1安全問(wèn)題爆發(fā)的原因

隨著網(wǎng)絡(luò)的發(fā)展，互聯(lián)網(wǎng)上巨大的利益誘惑，使得互聯(lián)網(wǎng)上的攻擊并不像以往那么單純了?，F(xiàn)代網(wǎng)絡(luò)周邊環(huán)境的封閉性已經(jīng)被打破，市場(chǎng)對(duì)于支持居家辦公網(wǎng)絡(luò)、分支機(jī)構(gòu)連通性網(wǎng)絡(luò)、無(wú)線移動(dòng)性網(wǎng)絡(luò)和新的企業(yè)到企業(yè)網(wǎng)絡(luò)的需求不斷增加，確保網(wǎng)絡(luò)安全性和可用性已經(jīng)成為更加復(fù)雜的任務(wù)。

2下一代互聯(lián)網(wǎng)的安全性

基于IPv4協(xié)議的互聯(lián)網(wǎng)向IPv6協(xié)議的下一代互聯(lián)網(wǎng)發(fā)展已經(jīng)是不爭(zhēng)的發(fā)展之路，下一代互聯(lián)網(wǎng)的研究和建設(shè)正逐步成為信息技術(shù)領(lǐng)域的熱點(diǎn)和不可或缺的重要領(lǐng)域。相對(duì)于傳統(tǒng)的IPv4網(wǎng)絡(luò)，IPv6為網(wǎng)絡(luò)安全帶來(lái)了很多好處，主要包括以下幾個(gè)方面。

⑴可溯源性

IPv6巨大的地址空間帶來(lái)了網(wǎng)絡(luò)的可溯源性。在IPv4網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)地址少而必須布置的NAT存在，使得攻擊發(fā)生后的追蹤變得尤其困難。這導(dǎo)致目前采用的基于事前預(yù)防的過(guò)濾類方法或是基于事后追查的回溯類方法都存在部署困難的缺陷，使得安全的保障性大大降低。隨著IPv6的逐步部署，巨大的地址空間使得每個(gè)用戶都可以獲得惟一的網(wǎng)絡(luò)IPv6地址，該地址可以和用戶的個(gè)人信息綁定，更加有利于互聯(lián)網(wǎng)的溯源行為。由于溯源行為的簡(jiǎn)單化，網(wǎng)絡(luò)罪犯可能被發(fā)現(xiàn)并獲得懲罰的可能性提高，互聯(lián)網(wǎng)上的行為就能夠受到更多的約束，從而降低了網(wǎng)絡(luò)的犯罪率，帶來(lái)一個(gè)較為安全的網(wǎng)絡(luò)。不僅如此，IPv6的地址匯聚、過(guò)濾類的方法實(shí)現(xiàn)會(huì)更簡(jiǎn)單，負(fù)載更?。涣硪环矫嬗捎诠?jié)點(diǎn)不需要使用NAT就可以和對(duì)方溝通，不需要網(wǎng)絡(luò)地址的轉(zhuǎn)換，追蹤更容易，不論客戶以何種方式連接，都能夠通過(guò)簡(jiǎn)單的過(guò)濾完成對(duì)節(jié)點(diǎn)地址的控制，提高了網(wǎng)絡(luò)的安全性。

⑵反偵察能力

除個(gè)人信息和地址綁定帶來(lái)可溯源的安全性之外，另一方面由于龐大的IPv6地址，使得在IPv4網(wǎng)絡(luò)中常常被黑客使用的偵察在IPv6網(wǎng)絡(luò)中變得更加困難。偵察是很多其他網(wǎng)絡(luò)攻擊方式的初始步驟，網(wǎng)絡(luò)攻擊者能夠通過(guò)偵察獲得信息，進(jìn)一步獲得關(guān)于被攻擊網(wǎng)絡(luò)地址、服務(wù)、應(yīng)用等內(nèi)容，為下一步的攻擊做準(zhǔn)備。據(jù)計(jì)算，在一個(gè)擁有1萬(wàn)個(gè)主機(jī)的IPv6子網(wǎng)中，假設(shè)地址隨機(jī)均勻分布，以一百萬(wàn)次每秒的速度掃描，發(fā)現(xiàn)第一個(gè)主機(jī)所需要的時(shí)間均值超過(guò)28年。這使得網(wǎng)絡(luò)偵察變得極為困難，從而防范進(jìn)一步攻擊的發(fā)生，也降低了攻擊可能帶來(lái)的危害程度。

⑶NDP和SEND

巨大的IPv6地址帶來(lái)了網(wǎng)絡(luò)安全的第一層保護(hù)——可溯源和反偵察，而第二層保護(hù)來(lái)自于IPv6協(xié)議本身針對(duì)網(wǎng)絡(luò)安全作出的更多改善，比如IPv6取消了ARP。在IPv6中，ARP的功能被鄰居發(fā)現(xiàn)協(xié)議（NeighborDiscoveryProtocol，NDP）所代替。鄰居發(fā)現(xiàn)協(xié)議通過(guò)發(fā)現(xiàn)鏈路上的其他節(jié)點(diǎn)，判斷其他節(jié)點(diǎn)的地址，尋找可用路由，并保存可到達(dá)的其他節(jié)點(diǎn)的信息來(lái)保證通信。對(duì)比ARP，NDP僅在鏈路層實(shí)現(xiàn)，更加獨(dú)立于傳輸介質(zhì)。同時(shí)IPv6協(xié)議中的NDP，相對(duì)于IPv4下的NDP補(bǔ)充了鄰居不可達(dá)發(fā)現(xiàn)（NeighborUnreachabilityDetection，NUD），加強(qiáng)了IP包在節(jié)點(diǎn)路由間傳遞的健壯性。此外，下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)（SEcureNeighborDiscovery，SEND）（RFC3971）協(xié)議通過(guò)獨(dú)立于IPSec的另一種加密方式（CryptographicallyGeneratedAddress），保證了傳輸?shù)陌踩浴?/p>

⑷強(qiáng)制實(shí)現(xiàn)的IPSec能力

IPv6的另一個(gè)安全性體現(xiàn)是來(lái)自其要求強(qiáng)制實(shí)現(xiàn)IPSec的能力。IPSec為IPv6網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)提供了數(shù)據(jù)源認(rèn)證、完整性和保密性的能力，同時(shí)還可以使節(jié)點(diǎn)有能力抵抗重放攻擊。通過(guò)兩個(gè)擴(kuò)展報(bào)頭——認(rèn)證頭（AuthenticationHeader，AH）和封裝安全載荷（EncapsulationSecurityPayload，ESP）將安全機(jī)制內(nèi)嵌在協(xié)議之中。其中AH實(shí)現(xiàn)保護(hù)數(shù)據(jù)完整性（即不被非法篡改）、數(shù)據(jù)源發(fā)認(rèn)證（即防止源地址假冒）和抗重放（Replay）攻擊3個(gè)功能，而ESP則在AH所實(shí)現(xiàn)的安全功能基礎(chǔ)上，增加了對(duì)數(shù)據(jù)保密性的支持。

除了以上4點(diǎn)之外，IPv6還著重考慮了移動(dòng)互聯(lián)網(wǎng)的安全。RFC3775專為移動(dòng)IPv6下的安全性做了充分的考慮和討論。IPv6使用優(yōu)化的路由和家鄉(xiāng)地址來(lái)保證移動(dòng)IPv6下的信息安全傳輸，回復(fù)IPv6路由檢查可以用來(lái)確定不論節(jié)點(diǎn)移動(dòng)到任何地方，都能被指回原節(jié)點(diǎn)地址。

3IPv6可能存在的安全隱患

盡管IPv6設(shè)定之初就已經(jīng)開(kāi)始考慮安全問(wèn)題，也確實(shí)為網(wǎng)絡(luò)安全來(lái)帶了不少的好處，但是IPv6并不是萬(wàn)能靈藥。任播服務(wù)、分片攻擊、路由頭協(xié)議、ICMPv6、碎片包、SLAAC和巨大地址數(shù)量都可能給下一代互聯(lián)網(wǎng)帶來(lái)潛在危險(xiǎn)。

⑴任播服務(wù)

偵測(cè)是大部分攻擊采取的第一步。IPv6協(xié)議提高了效率，簡(jiǎn)化了處理過(guò)程，然而也帶來(lái)了探測(cè)的便利性。比如IPv6協(xié)議中提供的任播服務(wù)（Any-cast），壞節(jié)點(diǎn)可以通過(guò)收集Any-cast回復(fù)訊息來(lái)探索想要攻擊的網(wǎng)絡(luò)內(nèi)部的具體情況，為進(jìn)一步攻擊做好準(zhǔn)備。應(yīng)對(duì)方法可以通過(guò)防火墻或其他安全設(shè)備嚴(yán)格篩選，尤其是嚴(yán)格控制或者隔絕任何來(lái)自可信任域外部的Any-cast請(qǐng)求來(lái)完成。另一個(gè)需要考慮的問(wèn)題是，隨著IPv6對(duì)IPSec的普遍支持，對(duì)于包過(guò)濾型防火墻，如果使用IPSec的ESP，3層以上的信息不可見(jiàn)，控制難度增加。在IPSec條件下阻止對(duì)方的Any-cast，要求對(duì)IPSec進(jìn)行有效地控制和檢測(cè)，這將會(huì)是下一代互聯(lián)網(wǎng)中一個(gè)巨大的挑戰(zhàn)。

⑵分片攻擊

IPv6下的訪問(wèn)控制同樣依賴防火墻或者路由器訪問(wèn)控制表（ACL）等控制策略，根據(jù)地址、端口等信息實(shí)施控制，而分片攻擊可以利用分片逃避網(wǎng)絡(luò)監(jiān)控設(shè)備，如防火墻和IDS。由于多個(gè)IPv6擴(kuò)展頭的存在，防火墻很難計(jì)算有效數(shù)據(jù)報(bào)的最小尺寸，甚至傳輸層協(xié)議報(bào)頭不在第一個(gè)分片分組內(nèi)的可能，這使得網(wǎng)絡(luò)監(jiān)控設(shè)備僅僅檢查IPv6包的頭部無(wú)法進(jìn)行訪問(wèn)控制。要保證防火墻能夠真正阻隔這些探測(cè)和攻擊，需要監(jiān)控設(shè)備對(duì)分片進(jìn)行重組來(lái)實(shí)施基于端口信息的訪問(wèn)控制策略。

⑶路由頭協(xié)定

另一種繞過(guò)防火墻的方式是利用IPv6的路由頭協(xié)定。IPv6協(xié)議決定了任何節(jié)點(diǎn)必須要能夠處理IPv6的路由頭判定下一跳的信息，這允許某一個(gè)節(jié)點(diǎn)處理通過(guò)路由頭中對(duì)下一跳的內(nèi)容指定，誘導(dǎo)其他節(jié)點(diǎn)將收到的流量轉(zhuǎn)發(fā)出去。這樣路由頭可能被用來(lái)繞過(guò)某些節(jié)點(diǎn)的輸入地址控制，而利用一些公共的受信任的節(jié)點(diǎn)來(lái)轉(zhuǎn)發(fā)“壞節(jié)點(diǎn)”的內(nèi)容，以達(dá)到躲過(guò)訪問(wèn)控制，竊取目的節(jié)點(diǎn)信息或發(fā)動(dòng)攻擊的目的。要避免這樣的情況，需要防火墻或者公共受信任的節(jié)點(diǎn)的監(jiān)控系統(tǒng)必須對(duì)轉(zhuǎn)發(fā)包內(nèi)的每一跳的地址仔細(xì)查詢，這需要具有極高的性能判斷每條地址，并有效地將有危險(xiǎn)性的地址攔截住，但這樣也可能導(dǎo)致防火墻和內(nèi)部網(wǎng)絡(luò)溝通不良，從而造成對(duì)新地址的內(nèi)容無(wú)法轉(zhuǎn)發(fā)等，因此需要根據(jù)網(wǎng)絡(luò)內(nèi)部情況對(duì)防火墻的設(shè)置進(jìn)行最佳處理，以達(dá)到安全和通信的雙重保障。

⑷ICMPv6

IPv6協(xié)議中的ICMPv6允許組播的時(shí)候地址方回復(fù)一個(gè)錯(cuò)誤的原因。這從某一方面說(shuō)是對(duì)通信本身有利，然而這可能被某些節(jié)點(diǎn)利用，比如偽裝想要攻擊的地址，發(fā)出某條不合理的組播信息，來(lái)誘導(dǎo)大量的目的節(jié)點(diǎn)發(fā)出錯(cuò)誤回復(fù)、報(bào)告錯(cuò)誤原因，這樣就可以引起一連串回復(fù)攻擊，造成該地址的服務(wù)停止，或者網(wǎng)絡(luò)的資源損耗，影響網(wǎng)絡(luò)質(zhì)量。對(duì)于這種情況，網(wǎng)絡(luò)需要的是對(duì)組播發(fā)出地址使用返回路徑巡查，防止地址的偽裝，避免利用組播錯(cuò)誤信息實(shí)現(xiàn)DDOS或其他攻擊。在IPv4向IPv6過(guò)渡時(shí)，如何防止偽造源地址的分組穿越隧道成為一個(gè)重要的問(wèn)題。此外，對(duì)于ICMP消息的控制需要更加小心，因?yàn)镮CMPv6對(duì)IPv6至關(guān)重要，如MTU發(fā)現(xiàn)、自動(dòng)配置、重復(fù)地址檢測(cè)等。

⑸地址定義

IPv6中的組播地址定義方式給攻擊者帶來(lái)了一些機(jī)會(huì)。IPv6地址定義FF05::2為所有路由器，而FF05::3是所有的DHCP服務(wù)器。通過(guò)對(duì)所有路由器的組播或者所有DHCP服務(wù)器的組播，可能讓攻擊者定位這些重要資源的地址和位置信息，所以可能會(huì)出現(xiàn)一些專門攻擊這些服務(wù)器的拒絕服務(wù)攻擊。嚴(yán)格控制可以發(fā)出組播信息的節(jié)點(diǎn)或是篩選組播服務(wù)的可用命令對(duì)降低這種攻擊的可能性將會(huì)有重要的積極作用。

⑹碎片包

攻擊的另一種方式可能來(lái)自在IPv6協(xié)議下使用較大的包文件，利用錯(cuò)誤的分片分組頭部信息直接對(duì)網(wǎng)絡(luò)設(shè)備發(fā)動(dòng)攻擊。攻擊者可以使用間斷的、不帶結(jié)尾的碎片包來(lái)沖擊主機(jī)的緩存，并以此來(lái)浪費(fèi)大量的CPU資源。有效地控制分割碎片的大小或者數(shù)量，可以降低發(fā)生這樣事情的概率。

⑺SLAAC

IPv6支持任一節(jié)點(diǎn)都有可能向DNS上傳域名和地址的SLAAC協(xié)議，以此來(lái)提高DNS的更新速率，但是這樣也會(huì)增加冒用域名的風(fēng)險(xiǎn)。如果DNS使用SLAAC作為其更新的手段之一，必須要確定向其更新的節(jié)點(diǎn)的安全性，就如同DHCP中一樣。目前已經(jīng)提出了新的DNSSec來(lái)保證DNS的安全性，然而在此之前，需要的是對(duì)上傳的域名信息的認(rèn)真審核，來(lái)盡量降低這種偽造可能帶來(lái)的巨大風(fēng)險(xiǎn)。

⑻默認(rèn)協(xié)議開(kāi)啟

IPv6和IPv4的長(zhǎng)時(shí)間共存已經(jīng)是大家的共識(shí)，而兩種協(xié)議并存的過(guò)程中也會(huì)有一些問(wèn)題。由于現(xiàn)在IPv6下的保護(hù)軟件不充分，很多IPv4下被禁止的服務(wù)可能因疏忽由IPv6進(jìn)入。比如IPv6下的Telnet默認(rèn)開(kāi)啟，對(duì)于很多在IPv4下禁止用戶隨意連接的主機(jī)而言，攻擊者現(xiàn)在可以通過(guò)IPv6連接到用戶的主機(jī)上，所以很多用戶需要再次使用命令阻止IPv6下的Telnet連接。

⑼巨大地址空間

在下一代互聯(lián)網(wǎng)中，掃描威脅由于巨大地址空間而顯得較為薄弱，但對(duì)于掃描的防護(hù)依然是不可輕視的。攻擊者可以通過(guò)運(yùn)用一些策略，來(lái)簡(jiǎn)化和加快子網(wǎng)掃描。例如通過(guò)DNS發(fā)現(xiàn)主機(jī)地址；猜測(cè)管理員經(jīng)常采用的一些簡(jiǎn)單的地址；由于站點(diǎn)地址通常采用網(wǎng)卡地址，可以用廠商的網(wǎng)卡地址范圍縮小掃描空間；攻破DNS或路由器，讀取其緩存信息等，仍然需要對(duì)全網(wǎng)掃描這種行為的嚴(yán)格控制。同時(shí)由于每個(gè)節(jié)點(diǎn)都可以獲得多個(gè)IPv6的全局地址，這會(huì)導(dǎo)致防火墻的過(guò)濾變得復(fù)雜，并且可能需要更多的資源來(lái)管理。

4下一代互聯(lián)網(wǎng)的安全策略

未來(lái)的互聯(lián)網(wǎng)具有巨大地址空間的優(yōu)勢(shì)，更保持了原來(lái)互聯(lián)網(wǎng)一貫的開(kāi)放和創(chuàng)新的基礎(chǔ)，勢(shì)必會(huì)有更多的機(jī)器連接其上，如物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)。這會(huì)為互聯(lián)網(wǎng)帶來(lái)更多的信息，創(chuàng)造出更多的機(jī)會(huì)和利益。要解決下一代互聯(lián)網(wǎng)的安全問(wèn)題，首先要提高用戶對(duì)網(wǎng)絡(luò)安全的重視以及網(wǎng)絡(luò)安全知識(shí)的普及，這需要政府和社會(huì)的共同努力。只有正視互聯(lián)網(wǎng)的安全問(wèn)題，并認(rèn)真嚴(yán)謹(jǐn)?shù)貙?duì)待這些問(wèn)題，才能保證網(wǎng)絡(luò)本身的安全和可持續(xù)發(fā)展，為連接在互聯(lián)網(wǎng)上的用戶提供真正安心的服務(wù)。

其次，通過(guò)傳統(tǒng)網(wǎng)絡(luò)多年的經(jīng)驗(yàn)，運(yùn)營(yíng)商作為下一代互聯(lián)網(wǎng)的提供者，在建設(shè)之初就應(yīng)該結(jié)合下一代互聯(lián)網(wǎng)的特點(diǎn)和潛在問(wèn)題制定合適的安全措施。IPv6不是萬(wàn)能靈藥，基于應(yīng)用層的病毒和互聯(lián)網(wǎng)蠕蟲(chóng)是一定會(huì)存在的，病毒還是會(huì)繼續(xù)傳播，同時(shí)IPv6自身也會(huì)有些不能避免的安全隱患。只有不斷了解其可能存在的威脅，并提前準(zhǔn)備防范甚至解決這些安全問(wèn)題，才能構(gòu)建可信任的下一代互聯(lián)網(wǎng)，保持互聯(lián)網(wǎng)穩(wěn)定和健康的持續(xù)發(fā)展。這一方面包括利用IPv6本身的浩瀚地址，提供每個(gè)用戶惟一的固定地址，以此提高網(wǎng)絡(luò)本身可溯源性。同時(shí)，也可以通過(guò)溯源性，在監(jiān)測(cè)用戶在網(wǎng)絡(luò)上的行為并采取適當(dāng)?shù)男袆?dòng)來(lái)達(dá)到安全監(jiān)管的目的，如發(fā)現(xiàn)壞節(jié)點(diǎn)行為的同時(shí)，向其他節(jié)點(diǎn)發(fā)出警示或者直接停止壞節(jié)點(diǎn)的網(wǎng)絡(luò)服務(wù)，或者為網(wǎng)絡(luò)犯罪后提供追蹤溯源服務(wù)等。各種監(jiān)管方式各有利弊，需要通過(guò)較長(zhǎng)時(shí)間研究和經(jīng)驗(yàn)總結(jié)，結(jié)合不同的需要以及對(duì)實(shí)驗(yàn)效果的選擇來(lái)完成。

最后，應(yīng)在下一代互聯(lián)網(wǎng)部署之時(shí)就考慮建立新型的安全架構(gòu)。比如采取各個(gè)節(jié)點(diǎn)自制的安全架構(gòu)、部署在普通用戶側(cè)的下一代防火墻和安全控制服務(wù)，通過(guò)較為完備的防范措施，未雨綢繆，打造一個(gè)對(duì)于網(wǎng)絡(luò)使用者更為安全的網(wǎng)絡(luò)

結(jié)束語(yǔ)

雖然在IPv6下對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的研究已經(jīng)有了長(zhǎng)足的改進(jìn)，但是任何事情沒(méi)有十全十美的。IPv6協(xié)議本身并不能完全解決安全問(wèn)題，為了提高性能的妥協(xié)甚至可能為某些安全攻擊創(chuàng)造了捷徑，因而在下一代互聯(lián)網(wǎng)中，應(yīng)該更加關(guān)注網(wǎng)絡(luò)的安全性。只有不斷學(xué)習(xí)，總結(jié)經(jīng)驗(yàn)，才能防患于未然；時(shí)刻注意網(wǎng)絡(luò)安全動(dòng)態(tài)，才能隨時(shí)對(duì)已經(jīng)暴露出的和潛在的安全漏洞進(jìn)行修補(bǔ)。有理由相信，隨著下一代互聯(lián)網(wǎng)業(yè)務(wù)的開(kāi)展以及國(guó)家規(guī)范網(wǎng)上行為的法律法規(guī)出臺(tái)，下一代互聯(lián)網(wǎng)一定能為網(wǎng)絡(luò)用戶提供更優(yōu)秀和安全的網(wǎng)絡(luò)環(huán)境

【編輯推薦】

1. 網(wǎng)絡(luò)安全之密碼抵御網(wǎng)絡(luò)犯罪的第一道防線
2. IPv6防火墻安全：新協(xié)議帶來(lái)的問(wèn)題
3. IPv6無(wú)法解決全部安全問(wèn)題
4. 抵御高級(jí)持續(xù)性威脅 保護(hù)你的網(wǎng)絡(luò)安全