPv6的报头分别如图2-3和图2-4所示。

图2-3 IPv4的IP报头

图2-4 IPv6基本报头

2)提高网络的整体性能。IPv6的数据包可以超过64KB,使应用程序可利用最大传输单元(MTU)获得更快、更可靠的数据传输,并在设计上改进了选路结构,采用简化的报头定长结构和更合理的分段方法,使路由器加快数据包处理速度,从而提高了转发效率,并提高了网络的整体吞吐量等性能。

3)加强网络安全性能。IPv6以内嵌安全机制要求强制实现IP安全协议IPSec,提供支持数据源发认证、完整性和保密性的能力,同时可抗重放攻击。安全机制主要由两个扩展报头实现:认证头(Authentication Header,AH)和封装安全载荷(Encapsulation Security Payload,ESP)。

知识拓展

AH的功能及其安全性

4)提供更好的服务质量。IPv6在分组的头部中定义业务流类别字段和流标签字段两个重要参数,以提供对服务质量(Quality of Service,QoS)的支持。业务流类别字段将IP分组的优先级分为16个等级。对于需要特殊QoS的业务,可在IP数据包中设置相应的优先级,路由器根据IP包的优先级分别对这些数据进行不同处理。流标签用于定义任意一个传输的数据流,以便网络中的各结点可对此数据进行识别与特殊处理。

5)实现更好的组播功能。组播是一种将信息传递给已登记且计划接收该消息的主机功能,可同时给大量用户传递数据,传递过程只占用一些公共或专用带宽开销而不在整个网络广播,以减少带宽。IPv6还具有限制组播传递范围的一些特性,组播消息可被限于某一特定区域、公司、位置或其他约定范围,从而减少带宽的使用并提高安全性。

6)支持即插即用和移动性。当联网设备接入网络后,以自动配置可自动获取IP地址和必要的参数,实现即插即用,简化了网络管理,易于支持移动结点。IPv6不仅从IPv4中借鉴了很多概念和术语,还提供了移动IPv6所需的新功能。

7)提供必选的资源预留协议(Resource Reservation Protocol,RSVP)功能,用户可在从源点到目的地的路由器上预留带宽,以便提供确保服务质量的图像和其他实时业务。

2.IPv4与IPv6安全问题比较

通过比较IPv4和IPv6下的安全问题,发现有些安全问题的原理和特征基本无变化,有的地方引进IPv6后安全问题的原理和特征却发生了很大变化。主要包括以下内容。

1)与IPv4下的情况比较,原理和特征基本未发生变化的安全问题可划分为3类:网络层以上的安全问题;与网络层数据保密性和完整性相关的安全问题;与网络层可用性相关的安全问题。如窃听攻击、应用层攻击、中间人攻击和洪泛攻击等。

① 网络层以上的安全问题:主要是各种应用层的攻击,其原理和特征无任何变化。

② 网络层数据保密性和完整性相关的安全问题:主要是窃听和中间人攻击。由于IPSec没有解决大规模密钥分配和管理的难点,缺乏广泛的部署,在IPv6网络中,仍然存在相同的安全问题。

③ 与网络层可用性相关安全问题:主要是指网络系统的洪泛攻击,如TCP SYN flooding攻击等。

2)原理和特征发生明显变化的安全问题,主要包括4个方面。

① 侦测。是一种基本攻击方式,也是其他网络攻击方式的初始步骤。黑客为了能攻击得手,需要获得被攻击网络地址、服务和应用等尽可能多的情报。IPv4协议的子网地址空间只有28位容易被侦测,IPv6的默认子网地址空间为264位,安全很多。

知识拓展

IPv4协议容易被侦测

② 非授权访问。IPv6下的访问控制同IPv4下的情形类似,依赖防火墙或路由器访问控制表(ACL)等控制策略,由地址、端口等信息实施控制。对地址转换型防火墙,外网的终端看不到被保护主机的IP地址,使防火墙内部免受攻击,但是地址转换技术(NAT)和IPSec功能不匹配,在IPv6下很难穿越地址转换型防火墙以IPSec通信。对包过滤型防火墙,若采用IPSec的ESP,由于3层以上的信息不可见,更难控制。此外,对ICMP消息控制更需谨慎,由于ICMPv6对IPv6至关重要,如MTU发现、自动配置和重复地址检测等。

③ 篡改分组头部和分段信息。在IPv4网络中的设备和端系统都可以对分组进行分片,分片攻击通常用于两种情形:一是利用分片逃避网络监控设备,如防火墙和IDS;二是直接利用网络设备中协议栈实现的漏洞,以错误的分片分组头部信息直接对网络设备发动攻击。IPv6网络中的中间设备不再分片,由于多个IPv6扩展头的存在,防火墙很难计算有效数据包的最小尺寸,此时传输层协议报头有可能不在第一个分片分组内,从而使网络监控设备若不对分片进行重组,将无法实施基于端口信息的访问控制策略。

④ 伪造源地址。IPv4网络的源地址伪造的攻击很多,如SYN Flooding、UDP Flood Smurf等攻击。对其防范主要有两类方法:一是基于事前预防的过滤类方法,如准入过滤等;二是基于事后追查的回溯类方法,如Internet控制报文协议(Internet Control Message Protocol,ICMP)回溯和分组标记等。实际上,这些方案都存在部署困难等缺陷,由于存在网络地址转换(NAT),使攻击后追踪更难。在IPv6网络中,一是由于地址汇聚,过滤类方法实现更简单且负载更小;二是由于转换网络地址少且容易追踪。从IPv4向IPv6过渡,防止伪造源地址的分组穿越隧道成为一个重要课题。

3.IPv6的安全机制

1)协议安全。如上所述,在协议安全层面,IPv6全面支持认证头AH认证和封装安全有效载荷ESP扩展头。支持数据源发认证、完整性和抗重放攻击等。

2)网络安全。 IPv6的安全主要体现 在4个方面。

① 实现端到端安全。在两端主机上对报文IPSec进行封装,中间路由器实现对有IPSec扩展头的IPv6报文封装传输,可实现端到端安全。

② 提供内网安全。当内部主机与Internet上其他主机通信时,可通过配置IPSec网关实现内网安全。由于IPSec作为IPv6的扩展报头不能被中间路由器而只能被目的结点解析处理,因此,可利用IPSec隧道方式实现IPSec网关,也可通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术实现。后者的实现方式更灵活,有利于提供完善的内网安全,但较为复杂。

③ 由安全隧道构建安全VPN。通过IPv6的IPSec隧道实现的VPN,可在路由器之间建立IPSec安全隧道,是最常用的安全组建VPN的方式。IPSec网关路由器实际上是IPSec隧道的终点和起点,为了满足转发性能,需要路由器专用加密加速板卡。

④ 以隧道嵌套实现网络安全。通过隧道嵌套的方式可获得多重安全保护,当配置IPSec的主机通过安全隧道接入配置IPSec网关的路由器,且该路由器作为外部隧道的终点将外部隧道封装剥除时,嵌套的内部安全隧道便构成对内网的安全隔离。

3)其他安全保障。由于网络的安全威胁为多层且分布于各层之间,对于物理层的安全隐患,可通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境和加强安全管理进行防护。

知识拓展

物理层以上层面的安全措施

4.移动IPv6的安全性

移动IPv6是IPv6的一个重要组成部分,移动性是其最大的特点。引入的移动IP给网络带来了新的安全隐患,应采取特殊安全措施。

(1)移动IPv6的特性

从IPv4到IPv6使移动IP技术发生了根本性变化,IPv6的许多新特性也为结点移动性提供了更好的支持,如“无状态地址自动配置”和“邻居发现”等。IPv6组网技术极大地简化了网络重组,更有效促进了因特网移动性。

移动IPv6的高层协议辨识作为移动结点(Move Node,MN)唯一标识的归属地址。当MN移动到外网获得一个转交地址(Care-of Address,CoA)时,CoA和归属地址的映射关系称为一个“ 绑定 ”。MN通过绑定注册过程将CoA通知给位于归属网络的归属代理(Home Agent,HA)。之后,对端通信结点(Correspondent Node,CN)发往MN的数据包首先被路由到HA,然后HA根据MN的绑定关系,将数据包封装后发送给MN。为了优化迂回路由的转发效率,移动IPv6也允许MN直接将绑定消息发送到对端CN,无需经过HA的转发,即可实现MN和对端通信主机的直接通信。

(2)移动IPv6面临的安全威胁

移动IPv6基本工作流程只针对于理想状态的互联网,并未考虑现实网络的安全问题。而且,移动性的引入也会带来新的安全威胁,如对报文的窃听、篡改和拒绝服务攻击等。因此,在移动IPv6的具体实施中必须谨慎处理这些安全威胁,以免降低网络安全级别。

移动IP主要用于无线网络,不仅要面对无线网络所有的安全威胁,还要处理由移动性带来的新安全问题,所以,移动IP相对有线网络更加脆弱、复杂。另外,移动IPv6通过定义移动结点、HA和通信结点之间的信令机制,较好地解决了移动IPv4的三角路由问题,但在优化的同时也出现了新的安全问题。目前,移动IPv6受到的主要威胁包括拒绝服务攻击、重放攻击和信息窃取等。

知识拓展

移动IPv6可能受到的其他安全攻击

5.移动IPv6的安全机制

移动IPv6针对上述安全威胁,在注册消息中通过添加序列号以防范重放攻击,并在协议报文中引入时间随机数。对HA和通信结点可比较前后两个注册消息序列号,并结合随机数的散列值,判定注册消息是否为重放攻击。若消息序列号不匹配或随机数散列值不正确,则可视作过期注册消息,不予处理。

对其他形式的攻击,可利用<移动结点,通信结点>和<移动结点,归属代理>之间的信令消息传递进行有效防范。移动结点和归属代理之间可通过建立IPSec安全联盟,以保护信令消息和业务流量。由于移动结点归属地址和归属代理为已知,所以可以预先为移动结点和归属代理配置安全联盟,并使用IPSec AH和ESP建立安全隧道,提供数据源认证、完整性检查、数据加密和重放攻击防护。

知识拓展

移动IPv6对移动结点和通信结点之间的保护

讨论思考

1)从互联网发展角度看,网络安全问题的主要原因是什么?

2)IPv6在安全性方面具有哪些优势? 9IgYtDxN5T/s5VEdXDbVw+aN1zYZfJWUo/ptBEn0zrJgMir9iSbFn88WHVU+jYik

点击中间区域
呼出菜单
上一章
目录
下一章
×