您的位置:首页>>业界动态

IPv4向IPv6过渡安全问题不可小觑

发布时间:2012-06-06 13:02:20  来源:网易科技    采编:卜勇龙  背景:

  随着IPv4地址告罄,IPv6几乎无限的IP地址资源满足了全球互联网的需求。但是任何事物都是具有两面性的,有利也有弊。在满足互联网IP地址需求的同时,一系列安全问题也随之而至。

  IPv6并非比IPv4更安全

  IPv6与IPv4相比,在设计之初,就对安全问题做出了更多的考虑。借助 IPSec(Internet 协议安全性),IPv6的安全性能确实得以改善。但是,近来发生的网络攻击事件显示,IPSec并不能处理IPv6网络中的所有漏洞问题。而对比IPv4,新的网络环境要更为复杂,所产生的网络漏洞也更难预料。

  而且,尽管IPv6的内部加密机制是为用户与服务器之间的交流提供身份认证与保密功能的,但是它令攻击者得以利用加密机制绕过防火墙和IPS检查,直接向服务器发起攻击,原因正在于这些安全设备无法检测加密内容。除此之外,IPv6重定向协议中存在的安全隐患也非常值得人们关注。

  企业从IPv4到IPv6安全问题须知

  随着支持IPv6终端的数量增长,IPv6流量在许多企业计划过渡之前就已经出现在企业IPv4网络上了。员工可以随意的在这些新的未监控的网络里共享文件,下载视频,而这些漏洞会被黑客入侵。

  在已有的IPv4网络,IPv6的潜在威胁会给企业带来一连串危险和带宽问题。像BYOD自带设备办公的趋势加重了这些问题,许多终端和设备现在都支持IPv6,由于用于工作的外来设备愈来愈多,企业IPv4网络的风险也越来越大。

  在IPv4企业网络中出现的IPv6流量即"阴影网络"是个开放的地方,当使用IPv4网络的用户发现应用程序运行在IPv6阴影网络,这时就绕过了网络安全措施,将造成大量带宽被消耗。

  在过渡的过程中,企业将面临更多的对信息安全问题以及对信息安全体系的重新理解和调整。

  首先,为了实现IPv4与IPv6的无缝兼容,很多IPv6设备都内置了各种无状态的自动配置功能,而这样的网络设备对网络管理员而言却成了不可控的设备。管理员将难以察觉哪些网络设备是失控的,而攻击者却可以利用这种情况下手。其次,在企业迎接IPv6的同时,IT管理的难度也会随之增加。同时,目前业内对于IPv6协议的内置功能如何帮助用户提高隐私保护方面的问题的探讨寥寥无几,而是更多的把目光聚焦于如何更快捷地部署IPv6,这让很多不安全的协议、标准、技术被不计后果的广泛采用,企业在这样的过渡环境中很容易受到攻击。

  相对于人们在IPv4上积累的安全经验来说,业界在IPv6安全方面的经验还有所不足。在逐渐引入IPv6的日子里,所有的网络设备都不得不支持两个版本的网络协议,因此增加的网络安全风险很可能导致巨大的损失。在看清IPv6之前,人们的警惕与热情显然需要并存。不需要使用IPV6或者没有完成过渡的企业应该关闭所有系统上的IPV6,或者,企业应该"像IPV4一样对攻击进行监控和抵御"。

  细说IPv6安全八大问题

  IPv6对于大多数互联网利益相关者来说是一个新的领域,IPv6的推出会带来一些独特的安全难题,下面将讨论行业在继续应用IPv6的时候需要考虑的8个安全问题。

  1.从IPv4翻译至IPv6处理过程的安全漏洞

  IPv4和IPv6不是完全兼容,这是众所周知的问题。此时就需要从IPv4翻译至IPv6,于是协议翻译被看作是扩大部署和应用的一个途径。在把IPv4通讯翻译为IPv6通讯时,将不可避免地导致这些通讯,在网络上通过的时候调解处理过程。此时将会出现利用潜在的安全漏洞的机会。

  此外,这种做法引进必须包含处理状态的中间设备将破坏端对端的原则,使网络更加复杂。总的来说,安全人员应该关注所有的翻译和转变机制(包括建立隧道)的安全方面,只在进行全面评估之后才明确使用这种机制。

  2.大型网段有利有弊

  当前建议的IPv6子网的前缀是/64(264),能够在一个网段容纳大约18 quintillion(百万的三次方)个主机地址。虽然这能够实现局域网的无限增长,但是它的规模也带来了难题。

  例如,扫描一个IPv6/64网段的安全漏洞会需要几年的时间,而扫描一个/24 IPv4子网28这需要几秒钟。由于全面扫描是不可能的,一个较好的方法是仅利用第一个/118的地址(与IPV4的一个/22网段的主机数量相同)以便缩小需要扫描的IP地址范围,或者明确地分配所有的地址,完全拒绝其它的地址。这将使认真的IP地址管理和监视比现在更加重要。人们预计还将看到攻击者使用被动域名系统分析和其它侦查技术取代传统的扫描。

  3.邻居发现协议和邻居请求能够暴露网络问题

  IPv6的邻居发现协议使用五个不同类型ICMPv6(互联网控制消息协议第6版)信息用于若干目的。虽然邻居发现协议提供了许多有用的功能(,但是它还给攻击者带来了机会。IPv6中的攻击很可能取代ARP(地址解析协议)欺骗攻击等IPv4中的攻击。

  4.阻塞大型扩展标头(header) 、防火墙和安全网关可能成为分布式拒绝服务攻击的目标

  IPv6采用名为扩展标头的一套额外的标头,这些扩展标头将指定目的地选择、逐个跳点的选择、身份识别和其它许多选择。这些扩展标头在IPv6主标头后面并且连接在一起创建一个IPv6数据包(固定标头+扩展标头+负载),IPv6主标头固定为40字节。

  有大量扩展标头的IPv6通讯可能淹没防火墙和安全网关或者甚至降低路由器转发性能,从而成为分布式拒绝服务攻击和其它攻击潜在的目标。关闭路由器上的IPv6源路由对于防御分布式拒绝服务攻击的威胁也许是必要的。明确规定支持哪些扩展标头并且检查网络设备是否正确安装是非常重要的。总的来说,IPv6增加了更多的需要过滤的组件或者需要广泛传播的组件。

  5. 6to4和6RD代理服务器也许会鼓励攻击和滥用

  6to4以及互联网服务提供商迅速部署6RD会允许IPv6数据包跳出IPv4的壕沟,不用配置专用的隧道。但是,使用IPv6代理服务器也许会给代理服务器运营商带来许多麻烦,如发现攻击、欺骗和反射攻击。代理服务器运营商本身可能被利用为攻击和滥用的"源"。

  6.支持IPv6服务可能会暴露现有的IPv4应用或者系统

  一个限制是现有的安全补丁也许仅适用于IPv4技术支持。因此,在iPv4之前,在进行DNS查询已经更快部署IPv6的时候,大多数内核将喜欢IPv6接口。确实,IPv6与IPv4之间的相互作用方式可能导致每一个DNS查询的通讯量增加一倍。这将导致大量的不必要的DNS通讯量以便优化用户的体验。

  操作系统和内容厂商频繁地组织非法访问以缓解和优化这种行为,这种行为将增加系统负荷和状态。此外,随着可以访问新的IPv6栈,新的安全漏洞肯定会出现。在长期过渡的共存期间的双堆栈以及路由器、最终系统和DNS等网络服务之间的相互依赖肯定会成为攻击者的肥沃的土地。

  7.许多用户被隐蔽在固定的一套地址后面

  把用户隐蔽在大型网络地址转换协议转换((NAT-PT)设备后面会破坏一些有用的功能,如地理位置或者查找恶意网络行为根源的工具,使基于号码和名称空间声誉的安全控制出现更多的问题。

  8.当建立通向其它网络的隧道时的IP安全问题

  IP安全可能对发送者进行身份识别,提供完整性保护,加密数据包以提供传输数据的保密性。IP安全对于IPv4来说是一个可选择的功能,但是,它是IPv6强制规定的功能。

  在隧道模式中(它实际上可以创建一个网络至网络、主机至网络和主机至主机之间通讯的虚拟专用网),整个数据包封装在一个新的IP数据包中并且给予一个新的IT标头。

  但是,虚拟专用网与一个超出原来创作者的控制的网络的连接可能导致安全问题或者被用来窃取数据。由于IP安全的安全保护和管理以及相关的密钥是由其它协议管理的并且增加了复杂性,IP安全不能像最初用于IPv4那样更广泛地支持IPv6。




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:网易科技

本文评论
闪电狗——城配下半场开赛,该怎么玩?
11月23日下午,罗戈网以“城配下半场玩法”为主题的物流沙龙在京举办,物流沙龙是中国物...
日期:11-24
网易新闻联合BOSS直聘,开启探秘“大厂”之旅
在互联网圈儿里,人们习惯将某些行业的头部领军企业统称为“大厂”,有些求职者为进&ldqu...
日期:11-23
中国在AI时代再造“两弹一星”  百度等科技巨头挑起大梁
为加快推动中国新一代人工智能产业创新发展,促进人工智能和实体经济深度融合,近日,工信部印发《...
日期:11-23
UC海内外打通电商,5.5亿曝光为Lazada双11引流
第十个天猫双11已经成为全球的双11,成就了全球买、全球卖、全球付、全球运、全球玩。在全球卖方面...
日期:11-23
危化品运输的「定心丸」传化智能物流让风险可视可控
「迎新创新、协同共享」,11月22日,由中国物流与采购联合会主办的「2018年中国化工物流行业年会」...
日期:11-23
传化智联列入国家多式联运示范工程项目
就在11月20日,交通运输部与国家发展改革委公示了第三批24个多式联运示范工程项目名单,传化智联打...
日期:11-23
屏厂LG也要做可折叠手机了:一口气注册多个商标
2019或许会迎来可折叠手机的爆发期,三星身为屏厂同时又是智能手机制造商,已经公布了作品,而同样...
日期:11-23
诺基亚宣布进行管理层调整 加速5G网络布局
为了瞄准5G机遇,电信网络制造商诺基亚公司将把移动网络和固定网络业务合并,组成一个名为接入网络(...
日期:11-23
马上就要到2019年了 5G离我们还有多远?
眼看着2018年就只剩三十几天了,今年的旗舰手机也基本上都发布了。手机市场上最近体积比较多的一个概念...
日期:11-23
Apptopia:Facebook新产品Lasso与TikTok“几乎相同”
短视频应用TikTok在全球范围内获得了强劲的发展势头。近日美国CNN引用移动应用研究机构Sensor Tower...
日期:11-23
Kodak Alaris出席“赋能·升级”2018中国现代办公行业年会
Alaris S2040扫描仪强势中国首发
  11月21日,中国西安—11月19日至11月21日,Kodak Al...
日期:11-23
当下智慧园区“软实力”如何提升
在工业4.0与智能制造的驱动下,大型企业建设自身园区网的任务已经不再简单,它不仅要满足高性能、高...
日期:11-23
苏宁国际诠释“Global Community of Curators”生活哲学
苏宁国际亮相第三届米兰国际家具(上海)展览会
  苏宁国际盛装亮相第三届米兰国际家具(上海)...
日期:11-23
“精灵旅社”那群搞笑的怪物精灵又来了!还送来华为视频9大豪礼
2018年感恩节跟小雪在同一天相遇
  除了团聚、感恩、狂欢、“吃鸡”、等雪
...
日期:11-23
LG为旗下可折叠智能手机申请了三个商标
LG一直在与三星竞争推出第一款可折叠智能手机,而三星已经展示了他们的产品,LG仍然在研发他们的智...
日期:11-23
全球首条5G网络下的微博 来自小米林斌!
5G究竟有多热,看看各大智能手机厂商的宣传便知一二。此前OPPO公布了其智能手机产品通过5G网络上网...
日期:11-23
前美团大将创业水滴卖保险  三级火箭能否击穿保险业痛点?
一、「仗还没打完,别想这些事。」
  这是沈鹏第一次跟王兴和王慧文表示未来想要离开美团、...
日期:11-23
HTTPS也不安全?No,只因没有避开这个误区
当我们在咖啡馆连上WiFi打开网页和邮箱时,殊不知有人正在监视着我们的各种网络活动。在打开账户网...
日期:11-23
美团股价今日一度下跌至14%,新业务持续投入亏损25亿人民币
11月22日,美团点评发布2018年第三季度业绩,总收入为191亿元,同比增长97.2%。总收入的增长得益于...
日期:11-23
QQ浏览器跨界顺丰“一搜直达”,丰富信息浏览生态
在双十一这个快递行业最忙碌的档口,QQ浏览器和顺丰宣布跨界合作,在“快”这件事上再添新...
日期:11-23