1安全问题爆发的原因
随着网络的发展,互联网上巨大的利益诱惑,使得互联网上的攻击并不像以往那么单纯了。现代网络周边环境的封闭性已经被打破,市场对于支持居家办公网络、分支机构连通性网络、无线移动性网络和新的企业到企业网络的需求不断增加,确保网络安全性和可用性已经成为更加复杂的任务。
2下一代互联网的安全性
基于IPv4协议的互联网向IPv6协议的下一代互联网发展已经是不争的发展之路,下一代互联网的研究和建设正逐步成为信息技术领域的热点和不可或缺的重要领域。相对于传统的IPv4网络,IPv6为网络安全带来了很多好处,主要包括以下几个方面。
⑴可溯源性
IPv6巨大的地址空间带来了网络的可溯源性。在IPv4网络中,由于网络地址少而必须布置的NAT存在,使得攻击发生后的追踪变得尤其困难。这导致目前采用的基于事前预防的过滤类方法或是基于事后追查的回溯类方法都存在部署困难的缺陷,使得安全的保障性大大降低。随着IPv6的逐步部署,巨大的地址空间使得每个用户都可以获得惟一的网络IPv6地址,该地址可以和用户的个人信息绑定,更加有利于互联网的溯源行为。由于溯源行为的简单化,网络罪犯可能被发现并获得惩罚的可能性提高,互联网上的行为就能够受到更多的约束,从而降低了网络的犯罪率,带来一个较为安全的网络。不仅如此,IPv6的地址汇聚、过滤类的方法实现会更简单,负载更小;另一方面由于节点不需要使用NAT就可以和对方沟通,不需要网络地址的转换,追踪更容易,不论客户以何种方式连接,都能够通过简单的过滤完成对节点地址的控制,提高了网络的安全性。
⑵反侦察能力
除个人信息和地址绑定带来可溯源的安全性之外,另一方面由于庞大的IPv6地址,使得在IPv4网络中常常被黑客使用的侦察在IPv6网络中变得更加困难。侦察是很多其他网络攻击方式的初始步骤,网络攻击者能够通过侦察获得信息,进一步获得关于被攻击网络地址、服务、应用等内容,为下一步的攻击做准备。据计算,在一个拥有1万个主机的IPv6子网中,假设地址随机均匀分布,以一百万次每秒的速度扫描,发现第一个主机所需要的时间均值超过28年。这使得网络侦察变得极为困难,从而防范进一步攻击的发生,也降低了攻击可能带来的危害程度。
⑶NDP和SEND
巨大的IPv6地址带来了网络安全的第一层保护——可溯源和反侦察,而第二层保护来自于IPv6协议本身针对网络安全作出的更多改善,比如IPv6取消了ARP。在IPv6中,ARP的功能被邻居发现协议(NeighborDiscoveryProtocol,NDP)所代替。邻居发现协议通过发现链路上的其他节点,判断其他节点的地址,寻找可用路由,并保存可到达的其他节点的信息来保证通信。对比ARP,NDP仅在链路层实现,更加独立于传输介质。同时IPv6协议中的NDP,相对于IPv4下的NDP补充了邻居不可达发现(NeighborUnreachabilityDetection,NUD),加强了IP包在节点路由间传递的健壮性。此外,下一代互联网的安全邻居发现(SEcureNeighborDiscovery,SEND)(RFC3971)协议通过独立于IPSec的另一种加密方式(CryptographicallyGeneratedAddress),保证了传输的安全性。
⑷强制实现的IPSec能力
IPv6的另一个安全性体现是来自其要求强制实现IPSec的能力。IPSec为IPv6网络中的每个节点提供了数据源认证、完整性和保密性的能力,同时还可以使节点有能力抵抗重放攻击。通过两个扩展报头——认证头(AuthenticationHeader,AH)和封装安全载荷(EncapsulationSecurityPayload,ESP)将安全机制内嵌在协议之中。其中AH实现保护数据完整性(即不被非法篡改)、数据源发认证(即防止源地址假冒)和抗重放(Replay)攻击3个功能,而ESP则在AH所实现的安全功能基础上,增加了对数据保密性的支持。
除了以上4点之外,IPv6还着重考虑了移动互联网的安全。RFC3775专为移动IPv6下的安全性做了充分的考虑和讨论。IPv6使用优化的路由和家乡地址来保证移动IPv6下的信息安全传输,回复IPv6路由检查可以用来确定不论节点移动到任何地方,都能被指回原节点地址。
3IPv6可能存在的安全隐患
尽管IPv6设定之初就已经开始考虑安全问题,也确实为网络安全来带了不少的好处,但是IPv6并不是万能灵药。任播服务、分片攻击、路由头协议、ICMPv6、碎片包、SLAAC和巨大地址数量都可能给下一代互联网带来潜在危险。
⑴任播服务
侦测是大部分攻击采取的第一步。IPv6协议提高了效率,简化了处理过程,然而也带来了探测的便利性。比如IPv6协议中提供的任播服务(Any-cast),坏节点可以通过收集Any-cast回复讯息来探索想要攻击的网络内部的具体情况,为进一步攻击做好准备。应对方法可以通过防火墙或其他安全设备严格筛选,尤其是严格控制或者隔绝任何来自可信任域外部的Any-cast请求来完成。另一个需要考虑的问题是,随着IPv6对IPSec的普遍支持,对于包过滤型防火墙,如果使用IPSec的ESP,3层以上的信息不可见,控制难度增加。在IPSec条件下阻止对方的Any-cast,要求对IPSec进行有效地控制和检测,这将会是下一代互联网中一个巨大的挑战。
⑵分片攻击
IPv6下的访问控制同样依赖防火墙或者路由器访问控制表(ACL)等控制策略,根据地址、端口等信息实施控制,而分片攻击可以利用分片逃避网络监控设备,如防火墙和IDS。由于多个IPv6扩展头的存在,防火墙很难计算有效数据报的最小尺寸,甚至传输层协议报头不在第一个分片分组内的可能,这使得网络监控设备仅仅检查IPv6包的头部无法进行访问控制。要保证防火墙能够真正阻隔这些探测和攻击,需要监控设备对分片进行重组来实施基于端口信息的访问控制策略。
⑶路由头协定
另一种绕过防火墙的方式是利用IPv6的路由头协定。IPv6协议决定了任何节点必须要能够处理IPv6的路由头判定下一跳的信息,这允许某一个节点处理通过路由头中对下一跳的内容指定,诱导其他节点将收到的流量转发出去。这样路由头可能被用来绕过某些节点的输入地址控制,而利用一些公共的受信任的节点来转发“坏节点”的内容,以达到躲过访问控制,窃取目的节点信息或发动攻击的目的。要避免这样的情况,需要防火墙或者公共受信任的节点的监控系统必须对转发包内的每一跳的地址仔细查询,这需要具有极高的性能判断每条地址,并有效地将有危险性的地址拦截住,但这样也可能导致防火墙和内部网络沟通不良,从而造成对新地址的内容无法转发等,因此需要根据网络内部情况对防火墙的设置进行最佳处理,以达到安全和通信的双重保障。
⑷ICMPv6
IPv6协议中的ICMPv6允许组播的时候地址方回复一个错误的原因。这从某一方面说是对通信本身有利,然而这可能被某些节点利用,比如伪装想要攻击的地址,发出某条不合理的组播信息,来诱导大量的目的节点发出错误回复、报告错误原因,这样就可以引起一连串回复攻击,造成该地址的服务停止,或者网络的资源损耗,影响网络质量。对于这种情况,网络需要的是对组播发出地址使用返回路径巡查,防止地址的伪装,避免利用组播错误信息实现DDOS或其他攻击。在IPv4向IPv6过渡时,如何防止伪造源地址的分组穿越隧道成为一个重要的问题。此外,对于ICMP消息的控制需要更加小心,因为ICMPv6对IPv6至关重要,如MTU发现、自动配置、重复地址检测等。
⑸地址定义
IPv6中的组播地址定义方式给攻击者带来了一些机会。IPv6地址定义FF05::2为所有路由器,而FF05::3是所有的DHCP服务器。通过对所有路由器的组播或者所有DHCP服务器的组播,可能让攻击者定位这些重要资源的地址和位置信息,所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。严格控制可以发出组播信息的节点或是筛选组播服务的可用命令对降低这种攻击的可能性将会有重要的积极作用。
⑹碎片包
攻击的另一种方式可能来自在IPv6协议下使用较大的包文件,利用错误的分片分组头部信息直接对网络设备发动攻击。攻击者可以使用间断的、不带结尾的碎片包来冲击主机的缓存,并以此来浪费大量的CPU资源。有效地控制分割碎片的大小或者数量,可以降低发生这样事情的概率。
⑺SLAAC
IPv6支持任一节点都有可能向DNS上传域名和地址的SLAAC协议,以此来提高DNS的更新速率,但是这样也会增加冒用域名的风险。如果DNS使用SLAAC作为其更新的手段之一,必须要确定向其更新的节点的安全性,就如同DHCP中一样。目前已经提出了新的DNSSec来保证DNS的安全性,然而在此之前,需要的是对上传的域名信息的认真审核,来尽量降低这种伪造可能带来的巨大风险。
⑻默认协议开启
IPv6和IPv4的长时间共存已经是大家的共识,而两种协议并存的过程中也会有一些问题。由于现在IPv6下的保护软件不充分,很多IPv4下被禁止的服务可能因疏忽由IPv6进入。比如IPv6下的Telnet默认开启,对于很多在IPv4下禁止用户随意连接的主机而言,攻击者现在可以通过IPv6连接到用户的主机上,所以很多用户需要再次使用命令阻止IPv6下的Telnet连接。
⑼巨大地址空间
在下一代互联网中,扫描威胁由于巨大地址空间而显得较为薄弱,但对于扫描的防护依然是不可轻视的。攻击者可以通过运用一些策略,来简化和加快子网扫描。例如通过DNS发现主机地址;猜测管理员经常采用的一些简单的地址;由于站点地址通常采用网卡地址,可以用厂商的网卡地址范围缩小扫描空间;攻破DNS或路由器,读取其缓存信息等,仍然需要对全网扫描这种行为的严格控制。同时由于每个节点都可以获得多个IPv6的全局地址,这会导致防火墙的过滤变得复杂,并且可能需要更多的资源来管理。
4下一代互联网的安全策略
未来的互联网具有巨大地址空间的优势,更保持了原来互联网一贯的开放和创新的基础,势必会有更多的机器连接其上,如物联网和移动互联网。这会为互联网带来更多的信息,创造出更多的机会和利益。要解决下一代互联网的安全问题,首先要提高用户对网络安全的重视以及网络安全知识的普及,这需要政府和社会的共同努力。只有正视互联网的安全问题,并认真严谨地对待这些问题,才能保证网络本身的安全和可持续发展,为连接在互联网上的用户提供真正安心的服务。
其次,通过传统网络多年的经验,运营商作为下一代互联网的提供者,在建设之初就应该结合下一代互联网的特点和潜在问题制定合适的安全措施。IPv6不是万能灵药,基于应用层的病毒和互联网蠕虫是一定会存在的,病毒还是会继续传播,同时IPv6自身也会有些不能避免的安全隐患。只有不断了解其可能存在的威胁,并提前准备防范甚至解决这些安全问题,才能构建可信任的下一代互联网,保持互联网稳定和健康的持续发展。这一方面包括利用IPv6本身的浩瀚地址,提供每个用户惟一的固定地址,以此提高网络本身可溯源性。同时,也可以通过溯源性,在监测用户在网络上的行为并采取适当的行动来达到安全监管的目的,如发现坏节点行为的同时,向其他节点发出警示或者直接停止坏节点的网络服务,或者为网络犯罪后提供追踪溯源服务等。各种监管方式各有利弊,需要通过较长时间研究和经验总结,结合不同的需要以及对实验效果的选择来完成。
最后,应在下一代互联网部署之时就考虑建立新型的安全架构。比如采取各个节点自制的安全架构、部署在普通用户侧的下一代防火墙和安全控制服务,通过较为完备的防范措施,未雨绸缪,打造一个对于网络使用者更为安全的网络
结束语
虽然在IPv6下对互联网网络安全的研究已经有了长足的改进,但是任何事情没有十全十美的。IPv6协议本身并不能完全解决安全问题,为了提高性能的妥协甚至可能为某些安全攻击创造了捷径,因而在下一代互联网中,应该更加关注网络的安全性。只有不断学习,总结经验,才能防患于未然;时刻注意网络安全动态,才能随时对已经暴露出的和潜在的安全漏洞进行修补。有理由相信,随着下一代互联网业务的开展以及国家规范网上行为的法律法规出台,下一代互联网一定能为网络用户提供更优秀和安全的网络环境
【编辑推荐】