1安全問題爆發的原因
隨著網絡的發展,互聯網上巨大的利益誘惑,使得互聯網上的攻擊并不像以往那么單純了。現代網絡周邊環境的封閉性已經被打破,市場對于支持居家辦公網絡、分支機構連通性網絡、無線移動性網絡和新的企業到企業網絡的需求不斷增加,確保網絡安全性和可用性已經成為更加復雜的任務。
2下一代互聯網的安全性
基于IPv4協議的互聯網向IPv6協議的下一代互聯網發展已經是不爭的發展之路,下一代互聯網的研究和建設正逐步成為信息技術領域的熱點和不可或缺的重要領域。相對于傳統的IPv4網絡,IPv6為網絡安全帶來了很多好處,主要包括以下幾個方面。
⑴可溯源性
IPv6巨大的地址空間帶來了網絡的可溯源性。在IPv4網絡中,由于網絡地址少而必須布置的NAT存在,使得攻擊發生后的追蹤變得尤其困難。這導致目前采用的基于事前預防的過濾類方法或是基于事后追查的回溯類方法都存在部署困難的缺陷,使得安全的保障性大大降低。隨著IPv6的逐步部署,巨大的地址空間使得每個用戶都可以獲得惟一的網絡IPv6地址,該地址可以和用戶的個人信息綁定,更加有利于互聯網的溯源行為。由于溯源行為的簡單化,網絡罪犯可能被發現并獲得懲罰的可能性提高,互聯網上的行為就能夠受到更多的約束,從而降低了網絡的犯罪率,帶來一個較為安全的網絡。不僅如此,IPv6的地址匯聚、過濾類的方法實現會更簡單,負載更小;另一方面由于節點不需要使用NAT就可以和對方溝通,不需要網絡地址的轉換,追蹤更容易,不論客戶以何種方式連接,都能夠通過簡單的過濾完成對節點地址的控制,提高了網絡的安全性。
⑵反偵察能力
除個人信息和地址綁定帶來可溯源的安全性之外,另一方面由于龐大的IPv6地址,使得在IPv4網絡中常常被黑客使用的偵察在IPv6網絡中變得更加困難。偵察是很多其他網絡攻擊方式的初始步驟,網絡攻擊者能夠通過偵察獲得信息,進一步獲得關于被攻擊網絡地址、服務、應用等內容,為下一步的攻擊做準備。據計算,在一個擁有1萬個主機的IPv6子網中,假設地址隨機均勻分布,以一百萬次每秒的速度掃描,發現第一個主機所需要的時間均值超過28年。這使得網絡偵察變得極為困難,從而防范進一步攻擊的發生,也降低了攻擊可能帶來的危害程度。
⑶NDP和SEND
巨大的IPv6地址帶來了網絡安全的第一層保護——可溯源和反偵察,而第二層保護來自于IPv6協議本身針對網絡安全作出的更多改善,比如IPv6取消了ARP。在IPv6中,ARP的功能被鄰居發現協議(NeighborDiscoveryProtocol,NDP)所代替。鄰居發現協議通過發現鏈路上的其他節點,判斷其他節點的地址,尋找可用路由,并保存可到達的其他節點的信息來保證通信。對比ARP,NDP僅在鏈路層實現,更加獨立于傳輸介質。同時IPv6協議中的NDP,相對于IPv4下的NDP補充了鄰居不可達發現(NeighborUnreachabilityDetection,NUD),加強了IP包在節點路由間傳遞的健壯性。此外,下一代互聯網的安全鄰居發現(SEcureNeighborDiscovery,SEND)(RFC3971)協議通過獨立于IPSec的另一種加密方式(CryptographicallyGeneratedAddress),保證了傳輸的安全性。
⑷強制實現的IPSec能力
IPv6的另一個安全性體現是來自其要求強制實現IPSec的能力。IPSec為IPv6網絡中的每個節點提供了數據源認證、完整性和保密性的能力,同時還可以使節點有能力抵抗重放攻擊。通過兩個擴展報頭——認證頭(AuthenticationHeader,AH)和封裝安全載荷(EncapsulationSecurityPayload,ESP)將安全機制內嵌在協議之中。其中AH實現保護數據完整性(即不被非法篡改)、數據源發認證(即防止源地址假冒)和抗重放(Replay)攻擊3個功能,而ESP則在AH所實現的安全功能基礎上,增加了對數據保密性的支持。
除了以上4點之外,IPv6還著重考慮了移動互聯網的安全。RFC3775專為移動IPv6下的安全性做了充分的考慮和討論。IPv6使用優化的路由和家鄉地址來保證移動IPv6下的信息安全傳輸,回復IPv6路由檢查可以用來確定不論節點移動到任何地方,都能被指回原節點地址。
3IPv6可能存在的安全隱患
盡管IPv6設定之初就已經開始考慮安全問題,也確實為網絡安全來帶了不少的好處,但是IPv6并不是萬能靈藥。任播服務、分片攻擊、路由頭協議、ICMPv6、碎片包、SLAAC和巨大地址數量都可能給下一代互聯網帶來潛在危險。
⑴任播服務
偵測是大部分攻擊采取的第一步。IPv6協議提高了效率,簡化了處理過程,然而也帶來了探測的便利性。比如IPv6協議中提供的任播服務(Any-cast),壞節點可以通過收集Any-cast回復訊息來探索想要攻擊的網絡內部的具體情況,為進一步攻擊做好準備。應對方法可以通過防火墻或其他安全設備嚴格篩選,尤其是嚴格控制或者隔絕任何來自可信任域外部的Any-cast請求來完成。另一個需要考慮的問題是,隨著IPv6對IPSec的普遍支持,對于包過濾型防火墻,如果使用IPSec的ESP,3層以上的信息不可見,控制難度增加。在IPSec條件下阻止對方的Any-cast,要求對IPSec進行有效地控制和檢測,這將會是下一代互聯網中一個巨大的挑戰。
⑵分片攻擊
IPv6下的訪問控制同樣依賴防火墻或者路由器訪問控制表(ACL)等控制策略,根據地址、端口等信息實施控制,而分片攻擊可以利用分片逃避網絡監控設備,如防火墻和IDS。由于多個IPv6擴展頭的存在,防火墻很難計算有效數據報的最小尺寸,甚至傳輸層協議報頭不在第一個分片分組內的可能,這使得網絡監控設備僅僅檢查IPv6包的頭部無法進行訪問控制。要保證防火墻能夠真正阻隔這些探測和攻擊,需要監控設備對分片進行重組來實施基于端口信息的訪問控制策略。
⑶路由頭協定
另一種繞過防火墻的方式是利用IPv6的路由頭協定。IPv6協議決定了任何節點必須要能夠處理IPv6的路由頭判定下一跳的信息,這允許某一個節點處理通過路由頭中對下一跳的內容指定,誘導其他節點將收到的流量轉發出去。這樣路由頭可能被用來繞過某些節點的輸入地址控制,而利用一些公共的受信任的節點來轉發“壞節點”的內容,以達到躲過訪問控制,竊取目的節點信息或發動攻擊的目的。要避免這樣的情況,需要防火墻或者公共受信任的節點的監控系統必須對轉發包內的每一跳的地址仔細查詢,這需要具有極高的性能判斷每條地址,并有效地將有危險性的地址攔截住,但這樣也可能導致防火墻和內部網絡溝通不良,從而造成對新地址的內容無法轉發等,因此需要根據網絡內部情況對防火墻的設置進行最佳處理,以達到安全和通信的雙重保障。
⑷ICMPv6
IPv6協議中的ICMPv6允許組播的時候地址方回復一個錯誤的原因。這從某一方面說是對通信本身有利,然而這可能被某些節點利用,比如偽裝想要攻擊的地址,發出某條不合理的組播信息,來誘導大量的目的節點發出錯誤回復、報告錯誤原因,這樣就可以引起一連串回復攻擊,造成該地址的服務停止,或者網絡的資源損耗,影響網絡質量。對于這種情況,網絡需要的是對組播發出地址使用返回路徑巡查,防止地址的偽裝,避免利用組播錯誤信息實現DDOS或其他攻擊。在IPv4向IPv6過渡時,如何防止偽造源地址的分組穿越隧道成為一個重要的問題。此外,對于ICMP消息的控制需要更加小心,因為ICMPv6對IPv6至關重要,如MTU發現、自動配置、重復地址檢測等。
⑸地址定義
IPv6中的組播地址定義方式給攻擊者帶來了一些機會。IPv6地址定義FF05::2為所有路由器,而FF05::3是所有的DHCP服務器。通過對所有路由器的組播或者所有DHCP服務器的組播,可能讓攻擊者定位這些重要資源的地址和位置信息,所以可能會出現一些專門攻擊這些服務器的拒絕服務攻擊。嚴格控制可以發出組播信息的節點或是篩選組播服務的可用命令對降低這種攻擊的可能性將會有重要的積極作用。
⑹碎片包
攻擊的另一種方式可能來自在IPv6協議下使用較大的包文件,利用錯誤的分片分組頭部信息直接對網絡設備發動攻擊。攻擊者可以使用間斷的、不帶結尾的碎片包來沖擊主機的緩存,并以此來浪費大量的CPU資源。有效地控制分割碎片的大小或者數量,可以降低發生這樣事情的概率。
⑺SLAAC
IPv6支持任一節點都有可能向DNS上傳域名和地址的SLAAC協議,以此來提高DNS的更新速率,但是這樣也會增加冒用域名的風險。如果DNS使用SLAAC作為其更新的手段之一,必須要確定向其更新的節點的安全性,就如同DHCP中一樣。目前已經提出了新的DNSSec來保證DNS的安全性,然而在此之前,需要的是對上傳的域名信息的認真審核,來盡量降低這種偽造可能帶來的巨大風險。
⑻默認協議開啟
IPv6和IPv4的長時間共存已經是大家的共識,而兩種協議并存的過程中也會有一些問題。由于現在IPv6下的保護軟件不充分,很多IPv4下被禁止的服務可能因疏忽由IPv6進入。比如IPv6下的Telnet默認開啟,對于很多在IPv4下禁止用戶隨意連接的主機而言,攻擊者現在可以通過IPv6連接到用戶的主機上,所以很多用戶需要再次使用命令阻止IPv6下的Telnet連接。
⑼巨大地址空間
在下一代互聯網中,掃描威脅由于巨大地址空間而顯得較為薄弱,但對于掃描的防護依然是不可輕視的。攻擊者可以通過運用一些策略,來簡化和加快子網掃描。例如通過DNS發現主機地址;猜測管理員經常采用的一些簡單的地址;由于站點地址通常采用網卡地址,可以用廠商的網卡地址范圍縮小掃描空間;攻破DNS或路由器,讀取其緩存信息等,仍然需要對全網掃描這種行為的嚴格控制。同時由于每個節點都可以獲得多個IPv6的全局地址,這會導致防火墻的過濾變得復雜,并且可能需要更多的資源來管理。
4下一代互聯網的安全策略
未來的互聯網具有巨大地址空間的優勢,更保持了原來互聯網一貫的開放和創新的基礎,勢必會有更多的機器連接其上,如物聯網和移動互聯網。這會為互聯網帶來更多的信息,創造出更多的機會和利益。要解決下一代互聯網的安全問題,首先要提高用戶對網絡安全的重視以及網絡安全知識的普及,這需要政府和社會的共同努力。只有正視互聯網的安全問題,并認真嚴謹地對待這些問題,才能保證網絡本身的安全和可持續發展,為連接在互聯網上的用戶提供真正安心的服務。
其次,通過傳統網絡多年的經驗,運營商作為下一代互聯網的提供者,在建設之初就應該結合下一代互聯網的特點和潛在問題制定合適的安全措施。IPv6不是萬能靈藥,基于應用層的病毒和互聯網蠕蟲是一定會存在的,病毒還是會繼續傳播,同時IPv6自身也會有些不能避免的安全隱患。只有不斷了解其可能存在的威脅,并提前準備防范甚至解決這些安全問題,才能構建可信任的下一代互聯網,保持互聯網穩定和健康的持續發展。這一方面包括利用IPv6本身的浩瀚地址,提供每個用戶惟一的固定地址,以此提高網絡本身可溯源性。同時,也可以通過溯源性,在監測用戶在網絡上的行為并采取適當的行動來達到安全監管的目的,如發現壞節點行為的同時,向其他節點發出警示或者直接停止壞節點的網絡服務,或者為網絡犯罪后提供追蹤溯源服務等。各種監管方式各有利弊,需要通過較長時間研究和經驗總結,結合不同的需要以及對實驗效果的選擇來完成。
最后,應在下一代互聯網部署之時就考慮建立新型的安全架構。比如采取各個節點自制的安全架構、部署在普通用戶側的下一代防火墻和安全控制服務,通過較為完備的防范措施,未雨綢繆,打造一個對于網絡使用者更為安全的網絡
結束語
雖然在IPv6下對互聯網網絡安全的研究已經有了長足的改進,但是任何事情沒有十全十美的。IPv6協議本身并不能完全解決安全問題,為了提高性能的妥協甚至可能為某些安全攻擊創造了捷徑,因而在下一代互聯網中,應該更加關注網絡的安全性。只有不斷學習,總結經驗,才能防患于未然;時刻注意網絡安全動態,才能隨時對已經暴露出的和潛在的安全漏洞進行修補。有理由相信,隨著下一代互聯網業務的開展以及國家規范網上行為的法律法規出臺,下一代互聯網一定能為網絡用戶提供更優秀和安全的網絡環境
京公網安備 11010502049343號