栏目编辑:叶纯青E-mail:**************
IPv6规模部署下网络安全风险防范
■ 中国人民银行永州市中心支行 何淑玲 陈世清
摘要:IPv6作为新一代互联网IP协议,有效解决了IPv4网络地址不足的问题,也展示出了安全性高、通信效
率高、网络管理方便等诸多优点,但IPv6协议本身也存在设计缺陷。因网络升级是个渐进过程,IPv4和IPv6双栈将
长期共存,新形势下金融业缺乏具有技术水平的专业安全人员等因素带来了新的网络安全隐患。在IPv4向IPv6大
规模部署升级进程中,随着应用规模的扩大,IPv6安全事件不断出现。本文介绍了IPv6的主要优点,同时也分析了
在IPv6本身的漏洞,及IPv4向IPv6过渡过程中和IPv6自身存在的诸多风险,最后给出了充分利用IPv6协议优势防范
风险等针对性的解决办法,以期促进IPv6的大规模部署,确保网络系统安全。
关键词:网络安全;协议;风险防范
一、引言
自从2017年《推进互联网协议第六版(IPv6)规模部署行动计划》发布以来,经过数年的努力,我国电信网络基础设施IPv6改造已全面完成。目前IPv6正在政府部门的推动下大规模部署,中国也拥有了IPv6根服务器。截至2019年7月,全国已有12.78亿用户获得IPv6地址,主要互联网应用活跃用户数已达2.01亿户。政府网、政务网、中央媒体、中央企业网站和各大门户网站均已实现IPv6升级改造,已能支持IPv4和IPv6访问,各行业内网升级改造也正逐步展开。我国将长期处于IPv4和IPv6的混合环境之下,从而也带来了新的安全挑战,新形式下的风险防范亟待关注,如何做好新环境下的安全防护,也将是今后的重要课题。
二、IPv6协议相对于IPv4的优点
IPv6是数据包交换互联网络的网络层协议,主要用于寻址和路由。与IPv4相比,该协议具有以下优点。
一是IPv6拥有128位的地址空间,地址分配遵循聚类(Aggregation)的原则,不需要再使用NAT协议进行地址转换,减少了网络时延,提高信息传输效率。二是IPv6采用层次化的地址分配方法,使用密码生成地址方法,并用公私钥对身份进行验证,防止假冒,访问控
作者简介: 何淑玲(1985-),女,湖南永州人,助理工程师,供职于中国人民银行永州市中心支行,研究方向:网络安全与科技     管理;
     陈世清(1973-),男,湖南永州人,软件工程硕士,工程师,供职于中国人民银行永州市中心支行,研究方向:网络安     全与科技管理。
tcp ip协议的安全隐患
收稿日期: 2020-11-10
栏目编辑:叶纯青E-mail:**************
制列表更加简单。三是安全性大幅提高。首先,IPv6地址空间庞大,极大地增加了入侵者扫描检测的难度,在一定程度上降低了DDoS攻击发生的可能性。其次,在IPv6协议中,强制实施IPSec(IPSecurity),为通信双方提供数据完整性保护、数据内容的机密性验证、有限的数据流机密性保证
和数据起源验证,并提供了抗重播保护。因而可将用户、报文和攻击一一对应,防止用户抵赖,实现对用户行为的安全监控。再次,IPv6增加了增强的组播(Multicast)支持并废除了广播地址,为服务质量(QoS,Quality of Service)控制提供了良好的网络平台,可有效避免利用广播地址发起的广播风暴和DDoS攻击。最后,IPv6协议禁用了链路层组播、广播数据包和源地址不是唯一识别的单个节点的数据包,因此能防止由ICMPv6报文造成的放大攻击。四是采用流标签,简化数据报文,实现更快的数据包处理,可对多媒体数据流提供更多的服务质量控制能力。五是IPv6可使用新的选项来实现附加的功能,根据新的技术或应用需要,对协议进行扩充。六是IPv6使用无状态地址自动配置协议(SLAAC)和IPv6动态主机配置协议自动配置协议,可不需要服务器或使用DHCPv6服务器管理地址池对地址进行管理,使得网络(尤其是局域网)的管理更加方便和快捷,增强了移动终端的移动特性、安全特性、路由特性,降低了管理网络地址的难度。
三、IPv6大规模部署过程中存在的风险
虽然IPv6有效解决了网络地址不足的问题,也具备诸多优点,但是在IPv4向IPv6大规模部署升级进程中,双栈机制的长期并存以及IPv6协议与生俱来的安全问题急需关注。随着应用规模的扩大,IPv6安全事件不断出现,如何防范新形势下的网络安全风险,需要各方共同努力,不懈研究。
(一)IPv6协议本身存在缺陷漏洞
首先,在IPv6中,中间节点不能对分段数据包进行处理,只有端系统可以对IP数据包进行分段与重组,攻击者可能借助该性质构造恶意数据包,进行分片攻击。其次,IPv6自有的IPSec需要使用密钥分发技术。该技术总体上并不成熟,管理成本高,会导致防火墙/IDS无法对负载数据进行解密和分析,不能获取TCP与UDP端口号而导致数据包检测失效,给攻击者以可乘之机。最后,RH0路由类型提供的流量放大机制,攻击者可利用路由报头选项伪装成合法用户并接收返回的数据包,截取信息及进行拒绝服务攻击。由于IPv6可进行端对端直接通信,取消了NAT协议,这导致了内网的结构及相关信息暴露,从而遭受到网络攻击。
(二)IPv4向IPv6的过渡技术与方案可能带来安全隐患
首先,在IPv4向IPv6大规模部署中,可使用的过渡技术有IPv4/IPv6双栈、IPv6隧道和地址转换3种。而应用IPv6协议在给原有的网络架构带来新变化的同时,也会产生新的安全风险。在过渡阶段,因两种网络协议共存,相互间存在通信需求。倘若双栈主机不具备IPv6网络下的安全防护措施,攻击者可能通过包含IPv6前缀的路由以应答的方式激活双栈主机的IPv6地址的初始化,进而实施攻击。IPv6采用IPSec利用隧道技术进行通信时,还面临着隧道注入、隧道嗅探攻击的危险。在采用地址转换过渡时,实现地址转换的关键设备因存放有链路上经过的敏感地址信息,容易遭到入侵者攻击。
其次,运营商所选择部署的各种过渡技术,因缺乏经过检验的IPv6安全防范经验,可能会存在安全隐患。
再者,在现有安全设备上开启IPv4/IPv6双栈功能后,因为IPv6协议要共享硬件资源,会降低系统传送速率、通信效率,影响用户使用体验。
最后,IPv6与IPv4使用遂道进行加密传输时,因协议设计方面的缺陷,在遂道认证、遂道自动切断和过滤与统计方面还存在许多安全隐患。
栏目编辑:叶纯青E-mail:**************
(三)互联网固有风险
首先,因互联网的开放性,所有人都可以借助其获取信息,这给入侵者提供了通过物理线路进行信息窃听或篡改的机会,设备、系统和功能软件的漏洞也为扫描攻击提供了机会。其次,数据库攻击风险大幅增加。随着各行业数据逐步集中到数据中心,系统、存储与数据库服务逐步云化,数据管理越来越复杂,牵涉到的应用技术越来越广,对运维管理人员的能力要求越来越高,同时,存在的漏洞与安全隐患增多,遭受攻击的概率加大,数据库的完整性、准确性、可靠性和可用性难以得到保障。再者,防火墙本身固有的缺陷。防火墙是内外部网络之间的网络安全系统,保护内部网络免受外部非法用户的侵入,但是其无法阻止入侵者从内部对网络进行攻击。此外,自然灾害、管理不当等,也会造成整个计算机系
统与通信设备的瘫痪,影响系统的可用性和可靠性。最后,IPv6仅是IP包头、寻址方式发生了变化,仍然存在ARP、蠕虫攻击和病毒传播、应用层欺诈、泛洪攻击的可能性。
(四)IPv6网络安全防护能力不足风险
IPv6是新生事物,还未在全球大规模普及。目前已部署上线的IPv6网站、系统及应用尚未普及。IPv6 安防研究不够深入,技术支持力量薄弱。因市场规模和收益有限,目前市场对IPv6安全产品发展的驱动效应尚未全面显现,我国IPv6安全产品仍处于起步发展阶段,可用的安全产品与服务不多。IPv6安全验证环境的缺失也将导致IPv6应用代码缺陷、安全漏洞等安全问题不能得到全面和深入的验证。同时,缺乏对IPv6有深入了解的专业安全人员,人员综合素质跟不上时代的发展,大部分网络安全管理人员仍停留在IPv4的管理水平上。
四、IPv6大规模部署时的风险防范对策
IPv6作为下一代互联网的关键性技术,正逐步取代IPv4成为支撑互联网运转的核心协议,安全风险也逐步显现。因此,必须未雨绸缪,做好网络风险防范,确保信息和网络设施安全。
(一)固本强基,充分利用IPv6协议优势防范风险堡垒最容易从内部被攻破,打铁还需自身硬。首先,要做好IPv6及相关应用的安全质量评估、健壮性和渗透性测试,不断进行攻防演练,测试和堵塞IPv6协
议漏洞,切实改进IPv6协议机制,修改报文头组成部分,从根本上防范协议自身带来的风险。其次,要充分利用IPv6逐级、层次化分配密码生成地址的方法,对生成地址进行加密认证,防止设备仿冒接入和中间人攻击,从而消除源地址欺骗和利用邻居发现协议攻击的隐患。两者,要强化IPSec安全机制,充分利用IPSec协议的不可否认性、反重播性、数据完整性和数据可靠性,在配置IPv6协议时增加隧道机制内置认证、完整性和加密等安全功能,防止隧道注入、隧道嗅探,提升IPSec的吞吐能力。最后,针对IPv6网络没有地址转换而带来的内网结构及相关信息暴露问题,可以利用IPv6新增的隐私扩展机制,隐藏真实的通信地址,防止关键信息暴露,确保网络安全。
(二)精心设计IPv4向IPv6过渡方案,采用合理的技术与策略规避风险
在规划网络时,要根据现有的网络设施能力,依据业务发展的需要,精心设计网络升级方案。在采购网络设备时,要选择同时支持IPv4与IPv6协议的国产的安可网络设备,充分考虑IPv6网络设备对原有IPv4网络带来的风险隐患,合理地平衡网络安全与业务开拓的需要。采用客户端和遂道认证、用户端发送Keep-alive消息和包过滤等多种安全技术手段结合,规避IPv6与IPv4网络之间的交叉感染。由于IPv6的地址、协议与IPv4有所不同,需要在防火墙、路由器、入侵检测和上网行为管理系统等安全设备上配置合乎业务需要的访问控制策略,关闭不必要的服务、禁止源路由,并实施单播反向路由查技术,防止基于源地址欺骗的网络攻击行为。要根据网络使用实际,管理
栏目编辑:叶纯青E-mail:**************
IPv6协议各层通信,做好安全域的访问与隔离控制,采用恰当的网络过滤机制,实施网络接入许可。需谨慎设置ICMPv6报文的访问策略,根据实际情况选择合适的安全措施,例如配置ACL白名单,仅允许必须的ICMPv6等报文通过,接口关闭ICMPv6重定向、端口停止发送RA消息,关闭发送ICMP不可达信息,关闭源路由,防止Type 0 Routing Header攻击等,以免影响正常的服务和应用。在防火墙上需设置扩展头检查规则,设置具有选择发送和重组到网络中间设备的分片的能力,并支持防范DDoS攻击,能识别、过滤type 0类型的路由扩展头报文。要在防火墙和边界设备上启用入口过滤机制,以减少网络间的源地址伪造威胁,做好边界防护。
(三)内外协同,打防结合拒绝传统风险
IPv6继承了IPv4网络的一些应用层面的安全风险,因此传统的网络整体安全保障体系同样适用于IPv6。一要未雨绸缪,安装杀毒软件,在用户终端建立防护之盾。二要筑牢防线,配备堡垒主机、入侵检测、上网行为管理器和防火墙等网络安防系统,防止外部攻击,管控上网行为,严格实现内外网隔离。三要防止泄密与欺诈,使用数据加密和身份认证技术,确保数据完整可靠。最好采用混合加密和权威认证相结合的方式,提高信息安全防护级别。四要高举法律利剑,加大对网络犯罪的打击力度。要让犯罪后果远远大于犯罪收益,大力宣传惩处案例,形成强有力的震慑效果。五要选用有自主知识产权的安可软件
和硬件系统,提高系统与设备自身的安全可靠性。六要提高人员安全意识,整章立制,合理分配权限,严防内部作案。
(四)政产学研相结合,防范IPv6规模部署风险
科研院所要积极开展IPv6安全和服务理论研究,要针对IPv6特有的分片攻击、邻居发现协议攻击、扩展头攻击等新型攻击类型特点,有方向性地开展解决方案研究,出具体可行的方案。各网络安全生产与服务提供商要生产和提供符合安可标准的产品与服务,不断探索可复制、可借鉴的应用服务场景。要加大对芯片、物理、化学材料和高端设备制造的投入,实现设备与技术国产化,降低IPv6升级成本,深化IPv6 安保能力的建设,铸就防护之基。要加大IPv6部署和管理专门人才培养力度。通过学历教育、专门培训,为IPv6大规模部署网络安全防护提供广泛的基础性人才。各行业和培训机构要搭建实验环境,进行攻防演练培训,检验和提高网络安全人员的实战水平。政府要加强引导,出台专门政策鼓励安全研究机构加大安全漏洞、产品和服务研究,加快IPv6安全科研布局,强化IPv6安全技术储备。对产业用于安防方面的费用进行税费抵减,提高实体应用新安防技术与产品的积极性,鼓励各行业加大安全产品与服务采用力度,确保社会上有可用的产品与服务、有可行的安全保障安案和可用的人才来防范新形势下的网络安全风险。
五、结语
IPv6可实现高效的信息安全治理,为万物互联提供了技术支撑,具有很大的先进性,但同时也带来了新的安全隐患。只有时刻绷紧安全这根弦,政产学研戮力同心,不断对网络安全进行探索研究,努力出其安全漏洞,采用先进技术和切实可行的安全方案,及时扎紧安全“篱笆”,才能确保网络系统安全可靠,促进IPv6的大规模应用。FTT
参考文献:
[1]中国信息通信研究院. 筑牢下一代互联网安全防线——IPv6网络安全白皮书[R]. 2019.
[2]夏铭. 基于双栈技术的校园网防火墙设计与实现[D]. 北京:电子科技大学,2014.
[3]周晓青. 计算机网络信息安全问题的对策[J]. 电子技术与软件工程,2018(24):190.
[4]东帆. IPv6安全防护分析[J]. 计算机与网络,2018(3):16-19.

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。