IPv6做為新的網(wǎng)絡(luò)協(xié)議出現(xiàn)，基于IPv4的攻擊方式已經(jīng)對其失效了，許多網(wǎng)絡(luò)發(fā)達(dá)的國家已經(jīng)使用了IPv6協(xié)議。但是總有人誤認(rèn)為“網(wǎng)絡(luò)改成IPv6，安全問題就全面解決了”。誠然，IPv4中常見的一些攻擊方式將在IPv6網(wǎng)絡(luò)中失效，例如網(wǎng)絡(luò)偵察、報(bào)頭攻擊、碎片攻擊、假冒地址及蠕蟲病毒等，但I(xiàn)Pv6不僅不可能徹底解決所有安全問題，反而還會(huì)產(chǎn)生新的安全問題。

雖然與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面做了更好的改進(jìn)，在可控性和抗否認(rèn)性方面有了新的保證，但目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非網(wǎng)絡(luò)層。因此，保護(hù)網(wǎng)絡(luò)安全與信息安全，只靠一兩項(xiàng)技術(shù)并不能實(shí)現(xiàn)，還需配合多種手段，諸如認(rèn)證體系、加密體系、密鑰分發(fā)體系、可信計(jì)算體系等。

安全新問題如影隨形

IPv6是新的協(xié)議，在其發(fā)展過程中必定會(huì)產(chǎn)生一些新的安全問題，主要包括:

● 針對IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件都不太成熟。

IPv6的管理可借鑒IPv4。但對于一些網(wǎng)管技術(shù)，如SNMP（簡單網(wǎng)絡(luò)管理）等，不管是移植還是重建，其安全性都必須從本質(zhì)上有所提高。由于目前針對IPv6的網(wǎng)管都不太成熟，因此缺乏對IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測和管理的手段，對大范圍的網(wǎng)絡(luò)故障定位和性能分析的能力還有待提高。

● IPv6中同樣需要防火墻、VPN、IDS（入侵檢測系統(tǒng)）、漏洞掃描、網(wǎng)絡(luò)過濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。

事實(shí)上，IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)。例如，有研究人員在IPv6中發(fā)現(xiàn)了一處安全漏洞,可能導(dǎo)致用戶遭受拒絕服務(wù)攻擊。據(jù)悉,該漏洞存在于IPv6的type 0路由頭(RH0)特征中。某些系統(tǒng)在處理IPv6 type 0路由頭時(shí)存在拒絕服務(wù)漏洞。

● IPv6協(xié)議仍需在實(shí)踐中完善。

IPv6組播功能僅僅規(guī)定了簡單的認(rèn)證功能，所以還難以實(shí)現(xiàn)嚴(yán)格的用戶限制功能。移動(dòng)IPv6(Mobile IPv6)也存在很多新的安全挑戰(zhàn)，目前移動(dòng)IPv6可能遭受的攻擊主要包括拒絕服務(wù)攻擊、重放攻擊以及信息竊取攻擊。另外，DHCP（ Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議）必須經(jīng)過升級(jí)才可以支持IPv6地址，DHCPv6仍然處于研究、制訂之中。

●  向IPv6遷移過程中可能出現(xiàn)漏洞。

 目前安全人員已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移時(shí)出現(xiàn)的一些安全漏洞，例如黑客可以非法訪問采用了IPv4和IPv6兩種協(xié)議的LAN網(wǎng)絡(luò)資源，攻擊者可以通過安裝了雙棧的IPv6主機(jī)建立由IPv6到IPv4的隧道，從而繞過防火墻對IPv4進(jìn)行攻擊。

IPv6協(xié)議在網(wǎng)絡(luò)安全上的改進(jìn)

● IP安全協(xié)議(IPSec)技術(shù)

IP安全協(xié)議(IPSec)是IPv4的一個(gè)可選擴(kuò)展協(xié)議，而在IPv6中則是一個(gè)必備的組成部分。IPSec協(xié)議可以“無縫”地為IP提供安全特性，如提供訪問控制、數(shù)據(jù)源的身份驗(yàn)證、數(shù)據(jù)完整性檢查、機(jī)密性保證，以及抗重播(Replay)攻擊等。

IPSec通過三種不同的形式來保護(hù)通過公有或私有IP網(wǎng)絡(luò)來傳送的私有數(shù)據(jù)。

(1)驗(yàn)證:通過認(rèn)證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是否一致，同時(shí)可以確定申請發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。

(2)數(shù)據(jù)完整驗(yàn)證:通過驗(yàn)證保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。

(3)保密:使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無關(guān)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。

需要指出的是，雖然IPSec能夠防止多種攻擊，但無法抵御Sniffer、DoS攻擊、洪水(Flood)攻擊和應(yīng)用層攻擊。IPSec作為一個(gè)網(wǎng)絡(luò)層協(xié)議，只能負(fù)責(zé)其下層的網(wǎng)絡(luò)安全，不能對其上層如Web、E-mail及FTP等應(yīng)用的安全負(fù)責(zé)。

●  靈活的擴(kuò)展報(bào)頭

一個(gè)完整的IPv6數(shù)據(jù)包包括多種擴(kuò)展報(bào)頭，例如逐個(gè)路程段選項(xiàng)報(bào)頭、目的選項(xiàng)報(bào)頭、路由報(bào)頭、分段報(bào)頭、身份認(rèn)證報(bào)頭、有效載荷安全封裝報(bào)頭、最終目的報(bào)頭等。這些擴(kuò)展報(bào)頭不僅為IPv6擴(kuò)展應(yīng)用領(lǐng)域奠定了基礎(chǔ)，同時(shí)也為安全性提供了保障。

比較IPv4和IPv6的報(bào)頭可以發(fā)現(xiàn)，IPv6報(bào)頭采用基本報(bào)頭+擴(kuò)展報(bào)頭鏈組成的形式，這種設(shè)計(jì)可以更方便地增添選項(xiàng)，以達(dá)到改善網(wǎng)絡(luò)性能、增強(qiáng)安全性或添加新功能的目的。

IPv6基本報(bào)頭被固定為40bit，使路由器可以加快對數(shù)據(jù)包的處理速度，網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率得以提高，從而改善網(wǎng)絡(luò)的整體吞吐量，使信息傳輸更加快速。

IPv6基本報(bào)頭中去掉了IPv4報(bào)頭中的部分字段，其中段偏移選項(xiàng)和填充字段被放到IPv6擴(kuò)展報(bào)頭中進(jìn)行處理。

去掉報(bào)頭校驗(yàn)(Header Checksum，中間路由器不再進(jìn)行數(shù)據(jù)包校驗(yàn))的原因有三: 一是因?yàn)榇蟛糠宙溌穼右呀?jīng)對數(shù)據(jù)包進(jìn)行了校驗(yàn)和糾錯(cuò)控制，鏈路層的可靠保證使得網(wǎng)絡(luò)層不必再進(jìn)行報(bào)頭校驗(yàn); 二是端到端的傳輸層協(xié)議也有校驗(yàn)功能以發(fā)現(xiàn)錯(cuò)包; 三是報(bào)頭校驗(yàn)需隨著TTL值的變化在每一跳重新進(jìn)行計(jì)算，增加包傳送的時(shí)延。

●  地址分配與源地址檢查　

地址分配與源地址檢查在IPv6的地址概念中，有了本地子網(wǎng)(Link-local)地址和本地網(wǎng)絡(luò)(Site-local)地址的概念。從安全角度來說，這樣的地址分配為網(wǎng)絡(luò)管理員強(qiáng)化網(wǎng)絡(luò)安全管理提供了方便。若某主機(jī)僅需要和一個(gè)子網(wǎng)內(nèi)的其他主機(jī)建立聯(lián)系，網(wǎng)絡(luò)管理員可以只給該主機(jī)分配一個(gè)本地子網(wǎng)地址;若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問服務(wù)，那么就可以只給這臺(tái)服務(wù)器分配一個(gè)本地網(wǎng)絡(luò)地址，而企業(yè)網(wǎng)外部的任何人都無法訪問這些主機(jī)。

由于IPv6地址構(gòu)造是可會(huì)聚的(aggregate-able)、層次化的地址結(jié)構(gòu)，因此，IPv6接入路由器對用戶進(jìn)入時(shí)進(jìn)行源地址檢查，使得ISP可以驗(yàn)證其客戶地址的合法性。

源路由檢查出于安全性和多業(yè)務(wù)的考慮，允許核心路由器根據(jù)需要，開啟反向路由檢測功能，防止源路由篡改和攻擊。

IPv6固有的對身份驗(yàn)證的支持，以及對數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性的支持和改進(jìn)，使得IPv6增強(qiáng)了防止未授權(quán)訪問的能力，更加適合于那些對敏感信息和資源有特別處理要求的應(yīng)用。

通過端到端的安全保證，網(wǎng)絡(luò)可以滿足用戶對安全性和移動(dòng)性的要求。IPv6限制使用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換），允許所有的網(wǎng)絡(luò)節(jié)點(diǎn)使用全球惟一的地址進(jìn)行通信。每當(dāng)建立一個(gè)IPv6的連接，系統(tǒng)都會(huì)在兩端主機(jī)上對數(shù)據(jù)包進(jìn)行 IPSec封裝，中間路由器對有IPSec擴(kuò)展頭的IPv6數(shù)據(jù)包進(jìn)行透明傳輸。通過對通信端的驗(yàn)證和對數(shù)據(jù)的加密保護(hù)，使得敏感數(shù)據(jù)可以在IPv6 網(wǎng)絡(luò)上安全地傳遞，因此，無需針對特別的網(wǎng)絡(luò)應(yīng)用部署ALG(應(yīng)用層網(wǎng)關(guān))，就可保證端到端的網(wǎng)絡(luò)透明性，有利于提高網(wǎng)絡(luò)服務(wù)速度。

●  域名系統(tǒng)DNS

基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)的基礎(chǔ)，有助于抵御網(wǎng)上的身份偽裝與偷竊。當(dāng)采用可以提供認(rèn)證和完整性安全特性的DNS安全擴(kuò)展 (DNS Security Extensions)協(xié)議時(shí)，能進(jìn)一步增強(qiáng)對DNS新的攻擊方式的防護(hù)，例如網(wǎng)絡(luò)釣魚(Phishing)攻擊、DNS中毒(DNS poisoning)攻擊等，這些攻擊會(huì)控制DNS服務(wù)器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址。
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)