摘 要:1995年12月,IETF提出的RFC2460标准协议,标志IPv6的产生。到20世纪末,IPv6协议得到了进一步的更新和完善,一个完整的协议体系基本上形成。IPv6的产生,是对IPv4协议的升级和优化,可以说是下一代网络体系的核心。IPv6的出现,可以解决IPv4地址面临枯竭的致命缺陷,并且在地址分类、报文格式、可靠性、服务质量、移动性、寻径效率、ICMP等诸多方面进行了协议优化和更新,使之更加适应下一代网络运行的发展需要。论文通过对IPv4协议的缺陷进行分析,进而归纳出其引发的一系列安全问题,在此基础上论述了在网络安全领域IPv6较IPv4协议的优势,以及IPv6协议引入后可能带来的新的安全问题,在此基础之上提出电信网络应对IPv6的安全体系策略构建。
关键词:IPv6;网络安全;IP协议;构建策略;计算机网络
1 引言
随着信息化网络的不断发展和互联网用户数量的不断增加,IP互联网的脆弱性也慢慢的暴露在大家面前,如互联网IP资源受限,网络质量得不到保障,越来越多的安全隐患出现等。已经沿用至今的网络层协议IPv4会逐渐被IPv6协议所取代,成为下一代互联网发展的趋势之一。下一代互联网将带来更快的用户体验、更多的Web应用、更大的扩展规模,但安全隐患也会越来越多。因此,研究怎么样去分析和处理下一代互联网的安全隐患,就显得尤为必要。
2 解析IPv4协议之不足
众所周知,目前世界上在使用的IPv4地址资源数量已经严重不足,除了使用像DHCP等各种技术来缓解IPv4地址短缺问题以外,在大多数情况下,我们都是基于私有IP地址与网络地址转换技术相结合的方式来解决地址不足的网络设计弊端。譬如通过ADSL技术等各种拨号上网方式、众多企业网络与校园网用户基本都是使用私有IPv4地址范围,接入互联网主要是通过网络地址转换技术来实现。这种实现方式很难保证网络传输效率和协议应用安全性。
2.1 基于联网信任可靠的问题
网络互连可信度不高主要由于其应用优先的设计思路造成的,互联网设计者的本意是为了实现方便快捷的连通。初始的TCP/IP协议族缺少对发起请求的IP地址的验证,而采用NAT/MAP地址映射隐藏提供可复用的IP地址。相关文献指出,目前互联网中垃圾郵件和病毒邮件的泛滥,根源在于数亿网民没有属于自己的公网IP地址资源。IP地址欺骗、身份伪造、钓鱼攻击、拒绝服务攻击、IP包头篡改、反射攻击,正是多种多样的匿名方式使得攻击者能够不暴露自己的真实地址躲避对起行为的追查。
2.2 C2C连接特性
由于使用地址转换技术导致网络穿透性差,对一些应用程序在应用层协议中包涵上层协议信息,以及部分需要在后端进行认证、加密的程序都无法有效支持。导致IP协议C2C的连接特性被破坏,使得在C2C层面特定应用无法加载,成为快速连接的障碍。
2.3 网络传输加密
IPSEC作为传统互联网的加密方法,在IPv4协议中IPSec协议没有硬性规定使用。而且就算使用了IPSec通讯,一般情况下也是通过网关对网关的方式在边界部署。采用NAT与IPSec会出现不匹配,很可能在NAT环境下无法启用,同时也不支持VPN的扩展,这些问题导致网络加密传输没有得到广泛的应用。
3 解析IPv6协议的改进
3.1 简析IPSec安全协议
与IPv4协议有明显差异,IPSec协议已经是IPv6协议中的必选安全协议而不是扩展可选协议。IPSec协议可以为IP提供“加密传输特性”,这些特性包括身份源验证、访问控制、机密性保证机制、数据完整性检查,以及防止重放攻击等。为了提高路由协议的抗攻击的能力,已经有部分新的路由协议采用IPSec来对路由表信息进行加密和认证,如OSPFv3 和 RIPng。
IPSec协议簇主要包括几个方面。AH:认证报头;ESP:封装化安全载荷;IKE:Internet密钥交换,以及强制转码类型等相关组件。AH用于保证数据的一致性。它要校验源地址和目的地址这些标明发送/接收设备的字段是否在路由过程中被改变。如果未通过校验,数据包就会被抛弃。通过这种方式,AH为数据的完整性和原始性提供了鉴定依据。ESP用于保证数据的机密性和数据的一致性。ESP报头提供集成功能和IP数据的可靠性。集成保证数据不被恶意破坏,可靠性保证使用密码技术的安全。IKE采用密钥交换协议自动实现通信双方安全参数的可靠协商与获取,进而能够最大程度地保证网络层的通信安全。
3.2 保障C2C的安全通讯
IPv6最大的优势在于保障C2C的安全,采取端到端安全和移动性安全,可以满足互联网用户的安全需求。与IPv4不同点,NAT技术在IPv6中不能应用,这种特性决定了IPv6协议在互联网通信是具有全球唯一性的地址。对于一个建立了的IPv6连接,需要端到端节点进行IPSec封装数据包,如果有IPSec扩展头的IPv6数据包进行网间传输,可以使用包括通信验证和数据加密保护等技术,使得在IPv6协议下网间传输数据不会泄漏。
3.3 源地址校验与地址分配机制
与IPv4协议不同的是,Linklocal即本地子网地址、Sitelocal即本地网络地址都属于IPv6协议提出的新的地址概念。IPv6地址概念与分配机制完全可以提高企业网络运维人员网络安全管理的效率。若某节点仅需要联系一个子网内的其他节点,网络运维人员仅把一个本地子网地址分配给此节点就可以了;若某服务节点由于特殊应用需要导致所提供服务只针对企业内网使用者,那么仅给这台服务节点分配一个本地网络地址就可以了,这样服务节点就不能提供访问服务给企业网外部的任何人。
地址重复检测机制(DAD:Duplicate Address Detection)检测和确定节点想使用的IP地址是否已经在网络中配置使用,如果已被占用,则拒绝为该节点网络接口赋予该地址,而另行指派地址,解决安全引导(Boot-strap)问题。
3.4 未授权禁止访问机制
IPv6在未授权访问的防护机制上进行了增强,这主要归功于IPv6协议对身份验证能力的加强,以及对完整性和机密性要素的支持、改善,这些增强机制使得那些对资源有特别处理要求和敏感信息的应用更加合适选用IPv6协议。
4 IPv6之安全缺陷
由于IPv6协议是新技术,目前只是属于IPv6初期商用阶段,还需要在大量的实践应用中去不断完善此协议,所以IPv6同样也存在未知安全隐患。
4.1 拒绝服务攻击隐患
由于加密/解密过程需要开销大量的计算资源,若恶意攻击者向攻击目标发送大量加密数据包请求解密,被攻击目标则被迫消耗计算资源来验证攻击数据包是否合法,可能造成被攻击主机瘫痪,拒绝响应其他网络用户的服务请求,造成目标主机停止服务。
与此同时,仔细分析拒绝服务攻击的方式,IPv6中的组播地址定义方式就完全可以被利用。举个例子:我们已经知道,FF05::5这个地址在IPv6协议中代表所有的DHCP服务器,FF05::2这个地址在IPv6协议中代表所有的路由器,IPv6数据包如果流向这类地址,那么,网络当中所存在的DHCP服务器以及路由器就都会收到数据包,攻击者正是利用此种缺陷来发起大规模拒绝服务攻击,导致整个网络瘫痪。
4.2 对于传统防火墙影响
如果在防火墙两端采用IPSec协议进行数据传输,并应用密钥不公开多种加密算法(3DES、RSA等),则防火墙无法解密流经的数据包,从而无从识别协议端口号,导致访问控制规则不能工作。
对于IPv6协议而言,则要求所有的IPv6主机接受并处理IPv6的路由扩展报头,并对扩展报头内的数据包进行路由转发。导致有可能被黑客修改这个路由扩展报头来改变数据包的转发方向,从而绕过网络防火墙。
4.3 IPv4与IPv6两种协议过渡阶段带来的安全隐患
IPv4和IPv6两种协议在各自的应用中存在安全隐患,那么在两种协议替换过渡阶段也会产生一些新的安全隐患。
经过短暂时间的研究成果,已经发现一部分过渡阶段的安全隐患,譬如对于采用了IPv6和IPv4两种协议的局域网中,黑客可以使用IPv6技术非法访问其中的网络资源。跟采用任何一种新的网络协议一样,要往IPv6协议进行平滑转移,都需要对防火墙进行策略调整,根据具体网络设备部署情況,规划和测试防火墙的防护措施和配置策略。
5 在IPv6环境下运营商网络的安全策略构建
当前,在IPv6逐步取代IPv4的关键时期,为了构建更加安全可靠的互联网,必须对过渡时期以及今后的IPv6阶段进行安全保障体系的规划。
第一,基于从安全组织管理体系的建设从发,再到具体实施IPv6运行管理技术体系,最终提高安全基础设施的效能。
第二,通过分析IPv4环境下的各种安全优化方案并提取出有规律的措施,从而协助分析IPv6环境下的安全隐患,最终解决和屏蔽掉过渡时期IPv6协议面临的特殊威胁。
第三,从分析以及解决IPv6安全问题的现状出发,积极研究支持IPv6协议的网络安全设备以及促进其产品的成熟。由于IPv6协议已经开始使用,所以目前最紧迫的事情就是大力研发和推出常规的安全防护产品,同时随着IPv6协议的发展和面临复杂的部署环境要求这些安全防护产品不断改进。电信运营商也可以和众多专业安全厂商一起研究各种新兴安全产品来处理新型的IPv6安全威胁。
6 结束语
IPv6协议在网络完整性和保密性方面较IPv4协议都有了改善,同时也保证了抗否认性和可控性层面的稳定性和灵活性。但是,IPv6协议毕竟只是一种年轻的技术,它本身还需要一个长期发展和完善的过程,而在这个过程中必然会带来各种意想不到的安全隐患。目前几乎大部分的攻击行为和外在威胁都来自与应用层而不是网络层,所以要保障信息网络的整体安全,仅靠几项技术是不可能实现的,还需要整合多种技术和手段。由于IPv6时代已经来临,电信运营商对于IPv6网络建设、引入安全隐患的防护措施等问题开始高度重视,各种针对此类的研究陆续开展,本文给出的现阶段电信运营商IPv6环境下的安全构建策略对于电信行业进一步拓展以IPv6为基础的网络安全业务有一定的指导作用。
参考文献
[1]德斯穆尔斯(加),王玲芳,等.Cisco IPv6网络实现技术[M].北京:人民邮电出版社,2004年01月.
[2][美]霍格,等.王玲芳,等译.IPv6安全[M].北京:人民邮电出版社, 2011-5-1.
[3]陈运清.构建运营级IPv6网络[M].北京:电子工业出版社,2012-3-1.
[4](美)麦克法兰德,等著,孙余强,孙剑,译.IPv6在企业网络中的部署[M].北京:人民邮电出版社,2012-1-1.