IPv6來臨，從事信息安全的你，準(zhǔn)備好了嗎？

　　IPv6作為下一代互聯(lián)網(wǎng)的關(guān)鍵性技術(shù)，將逐步取代IPv4成為支撐互聯(lián)網(wǎng)運(yùn)轉(zhuǎn)的核心協(xié)議。因此，了解IPv6的信息安全特性及隱患，并尋求相應(yīng)的對(duì)策，對(duì)于提高下一代互聯(lián)網(wǎng)的信息安全水平，具有十分重要的意義。

（資料圖片 來源互聯(lián)網(wǎng)）

　　IPv6的信息安全特性

　　IPv6作為下一代IP協(xié)議，是未來互聯(lián)網(wǎng)建構(gòu)的基石。其主要特點(diǎn)：一是能提供比IPv4大得多的地址空間。有人形象地稱這一協(xié)議可為地球表面的每粒沙子分配一個(gè)IP地址。二是數(shù)據(jù)傳輸速度更快?；贗Pv6的主干網(wǎng)或城域網(wǎng)的傳輸速率，將比現(xiàn)在提高100倍到1000倍。

　　安全問題一直是網(wǎng)絡(luò)通信中關(guān)注的焦點(diǎn)問題。IPv6在設(shè)計(jì)之初，就對(duì)安全性有了較為周密的考慮，它內(nèi)嵌一種標(biāo)準(zhǔn)化的IP安全協(xié)議（IPsec），解決了通信設(shè)備之間安全通信的標(biāo)準(zhǔn)化、互操作等問題，從而確保端到端的通信安全，實(shí)現(xiàn)“深度防護(hù)”安全策略。采用IPv6后，發(fā)送信息的設(shè)備有了永久的IP地址，設(shè)備類型很容易被識(shí)別。IPsec還能提供認(rèn)證報(bào)頭服務(wù)，用于保證數(shù)據(jù)的保密性和一致性。

　　IPv6還采取了兩項(xiàng)技術(shù)措施增強(qiáng)其安全性。一是認(rèn)證，它要求接收端中能存放發(fā)送端的信息，如果接收端無法識(shí)別發(fā)送端，則無法進(jìn)行信息傳輸；如果可以進(jìn)行通信，則需保證信息是由指定發(fā)送端發(fā)送的，同時(shí)信息在傳輸過程中沒有被其他用戶更改。二是私有性，它要求發(fā)送的信息必須被加密，接收端必須是授權(quán)的，這樣就能很好地防止信息被未授權(quán)用戶竊取。

　　IPv6作為一種新的網(wǎng)絡(luò)通信協(xié)議，尚未被廣泛推廣應(yīng)用，絕大多數(shù)用戶對(duì)其了解不深，專門進(jìn)行相關(guān)研究的就更少，這就決定了針對(duì)IPv6網(wǎng)絡(luò)的攻擊方法手段，還沒有真正發(fā)展起來，也很少有機(jī)會(huì)去驗(yàn)證其攻擊效果。然而，隨著IPv6的推廣應(yīng)用，也會(huì)像目前IPv4一樣，信息安全隱患將會(huì)逐漸暴露，并被攻擊者加以利用。

　　IPv6的信息安全隱患

　　構(gòu)建基于IPv6的可信任下一代互聯(lián)網(wǎng)，是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)。雖然IPv6與IPv4相比，在安全性方面進(jìn)行了預(yù)先設(shè)計(jì)和充分考慮，但仍然存在一些難以解決的安全隱患。

　　一是難以應(yīng)對(duì)拒絕服務(wù)攻擊。拒絕服務(wù)攻擊仍然是IPv6面臨的最嚴(yán)重的一種攻擊，它可能導(dǎo)致計(jì)算機(jī)硬盤、物理設(shè)備毀壞和所有可用內(nèi)存耗盡的危險(xiǎn)。IPv6支持動(dòng)態(tài)自動(dòng)尋址，雖然給合法網(wǎng)絡(luò)用戶使用帶來了方便，但非授權(quán)的用戶可以更容易地接入和使用網(wǎng)絡(luò)，埋下了拒絕服務(wù)攻擊的隱患。拒絕服務(wù)攻擊主要包括兩種方式：一種是通過向服務(wù)器或主機(jī)發(fā)送大量數(shù)據(jù)包，使得主機(jī)忙于處理這些無用的數(shù)據(jù)包而無法響應(yīng)有用的信息；另一種是對(duì)網(wǎng)絡(luò)上兩個(gè)節(jié)點(diǎn)之間的通信直接進(jìn)行干擾，攻擊者可以冒充通信節(jié)點(diǎn)向目標(biāo)通信節(jié)點(diǎn)發(fā)送錯(cuò)誤消息，從而造成路由迂回，導(dǎo)致網(wǎng)絡(luò)帶寬浪費(fèi)及時(shí)延增加。對(duì)這兩種方式，IPv6從技術(shù)上都沒有很好地解決。

　　二是難以彌補(bǔ)整個(gè)網(wǎng)絡(luò)協(xié)議族的安全缺陷。根據(jù)國際標(biāo)準(zhǔn)化組織提出的各種計(jì)算機(jī)在世界范圍內(nèi)互聯(lián)成網(wǎng)的標(biāo)準(zhǔn)框架，即開放系統(tǒng)互聯(lián)參考模型，計(jì)算機(jī)網(wǎng)絡(luò)分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層等七個(gè)功能層。IP協(xié)議只是網(wǎng)絡(luò)層的協(xié)議，其安全性設(shè)計(jì)得再好，也只能保證本功能層的安全，其他功能層如應(yīng)用層的網(wǎng)頁服務(wù)、郵件服務(wù)及文件傳輸?shù)确?wù)的安全仍然難以保證。

　　加強(qiáng)IPv6信息安全的對(duì)策

　　互聯(lián)網(wǎng)協(xié)議設(shè)計(jì)的一個(gè)基本要求，就是新協(xié)議的設(shè)計(jì)不能引入新的安全威脅。如果存在安全威脅，那么協(xié)議本身必須要規(guī)定相應(yīng)的安全機(jī)制來克服。因此，要深入研究IPv6的技術(shù)特點(diǎn)，針對(duì)各種可能的安全威脅，改進(jìn)完善技術(shù)手段，建立健全防范機(jī)制。

　　一方面，要改進(jìn)完善技術(shù)手段。一是改進(jìn)防火墻的設(shè)計(jì)，應(yīng)對(duì)拒絕服務(wù)攻擊。IPv6相對(duì)IPv4在數(shù)據(jù)報(bào)頭上有了很大的改變，要求防火墻必須解析整個(gè)數(shù)據(jù)包才能進(jìn)行過濾操作，這對(duì)防火墻的處理性能會(huì)有很大的影響。因此，必須采取各種技術(shù)手段，提高防火墻的性能，適應(yīng)IPv6的需要。二是完善入侵檢測(cè)系統(tǒng)的設(shè)計(jì)，嚴(yán)格用戶限制。IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù)，未來網(wǎng)絡(luò)數(shù)據(jù)通信的保密性將會(huì)越來越強(qiáng)，要求入侵檢測(cè)系統(tǒng)在任何網(wǎng)絡(luò)狀況、任何服務(wù)器、任何客戶端、任何應(yīng)用環(huán)境都能進(jìn)行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng)，以嚴(yán)格控制訪問用戶的身份認(rèn)證和權(quán)限驗(yàn)證等內(nèi)容。三是采用安全遷移設(shè)計(jì)，保障快速平穩(wěn)過渡。目前，IPv4正在向IPv6過渡，與采用其他任何一種新的網(wǎng)絡(luò)協(xié)議一樣，其安全措施必須經(jīng)過慎重的考慮和測(cè)試，避免產(chǎn)生新的技術(shù)漏洞。

　　另一方面，要建立健全防護(hù)機(jī)制。盡管IPv6還不是當(dāng)前網(wǎng)絡(luò)通信的主流協(xié)議，但從長(zhǎng)遠(yuǎn)看，有必要開展超前研究，從健全安全防范制度和建立防范體系兩個(gè)方面，制定下一代互聯(lián)網(wǎng)的系統(tǒng)安全機(jī)制和信息安全機(jī)制。一是要健全安全防范制度，保障網(wǎng)絡(luò)系統(tǒng)安全。為加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全，在管理上要建章立制來強(qiáng)化相關(guān)人員的安全意識(shí)及規(guī)范其處置行為。例如，建立安全檢查制度，定期和不定期相結(jié)合進(jìn)行安全保密檢查，排查安全隱患，杜絕網(wǎng)絡(luò)違規(guī)操作，減少人為紕漏；建立網(wǎng)絡(luò)值勤制度，不斷強(qiáng)化網(wǎng)絡(luò)值勤人員的保密意識(shí)、責(zé)任意識(shí)及服務(wù)意識(shí)，明確人員的職責(zé)劃分和操作規(guī)程，建立完善的值勤登記統(tǒng)計(jì)，使網(wǎng)絡(luò)值勤管理精細(xì)化、正規(guī)化。二是要建立具有主動(dòng)性的網(wǎng)絡(luò)安全防范體系，確保網(wǎng)絡(luò)信息安全。采取加密、認(rèn)證、數(shù)字簽名、訪問控制、安全代理、安全審計(jì)和監(jiān)督控制等多種安全防護(hù)機(jī)制，實(shí)現(xiàn)信息儲(chǔ)存保密、傳輸保密和瀏覽保密，進(jìn)行實(shí)體認(rèn)證、操作員認(rèn)證和信息認(rèn)證，從運(yùn)行機(jī)制上保證網(wǎng)絡(luò)信息的安全。

　　IPv6對(duì)信息安全工作的影響

　　安全人員需要有關(guān)IPv6協(xié)議的教育和培訓(xùn)。IPv6協(xié)議將在你的控制之下進(jìn)入你的網(wǎng)絡(luò)，這只是個(gè)時(shí)間問題。同許多新的網(wǎng)絡(luò)技術(shù)一樣，學(xué)習(xí)IPv6的基礎(chǔ)知識(shí)是非常重要的，特別是學(xué)習(xí)尋址方案和協(xié)議，以便適應(yīng)事件的處理和相關(guān)的活動(dòng)。

　　安全工具需要升級(jí)。IPv6不向下兼容。用于整個(gè)網(wǎng)絡(luò)的通信路由和安全分析的硬件與軟件都要進(jìn)行升級(jí)，以支持IPv6協(xié)議，否則這些硬件和軟件都不支持IPv6。當(dāng)使用邊界保護(hù)設(shè)備的時(shí)候，記住這一點(diǎn)是非常重要的。為了兼容IPv6，路由器、防火墻和入侵檢測(cè)系統(tǒng)都需要軟件或者硬件升級(jí)。

　　現(xiàn)有的設(shè)備需要額外設(shè)置。支持IPv6的設(shè)備把它當(dāng)成一個(gè)完全獨(dú)立的協(xié)議。因此，訪問控制列表、規(guī)則庫和其他設(shè)置參數(shù)要重新進(jìn)行評(píng)估，并且要轉(zhuǎn)換為支持IPv6的環(huán)境。

　　隧道協(xié)議產(chǎn)生新的風(fēng)險(xiǎn)。網(wǎng)絡(luò)和安全團(tuán)體已經(jīng)耗費(fèi)了很多時(shí)間和精力確保IPv6是一個(gè)具有安全功能的協(xié)議。然而，這種轉(zhuǎn)換的最大的風(fēng)險(xiǎn)之一是使用隧道協(xié)議支持向IPv6的轉(zhuǎn)換。這些協(xié)議允許在IPv4數(shù)據(jù)流通過非兼容設(shè)備時(shí)把IPv6的通信隔離開。因此，在你準(zhǔn)備好正式支持IPv6之前，你的網(wǎng)絡(luò)用戶可以使用這些隧道協(xié)議運(yùn)行IPv6。如果這是一個(gè)令人擔(dān)心的問題，就在你的邊界內(nèi)封鎖IPv6隧道協(xié)議。

　　IPv6自動(dòng)設(shè)置可造成尋址的復(fù)雜性。IPv6另一個(gè)有趣的功能是自動(dòng)設(shè)置。自動(dòng)設(shè)置功能允許系統(tǒng)自動(dòng)獲得一個(gè)網(wǎng)絡(luò)地址，而不需要管理員的干預(yù)。IPv6支持兩種不同的自動(dòng)設(shè)置技術(shù)。監(jiān)控狀態(tài)的自動(dòng)設(shè)置使用DHCPv6，這是對(duì)目前的DHCP協(xié)議的簡(jiǎn)單升級(jí)，從安全的角度看并沒有很大的不同。另外，關(guān)注一下非監(jiān)控狀態(tài)的自動(dòng)設(shè)置功能。這個(gè)技術(shù)允許系統(tǒng)產(chǎn)生自己的IP地址，并且檢查地址的重復(fù)性。從系統(tǒng)管理的角度說，這種非集中化的方式可能更容易一些，但是，對(duì)于跟蹤網(wǎng)絡(luò)資源使用情況的網(wǎng)絡(luò)管理員來說，這種做法提出了很大的難題。

　　IPv6是革命性的。IPv6允許我們?yōu)槲磥硎甑臒o處不在的接入做好準(zhǔn)備。但是，同其他的技術(shù)創(chuàng)新一樣，我們需要從安全的角度認(rèn)真關(guān)注IPv6。（余叢）

　　轉(zhuǎn)自：人民郵電報(bào)

　　【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品，轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”，違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊，僅代表作者個(gè)人觀點(diǎn)，不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系：010-65363056。

延伸閱讀