近日,在下一代互联网发展建设峰会上,国家计算机网络应急技术处理协调中心副主任兼总工程师云晓春表示,IPv4/v6过渡长期共存将引发诸多安全隐患,网络安全问题只有在IPv6大规模推广应用后,才会充分暴露出来。
虽然IPv4地址资源紧缺,但到目前为止,IPv6网络的发展还是缺少商业需求,可以预见在很长一段时间内,IPv4与IPv6将共存。同时,由于IPv6地址的扩展、IPv4与IPv6间的非对称性、过渡形式的多样性等系列问题,过渡期间安全防护将面临更为复杂的形势。
IPv4向IPv6过渡期间,采用双栈和隧道机制成为主要手段,但攻击者可以利用双栈机制中两种协议间存在的安全漏洞或过渡协议的问题来逃避安全监测乃至实施攻击行为。 对于隧道机制而言,它只是对任何来源的数据包只进行简单的封装和解封,并不对IPv4和IPv6地址的关系做严格的检查。因此,造成防火墙可能轻易被“穿透”。
目前,我国正处于IPv6网络的推广阶段,尚未真正大规模商业化部署。 而IPv6网络的安全问题将涉及到协议本身,网络设备、网络应用、新兴技术等多个方面。虽然已知和已预测了一些可能的安全威胁和隐患,但缺乏实践的检验和深入的研究,网络中还有大量的安全隐患尚未暴露出来。
“IPv6及其嵌入的IPSec机制,提供了一种更好的端到终端之间通信的隐私保护能力,但网络层的安全改进,仍无法解决其他层面的诸多安全问题,如:应用层的安全漏洞、自身协议的脆弱性、源地址伪造等。 ”
专家表示,IPv6自身可能带来的多种安全威胁。由于IPv6和IPv4传输数据报的基本机制没有发生改变,IPv4网络中除IP层以外的其他四层中出现的攻击在IPv6网络中依然会存在。 其次,IPv6的地址扩展虽然能够解决网络地址的紧缺问题,但是它的规模也为安全检测带来了难题,如海量地址的查询变得更加复杂。这使得安全防护面临挑战。
同时,IPv6协议本身存在着安全隐患,攻击者可能利用IPv6报文的扩展报头(可选且有多种扩展报头) ,通过自制畸形(违背IPv6标准报文格式)或者特定格式的恶意数据包来攻击路由器和主机。
其次,攻击者还可能利用邻居发现协议发送错误的路由器宣告和重定向消息等让IP数据流向不确定的方向,进而达到拒绝服务、拦截和修改数据的目的,而无状态地址自动分配可能使非授权用户可以更容易的接入和使用网络。
未来,移动智能终端数量不断增加,大量移动终端对IPv6的地址分配和管理将是一个庞大而复杂的工程。 同时终端安全问题为IPv6的安全策略制定、网络安全监管等带来新挑战。
云晓春表示,全球缺乏对IPv6环境下网络安全威胁的有效分析和防护手段,现有国家网络安全基础设施、安全防护设备和防护手段尚不能完全处理IPv6网络安全问题。特别指出的是,银行、电力、税务等国家重要行业部门尚未建立对IPv6网络安全防护的手段。
“应尽早建立健全IPv6安全防护体系,加快信息安全产品研制和商业化推广,加大对IPv6安全威胁和防护技术研究投入”,云晓春表示,解决IPv6安全问题,需要政府、安全企业、安全组织、科研机构和高校的共同努力。