IPv6对网络安全的改进与挑战.doc

IPv6对网络安全的改进与挑战谷 耀摘要：本文从IPv4地址资源紧缺引发的安全问题出发，论述了IPv6协议对网络安全的多项改进，以及IPv6协议引入后带来的新的安全问题，并指出由IPv4向 IPv6转移可能出现的安全漏洞及相应对策。关键词：IPv6，网络安全，IP协议一、 IPv4地址资源匮乏引发的安全问题由于我国IPv4地址资源严重不足，除了采用CIDR、VLSM和DHCP技术缓解地址紧缺外，更多的是采用私有IP地址结合网络地址转换（NAT/PAT）技术来解决这个问题。比如PSTN/ADSL/GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有的IPv4地址，通过NAT技术接入互联网的。这不仅大大降低了网络传输的速度，且安全性等方面也难以得到保障。1互联网可信度问题互联网不可信是有其历史和技术原因的，互联网设计者的初衷就是为了互联和共享。TCP/IP协议不验证源IP地址，而采用NAT则掩盖了用户真实的IP地址。有专家指出，现在匿名垃圾邮件和病毒邮件之所以能够泛滥成灾，就是因为中国九千多万网民只拥有不足4000万IP地址。IP地址欺骗、身份难以确认、网络钓鱼、虚假服务请求、源路由篡改，正是这种匿名性使得黑客能够伪造或者屏蔽IP地址实现对网络的攻击并逃避惩罚。2端到端连接特性由于NAT透明性差，不能支持那些应用层协议中包含有IP地址、TPC/UDP协议端口等信息的应用程序，以及需要在应用层进行认证、加密的应用程序。因而破坏了IP协议端到端的连接特性，使得端到端的业务无法开展，成为安全连接的技术障碍。3网络安全性作为Internet安全标准，IPv4并没有强制要求实现IPSec。即使采用IPSec，通常也只是部署在IPv4网络的边界路由器。并且，NAT技术和IPSec会有矛盾，有的情况下无法协同工作。采用NAT技术还限制了VPN（虚拟专用网）的可扩展性，这些都在一定程度上限制了网络加密和网络安全。二、IPv6协议在网络安全方面的改进1 IP安全协议（IPSec）IPSec是IPv4的一个可选扩展协议，而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性，如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证，以及抗重播（Replay）攻击等。新版路由协议OSPFv3 和 RIPng采用IPSec来对路由信息进行加密和认证，提高抗路由攻击的性能。IPSec协议簇主要包括：AH：认证报头（RFC1826），ESP：封装化安全载荷（RFC1827），IKE：Internet密钥交换（RFC2409），以及强制转码类型等相关组件。AH用于保证数据的一致性。它要校验源地址和目的地址这些标明发送/接收设备的字段是否在路由过程中被改变。如果未通过校验，数据包就会被抛弃。通过这种方式，AH为数据的完整性和原始性提供了鉴定依据。ESP用于保证数据的机密性和数据的一致性。ESP报头提供集成功能和IP数据的可靠性。集成保证数据不被恶意破坏，可靠性保证使用密码技术的安全。IKE采用密钥交换协议自动实现通信双方安全参数的可靠协商与获取，进而能够最大程度地保证网络层的通信安全。虽然IPSec能够防止多种攻击，但无法抵御Sniffer、DoS攻击、洪水（Flood）攻击和应用层攻击。IP Sec作为一个网络层协议，只能负责其下层的网络安全，不能对其上层如Web、E-mail及FTP等应用的安全负责。2端到端的安全保证IPv6最大的优势在于保证端到端的安全,可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT，允许所有的网络节点使用其全球惟一的地址进行通信。当建立一个IPv6的连接时，在两端主机上对数据包进行IPSec封装，中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输，通过对通信端的验证和对数据的加密保护，使得敏感数据可以在IPv6 网络上安全地传输，因此，无需针对特别的网络应用部署ALG（应用层网关），保证端到端的网络透明性，有利于提高网络服务速度。3地址分配与源地址检查在IPv6的地址概念中，有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说，这样的地址分配为网络管理员加强网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系，网络管理员可以只给该主机分配一个本地子网地址；若某服务器只为内部网用户提供访问服务，那么就可以只给这台服务器分配一个本地网络地址，企业网外部的任何人都无法访问这些主机。由于IPv6地址构造是可会聚的（aggregate-able）、层次化的地址结构，因此，在IPv6接入路由器对用户进入时进行源地址检查，使得ISP可以验证其客户地址的合法性。IPv6邻居发现机制（Neighbor dicovery）动态收集相邻网络信息，包括本地网络参数、IPv6地址到MAC地址的解析、路由复位及相邻节点状态等，替代了ARP和RARP，帮助节点从目的IP地址中确定本地节点（即邻居）的链路层地址，可有效减轻“广播风暴”等的不利影响。地址重复检测机制（DAD：Duplicate Address Detection）检测和确定节点想使用的IP地址是否已经在网络中配置使用，如果已被占用，则拒绝为该节点网络接口赋予该地址，而另行指派地址，解决安全引导（boot-strap）问题。4源路由检查出于安全性和多业务的考虑，许多核心路由器需要开启反向路由检测功能，防止源路由篡改和攻击。5防止未授权访问IPv6固有的对身份验证的支持，以及对数据完整性和数据机密性的支持和改进，使得IPv6增强了防止未授权访问能力，更加适合于那些对敏感信息和资源有特别处理要求的应用。6域名系统DNS基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础，有助于抵御网上的身份伪装与偷窃。而采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议，能进一步增强目前针对DNS新的攻击方式的防护（例如：“网络钓鱼（Phishing）”攻击、“DNS中毒（DNS poisoning）”攻击）。这些攻击会控制DNS服务器，将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。此外，专家认为，如果能争取在我国建立IPv6域名系统根服务器，对于我国的信息安全很有必要和十分重要。7灵活的扩展报头一个完整的IPv6的数据包可包括多种扩展报头：逐个路程段选项报头，目的选项报头，路由报头，分段报头，身份认证报头，有效载荷安全封装报头，最终目的报头。这些扩展报头不仅为IPv6扩展应用领域奠定了基础，同时也为安全性提供了保障。8网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后，就开始对其他主机进行随机扫描，在扫描到其他有问题的主机后，会把病毒传染给该主机。这种传播方式的传播速度在IPv4环境下非常迅速（如Nimdar病毒在4、5分钟内感染了上百万台计算机）。但这种传播方式因为IPv6的地址空间的巨大变得不适用了，病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。9网络放大攻击（Broadcast Amplication Attacks）ICMPv6在设计上不会响应组播地址和广播地址的消息，不存在广播，所以,只需要在网络边缘过滤组播数据包即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。10. 碎片（Fragment）攻击IPv6认为MTU小于1280字节的数据包是非法的,处理时会丢弃MTU小于1280字节的数据包（除非它是最后一个包），有利于防止碎片攻击。由此看来，IPv6协议确实比IPv4的安全性有所改进。IPv4中常见的一些攻击方式，将在IPv6网络中失效，例如网络侦察、报头攻击、ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题，在IPv6中仍会继续继续，只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。三、IPv6引入后带来的新的安全问题IPv6是新的协议，在其发展过程中必定会产生一些新的安全问题： 1拒绝服务攻击（DoS）：由于IPSec加密/解密需要大量的计算开销，若攻击者向目标主机发送大量随意的加密数据包，就有可能造成被攻击主机消耗大量的资源来检验这些垃圾数据包，无法响应其他网络用户的服务请求，造成目标主机停止服务。此外，IPv6中的组播（Multicast）地址定义方式也会给攻击者带来一些机会。例如，IPv6地址FF05:2是所有的路由器，FF05:5是所有的DHCP服务器，如果向这类地址发IPv6数据包，这个数据包就会到达网络中所有的路由器或DHCP服务器，所以可能会出现一些专门针对这些网络设备的拒绝服务攻击。2包过滤式防火墙：由于IPSec实现端到端的加密，并能够采用多种加密算法，且密钥不公开，防火墙无法解密IP数据包，也就无从知道TCP/UDP协议端口号，因此导致包过滤式防火墙无法根据访问控制规则ACL正常工作。3入侵检测系统（IDS）：通过加密通道的攻击目前尚不多见，但随着IPv6的普及，这类问题会逐渐突出。同包过滤式防火墙一样，采用IPsec端到端加密的IPv6数据包使得传统IDS无法识别数据包中的黑客攻击迹象或违反安全策略的行为。并且，IDS采用的是失效开放（Fail Open）工作机制，一旦IDS遭遇拒绝服务攻击后系统作用就会停止，整个网络系统就变为开放，一切通行无阻。4IPv6中规定所有的IPv6主机都要求接受并处理IPv6的路由扩展报头，并转发路由扩展报头内的数据包。这样就有可能被黑客修改这个路由扩展报头来改变数据包的转发方向，从而绕过网络防火墙。5IPv6尚待解决的问题l IPv6的网络管理：IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术，如SNMP等，不管是移植还是重新另搞，其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现，因此缺乏对IPv6网络进行监测和管理的手段，缺乏对大范围的网络故障定位和性能分析的手段。没有网管，何谈保障网络高效、安全运行？l 公共密钥（PKI）管理： PKI管理在IPv6中是悬而未决的新问题。l IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发还有待时日。l IPv6协议仍需在实践中完善。如IPv6组播功能仅仅规定了简单的认证功能，所以还难以实现严格的用户限制功能；而移动IPv6（Mobiel IPv6）也存在很多新的安全挑战；DHCP必须经过升级才可以支持IPv6地址，DHCPv6仍然处于研究、制定之中。6向 IPv6转移可能出现的安全漏洞由于IPv6与IPv4网络将会长期共存，网络必然会同时存在两者的安全问题，或由此产生新的安全漏洞。已经发现从IPv4向 IPv6转移出现的一些安全漏洞，例如：黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源。攻击者可以通过安装了双栈的使用IPv6的主机，建立由IPv6到IPv4的隧道，绕过防火墙对IPv4进行攻击。向IPv6协议的转移与采用其他任何一种新的网络协议一样，需要重新配置防火墙，其安全措施必须经过慎重的考虑和测试。IPv4环境下的IDS并不能直接支持IPv6，需要重新设计。原来应用在IPv4协议的安全策略和安全措施必须在IPv6上得到落实。目前，IPv4向IPv6过渡有多种技术，其中基本过渡技术有：双栈、隧道和协议转换，但目前这几种技术运行都不理想。有专家建议，向IPv6转移尽量采用双栈技术，避免采用协议转换；尽量采用静态隧道，避免采用动态隧道。这些都需要在广泛实验中加以检验。结束语与IPv4相比，IPv6在网络保密性、完整性方面有了更好的改进，在可控性和抗否认性方面有了新的保证。但IPv6不仅不可能彻底解决所有安全问题，同时还会伴随其产生新的安全问题。目前多数网络攻击和威胁来自应