IPv4向IPv6过渡安全问题不可小觑

2019年05月15日 来源:

随着IPv4地址告罄,IPv6几近无限的IP地址资源满足了全球互联的需求。但是任何事物都是具有两面性的,有益也有弊。在满足互联IP地址需求的同时,一系列安全问题也随之而至。

IPv6并不是比IPv4更安全

IPv6与IPv4相比,在设计之初,就对安全问题做出了更多的斟酌。借助 IPSec(Internet 协议安全性),IPv6的安全性能确实得以改良。但是,近来发生的络攻击事件显示,IPSec并不能处理IPv6络中的所有漏洞问题。而对比IPv4,新的络环境要更加复杂,所产生的络漏洞也更难预料。

而且,尽管IPv6的内部加密机制是为用户与服务器之间的交流提供身份认证与保密功能的,但是它令攻击者得以利用加密机制绕过防火墙和IPS检查,直接向服务器发起攻击,缘由正在于这些安全设备无法检测加密内容。除此之外,IPv6重定向协议中存在的安全隐患也非常值得人们关注。

企业从IPv4到IPv6安全问题须知

随着支持IPv6终端的数量增长,IPv6流量在许多企业计划过渡之前就已经出现在企业IPv4络上了。员工可以随意的在这些新的未监控的络里共享文件,下载视频,而这些漏洞会被黑客入侵。

在已有的IPv4络,IPv6的潜在威逼会给企业带来一连串危险和带宽问题。像BYOD自带设备办公的趋势加重了这些问题,许多终端和设备现在都支持IPv6,由于用于工作的外来设备愈来愈多,企业IPv4络的风险也愈来愈大。

在IPv4企业络中出现的IPv6流量即"阴影络"是个开放的地方,当使用IPv4络的用户发现应用程序运行在IPv6阴影络,这时候就绕过了络安全措施,将造成大量带宽被消耗。

在过渡的进程中,企业将面临更多的对信息安全问题和对信息安全体系的重新理解和调整。

首先,为了实现IPv4与IPv6的无缝兼容,很多IPv6设备都内置了各种无状态的自动配置功能,而这样的络设备对络管理员而言却成了不可控的装备。管理员将难以察觉哪些络装备是失控的,而攻击者却可以利用这种情况下手。其次,在企业迎接IPv6的同时,IT管理的难度也会随之增加。同时,目前业内对IPv6协议的内置功能如何帮助用户提高隐私保护方面的问题的探讨寥寥无几,而是更多的把眼光聚焦于如何更快捷地部署IPv6,这让很多不安全的协议、标准、技术被不计后果的广泛采取,企业在这样的过渡环境中很容易遭到攻击。

相对人们在IPv4上积累的安全经验来说,业界在IPv6安全方面的经验还有所不足。在逐渐引入IPv6的日子里,所有的络装备都不得不支持两个版本的络协议,因此增加的络安全风险很可能导致巨大的损失。在看清IPv6之前,人们的警惕与热情明显需要并存。不需要使用IPV6或没有完成过渡的企业应该关闭所有系统上的IPV6,或者,企业应当"像IPV4一样对攻击进行监控和抵御"。

细说IPv6安全八大问题

IPv6对大多数互联利益相干者来说是一个新的领域,IPv6的推出会带来一些独特的安全难题,下面将讨论行业在继续应用IPv6的时候需要考虑的8个安全问题。

1.从IPv4翻译至IPv6处理进程的安全漏洞

IPv4和IPv6不是完全兼容,这是尽人皆知的问题。此时就需要从IPv4翻译至IPv6,因而协议翻译被看做是扩大部署和应用的一个途径。在把IPv4通讯翻译为IPv6通讯时,将不可避免地致使这些通讯,在络上通过的时候调解处理进程。此时将会出现利用潜伏的安全漏洞的机会。

另外,这种做法引进必须包含处理状态的中间装备将破坏端对端的原则,使络更加复杂。总的来说,安全人员应该关注所有的翻译和转变机制(包括建立隧道)的安全方面,只在进行全面评估之后才明确使用这类机制。

2.大型段有利有弊

当前建议的IPv6子的前缀是/64(264),能够在一个段容纳大约18 quintillion(百万的三次方)个主机地址。虽然这能够实现局域的无穷增长,但是它的规模也带来了困难。

例如,扫描一个IPv6/64段的安全漏洞会需要几年的时间,而扫描一个/24 IPv4子28这需要几秒钟。由于全面扫描是不可能的,一个较好的方法是仅利用个/118的地址(与IPV4的一个/22段的主机数量相同)以便缩小需要扫描的IP地址范围,或者明确地分配所有的地址,完全谢绝其它的地址。这将使认真的IP地址管理和监视比现在更加重要。人们预计还将看到攻击者使用被动域名系统分析和其它侦查技术取代传统的扫描。

3.邻居发现协议和邻居要求能够暴露络问题

IPv6的邻居发现协议使用五个不同类型ICMPv6(互联控制消息协议第6版)信息用于若干目的。虽然邻居发现协议提供了许多有用的功能(,但是它还给攻击者带来了机会。IPv6中的攻击极可能取代ARP(地址解析协议)欺骗攻击等IPv4中的攻击。

4.阻塞大型扩展标头(header) 、防火墙和安全关可能成为分布式拒绝服务攻击的目标

IPv6采取名为扩展标头的一套额外的标头,这些扩大标头将指定目的地选择、逐个跳点的选择、身份识别和其它许多选择。这些扩大标头在IPv6主标头后面并且连接在一起创建一个IPv6数据包(固定标头+扩大标头+负载),IPv6主标头固定为40字节。

有大量扩展标头的IPv6通讯可能淹没防火墙和安全关或者乃至下降路由器转发性能,从而成为分布式拒绝服务攻击和其它攻击潜在的目标。关闭路由器上的IPv6源路由对防御分布式拒绝服务攻击的威胁也许是必要的。明确规定支持哪些扩展标头并且检查络装备是不是正确安装是非常重要的。总的来说,IPv6增加了更多的需要过滤的组件或者需要广泛传播的组件。

5. 6to4和6RD代理服务器或许会鼓励攻击和滥用

6to4和互联服务提供商迅速部署6RD会允许IPv6数据包跳出IPv4的壕沟,不用配置专用的隧道。但是,使用IPv6代理服务器或许会给代理服务器运营商带来许多麻烦,如发现攻击、欺骗和反射攻击。代理服务器运营商本身可能被利用为攻击和滥用的"源"。

6.支持IPv6服务可能会暴露现有的IPv4运用或系统

一个限制是现有的安全补丁也许仅适用于IPv4技术支持。因此,在iPv4之前,在进行DNS查询已经更快部署IPv6的时候,大多数内核将喜欢IPv6接口。确实,IPv6与IPv4之间的相互作用方式可能致使每个DNS查询的通讯量增加一倍。这将致使大量的不必要的DNS通讯量以便优化用户的体验。

操作系统和内容厂商频繁地组织非法访问以减缓和优化这类行为,这类行动将增加系统负荷和状态。此外,随着可以访问新的IPv6栈,新的安全漏洞肯定会出现。在长期过渡的共存期间的双堆栈以及路由器、终究系统和DNS等络服务之间的相互依赖肯定会成为攻击者的肥沃的土地。

7.许多用户被隐蔽在固定的一套地址后面

把用户隐蔽在大型络地址转换协议转换((NAT-PT)设备后面会破坏一些有用的功能,如地理位置或者查找恶意络行为本源的工具,使基于号码和名称空间声誉的安全控制出现更多的问题。

8.当建立通向其它络的隧道时的IP安全问题

IP安全可能对发送者进行身份辨认,提供完整性保护,加密数据包以提供传输数据的保密性。IP安全对于IPv4来说是一个可选择的功能,但是,它是IPv6强制规定的功能。

在隧道模式中(它实际上可以创建一个络至络、主机至络和主机至主机之间通讯的虚拟专用),整个数据包封装在一个新的IP数据包中并且给予一个新的IT标头。

但是,虚拟专用与一个超越原来创作者的控制的络的连接可能导致安全问题或者被用来盗取数据。由于IP安全的安全保护和管理和相关的密钥是由其它协议管理的并且增加了复杂性,IP安全不能像初用于IPv4那样更广泛地支持IPv6。

白带多应该吃什么
盆腔炎发病症状有哪些
盆腔炎下腹隐痛
相关文章
  • 市直机关工委以创新增强机关党建活力
    市直机关工委以创新增强机关党建活力

    市直机关工委以创新增强机关党建活力来源:日照 发布时间: 08:15:00本报讯( 王美莹)在深入开展学习实践科学发展观活动中,市直机关工委在工作载体、活动方式及各项机制、措施上不断推陈出新,促进了机关党建工作的科学化、规范化,推动了机关建设的新发展...

  • 智利中部发生52级地震震源深度522公里
    智利中部发生52级地震震源深度522公里

    美国地质勘探局站。据美国地质勘探局站消息,北京时间5月29日12时28分,智利中部省份发生里氏5.2级地震。智利当局当局目前尚未发布任何人员伤亡或建筑物倒塌的消息。疲劳试验炉价格精密开启式管式炉厂家显微硬度计...

  • 上汽关闭仪征工厂荣威W5搬迁南京制造
    上汽关闭仪征工厂荣威W5搬迁南京制造

    影响一个车型销量的因素有很多,其中除了车辆本身在市场中的认可度之外,产能能否给予车型市场足够的支持也非常重要。荣威W5作为上汽引以为傲的SUV车型虽然已经赢得了业内人士的肯定,但2011年以来销量的持续低迷却让问题本身重新回归到了产能上。而随着上...

  • 今生我就是你的拐杖金寨农妇义务照顾孤寡老人传佳话六安新闻
    今生我就是你的拐杖金寨农妇义务照顾孤寡老人传佳话六安新闻

    六安讯 如果不是闫德琴悉心照料,吴善云的老坟树都长多粗了。金寨县梅山镇南水村塘湾组村民们都这样说。作为一名普普通通的农村妇女,5年来,关心照顾村里非亲非故半身瘫痪的孤寡老人吴善云,谱写了一曲不是亲人胜似亲人的人间赞歌。吴善云今年已经70岁...

  • 省运会火炬传递期间漳州市区三路段将交通管制
    省运会火炬传递期间漳州市区三路段将交通管制

    闽南9月14日讯 第十五届省运会火炬传递活动定于9月19日(星期五)上午在漳州举行。海都昨从交通部门了解到,届时,市区将对火炬传递行进路线采取临时全封闭交通管制措施。管制路段为胜利路的市政府门口至芝山路岔口路段;芝山路的胜利路岔口至大学路岔口路段;...

  • 韩国调查执政党贿选丑闻议长前秘书家遭突查
    韩国调查执政党贿选丑闻议长前秘书家遭突查

    韩国检方11日突然搜查国会议长朴熺太的一名前秘书家,没收部分物件。检方正调查执政党大国家党2008年党举贿选丑闻。韩国媒体报道,这名男性秘书姓高,家住首都首尔西北的京畿道一山。当天上午8时左右,多名检察人员前往他家中,搜查持续大约2小时。检...