1安全問題爆發(fā)的原因

隨著網(wǎng)絡的發(fā)展，互聯(lián)網(wǎng)上巨大的利益誘惑，使得互聯(lián)網(wǎng)上的攻擊并不像以往那么單純了?，F(xiàn)代網(wǎng)絡周邊環(huán)境的封閉性已經(jīng)被打破，市場對于支持居家辦公網(wǎng)絡、分支機構連通性網(wǎng)絡、無線移動性網(wǎng)絡和新的企業(yè)到企業(yè)網(wǎng)絡的需求不斷增加，確保網(wǎng)絡安全性和可用性已經(jīng)成為更加復雜的任務。

2下一代互聯(lián)網(wǎng)的安全性

基于IPv4協(xié)議的互聯(lián)網(wǎng)向IPv6協(xié)議的下一代互聯(lián)網(wǎng)發(fā)展已經(jīng)是不爭的發(fā)展之路，下一代互聯(lián)網(wǎng)的研究和建設正逐步成為信息技術領域的熱點和不可或缺的重要領域。相對于傳統(tǒng)的IPv4網(wǎng)絡，IPv6為網(wǎng)絡安全帶來了很多好處，主要包括以下幾個方面。

⑴可溯源性

IPv6巨大的地址空間帶來了網(wǎng)絡的可溯源性。在IPv4網(wǎng)絡中，由于網(wǎng)絡地址少而必須布置的NAT存在，使得攻擊發(fā)生后的追蹤變得尤其困難。這導致目前采用的基于事前預防的過濾類方法或是基于事后追查的回溯類方法都存在部署困難的缺陷，使得安全的保障性大大降低。隨著IPv6的逐步部署，巨大的地址空間使得每個用戶都可以獲得惟一的網(wǎng)絡IPv6地址，該地址可以和用戶的個人信息綁定，更加有利于互聯(lián)網(wǎng)的溯源行為。由于溯源行為的簡單化，網(wǎng)絡罪犯可能被發(fā)現(xiàn)并獲得懲罰的可能性提高，互聯(lián)網(wǎng)上的行為就能夠受到更多的約束，從而降低了網(wǎng)絡的犯罪率，帶來一個較為安全的網(wǎng)絡。不僅如此，IPv6的地址匯聚、過濾類的方法實現(xiàn)會更簡單，負載更小；另一方面由于節(jié)點不需要使用NAT就可以和對方溝通，不需要網(wǎng)絡地址的轉換，追蹤更容易，不論客戶以何種方式連接，都能夠通過簡單的過濾完成對節(jié)點地址的控制，提高了網(wǎng)絡的安全性。

⑵反偵察能力

除個人信息和地址綁定帶來可溯源的安全性之外，另一方面由于龐大的IPv6地址，使得在IPv4網(wǎng)絡中常常被黑客使用的偵察在IPv6網(wǎng)絡中變得更加困難。偵察是很多其他網(wǎng)絡攻擊方式的初始步驟，網(wǎng)絡攻擊者能夠通過偵察獲得信息，進一步獲得關于被攻擊網(wǎng)絡地址、服務、應用等內容，為下一步的攻擊做準備。據(jù)計算，在一個擁有1萬個主機的IPv6子網(wǎng)中，假設地址隨機均勻分布，以一百萬次每秒的速度掃描，發(fā)現(xiàn)第一個主機所需要的時間均值超過28年。這使得網(wǎng)絡偵察變得極為困難，從而防范進一步攻擊的發(fā)生，也降低了攻擊可能帶來的危害程度。

⑶NDP和SEND

巨大的IPv6地址帶來了網(wǎng)絡安全的第一層保護——可溯源和反偵察，而第二層保護來自于IPv6協(xié)議本身針對網(wǎng)絡安全作出的更多改善，比如IPv6取消了ARP。在IPv6中，ARP的功能被鄰居發(fā)現(xiàn)協(xié)議（NeighborDiscoveryProtocol，NDP）所代替。鄰居發(fā)現(xiàn)協(xié)議通過發(fā)現(xiàn)鏈路上的其他節(jié)點，判斷其他節(jié)點的地址，尋找可用路由，并保存可到達的其他節(jié)點的信息來保證通信。對比ARP，NDP僅在鏈路層實現(xiàn)，更加獨立于傳輸介質。同時IPv6協(xié)議中的NDP，相對于IPv4下的NDP補充了鄰居不可達發(fā)現(xiàn)（NeighborUnreachabilityDetection，NUD），加強了IP包在節(jié)點路由間傳遞的健壯性。此外，下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)（SEcureNeighborDiscovery，SEND）（RFC3971）協(xié)議通過獨立于IPSec的另一種加密方式（CryptographicallyGeneratedAddress），保證了傳輸?shù)陌踩浴?/p>

⑷強制實現(xiàn)的IPSec能力

IPv6的另一個安全性體現(xiàn)是來自其要求強制實現(xiàn)IPSec的能力。IPSec為IPv6網(wǎng)絡中的每個節(jié)點提供了數(shù)據(jù)源認證、完整性和保密性的能力，同時還可以使節(jié)點有能力抵抗重放攻擊。通過兩個擴展報頭——認證頭（AuthenticationHeader，AH）和封裝安全載荷（EncapsulationSecurityPayload，ESP）將安全機制內嵌在協(xié)議之中。其中AH實現(xiàn)保護數(shù)據(jù)完整性（即不被非法篡改）、數(shù)據(jù)源發(fā)認證（即防止源地址假冒）和抗重放（Replay）攻擊3個功能，而ESP則在AH所實現(xiàn)的安全功能基礎上，增加了對數(shù)據(jù)保密性的支持。

除了以上4點之外，IPv6還著重考慮了移動互聯(lián)網(wǎng)的安全。RFC3775專為移動IPv6下的安全性做了充分的考慮和討論。IPv6使用優(yōu)化的路由和家鄉(xiāng)地址來保證移動IPv6下的信息安全傳輸，回復IPv6路由檢查可以用來確定不論節(jié)點移動到任何地方，都能被指回原節(jié)點地址。

3IPv6可能存在的安全隱患

盡管IPv6設定之初就已經(jīng)開始考慮安全問題，也確實為網(wǎng)絡安全來帶了不少的好處，但是IPv6并不是萬能靈藥。任播服務、分片攻擊、路由頭協(xié)議、ICMPv6、碎片包、SLAAC和巨大地址數(shù)量都可能給下一代互聯(lián)網(wǎng)帶來潛在危險。

⑴任播服務

偵測是大部分攻擊采取的第一步。IPv6協(xié)議提高了效率，簡化了處理過程，然而也帶來了探測的便利性。比如IPv6協(xié)議中提供的任播服務（Any-cast），壞節(jié)點可以通過收集Any-cast回復訊息來探索想要攻擊的網(wǎng)絡內部的具體情況，為進一步攻擊做好準備。應對方法可以通過防火墻或其他安全設備嚴格篩選，尤其是嚴格控制或者隔絕任何來自可信任域外部的Any-cast請求來完成。另一個需要考慮的問題是，隨著IPv6對IPSec的普遍支持，對于包過濾型防火墻，如果使用IPSec的ESP，3層以上的信息不可見，控制難度增加。在IPSec條件下阻止對方的Any-cast，要求對IPSec進行有效地控制和檢測，這將會是下一代互聯(lián)網(wǎng)中一個巨大的挑戰(zhàn)。

⑵分片攻擊

IPv6下的訪問控制同樣依賴防火墻或者路由器訪問控制表（ACL）等控制策略，根據(jù)地址、端口等信息實施控制，而分片攻擊可以利用分片逃避網(wǎng)絡監(jiān)控設備，如防火墻和IDS。由于多個IPv6擴展頭的存在，防火墻很難計算有效數(shù)據(jù)報的最小尺寸，甚至傳輸層協(xié)議報頭不在第一個分片分組內的可能，這使得網(wǎng)絡監(jiān)控設備僅僅檢查IPv6包的頭部無法進行訪問控制。要保證防火墻能夠真正阻隔這些探測和攻擊，需要監(jiān)控設備對分片進行重組來實施基于端口信息的訪問控制策略。

⑶路由頭協(xié)定

另一種繞過防火墻的方式是利用IPv6的路由頭協(xié)定。IPv6協(xié)議決定了任何節(jié)點必須要能夠處理IPv6的路由頭判定下一跳的信息，這允許某一個節(jié)點處理通過路由頭中對下一跳的內容指定，誘導其他節(jié)點將收到的流量轉發(fā)出去。這樣路由頭可能被用來繞過某些節(jié)點的輸入地址控制，而利用一些公共的受信任的節(jié)點來轉發(fā)“壞節(jié)點”的內容，以達到躲過訪問控制，竊取目的節(jié)點信息或發(fā)動攻擊的目的。要避免這樣的情況，需要防火墻或者公共受信任的節(jié)點的監(jiān)控系統(tǒng)必須對轉發(fā)包內的每一跳的地址仔細查詢，這需要具有極高的性能判斷每條地址，并有效地將有危險性的地址攔截住，但這樣也可能導致防火墻和內部網(wǎng)絡溝通不良，從而造成對新地址的內容無法轉發(fā)等，因此需要根據(jù)網(wǎng)絡內部情況對防火墻的設置進行最佳處理，以達到安全和通信的雙重保障。

⑷ICMPv6

IPv6協(xié)議中的ICMPv6允許組播的時候地址方回復一個錯誤的原因。這從某一方面說是對通信本身有利，然而這可能被某些節(jié)點利用，比如偽裝想要攻擊的地址，發(fā)出某條不合理的組播信息，來誘導大量的目的節(jié)點發(fā)出錯誤回復、報告錯誤原因，這樣就可以引起一連串回復攻擊，造成該地址的服務停止，或者網(wǎng)絡的資源損耗，影響網(wǎng)絡質量。對于這種情況，網(wǎng)絡需要的是對組播發(fā)出地址使用返回路徑巡查，防止地址的偽裝，避免利用組播錯誤信息實現(xiàn)DDOS或其他攻擊。在IPv4向IPv6過渡時，如何防止偽造源地址的分組穿越隧道成為一個重要的問題。此外，對于ICMP消息的控制需要更加小心，因為ICMPv6對IPv6至關重要，如MTU發(fā)現(xiàn)、自動配置、重復地址檢測等。

⑸地址定義

IPv6中的組播地址定義方式給攻擊者帶來了一些機會。IPv6地址定義FF05::2為所有路由器，而FF05::3是所有的DHCP服務器。通過對所有路由器的組播或者所有DHCP服務器的組播，可能讓攻擊者定位這些重要資源的地址和位置信息，所以可能會出現(xiàn)一些專門攻擊這些服務器的拒絕服務攻擊。嚴格控制可以發(fā)出組播信息的節(jié)點或是篩選組播服務的可用命令對降低這種攻擊的可能性將會有重要的積極作用。

⑹碎片包

攻擊的另一種方式可能來自在IPv6協(xié)議下使用較大的包文件，利用錯誤的分片分組頭部信息直接對網(wǎng)絡設備發(fā)動攻擊。攻擊者可以使用間斷的、不帶結尾的碎片包來沖擊主機的緩存，并以此來浪費大量的CPU資源。有效地控制分割碎片的大小或者數(shù)量，可以降低發(fā)生這樣事情的概率。

⑺SLAAC

IPv6支持任一節(jié)點都有可能向DNS上傳域名和地址的SLAAC協(xié)議，以此來提高DNS的更新速率，但是這樣也會增加冒用域名的風險。如果DNS使用SLAAC作為其更新的手段之一，必須要確定向其更新的節(jié)點的安全性，就如同DHCP中一樣。目前已經(jīng)提出了新的DNSSec來保證DNS的安全性，然而在此之前，需要的是對上傳的域名信息的認真審核，來盡量降低這種偽造可能帶來的巨大風險。

⑻默認協(xié)議開啟

IPv6和IPv4的長時間共存已經(jīng)是大家的共識，而兩種協(xié)議并存的過程中也會有一些問題。由于現(xiàn)在IPv6下的保護軟件不充分，很多IPv4下被禁止的服務可能因疏忽由IPv6進入。比如IPv6下的Telnet默認開啟，對于很多在IPv4下禁止用戶隨意連接的主機而言，攻擊者現(xiàn)在可以通過IPv6連接到用戶的主機上，所以很多用戶需要再次使用命令阻止IPv6下的Telnet連接。

⑼巨大地址空間

在下一代互聯(lián)網(wǎng)中，掃描威脅由于巨大地址空間而顯得較為薄弱，但對于掃描的防護依然是不可輕視的。攻擊者可以通過運用一些策略，來簡化和加快子網(wǎng)掃描。例如通過DNS發(fā)現(xiàn)主機地址；猜測管理員經(jīng)常采用的一些簡單的地址；由于站點地址通常采用網(wǎng)卡地址，可以用廠商的網(wǎng)卡地址范圍縮小掃描空間；攻破DNS或路由器，讀取其緩存信息等，仍然需要對全網(wǎng)掃描這種行為的嚴格控制。同時由于每個節(jié)點都可以獲得多個IPv6的全局地址，這會導致防火墻的過濾變得復雜，并且可能需要更多的資源來管理。

4下一代互聯(lián)網(wǎng)的安全策略

未來的互聯(lián)網(wǎng)具有巨大地址空間的優(yōu)勢，更保持了原來互聯(lián)網(wǎng)一貫的開放和創(chuàng)新的基礎，勢必會有更多的機器連接其上，如物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)。這會為互聯(lián)網(wǎng)帶來更多的信息，創(chuàng)造出更多的機會和利益。要解決下一代互聯(lián)網(wǎng)的安全問題，首先要提高用戶對網(wǎng)絡安全的重視以及網(wǎng)絡安全知識的普及，這需要政府和社會的共同努力。只有正視互聯(lián)網(wǎng)的安全問題，并認真嚴謹?shù)貙Υ@些問題，才能保證網(wǎng)絡本身的安全和可持續(xù)發(fā)展，為連接在互聯(lián)網(wǎng)上的用戶提供真正安心的服務。

其次，通過傳統(tǒng)網(wǎng)絡多年的經(jīng)驗，運營商作為下一代互聯(lián)網(wǎng)的提供者，在建設之初就應該結合下一代互聯(lián)網(wǎng)的特點和潛在問題制定合適的安全措施。IPv6不是萬能靈藥，基于應用層的病毒和互聯(lián)網(wǎng)蠕蟲是一定會存在的，病毒還是會繼續(xù)傳播，同時IPv6自身也會有些不能避免的安全隱患。只有不斷了解其可能存在的威脅，并提前準備防范甚至解決這些安全問題，才能構建可信任的下一代互聯(lián)網(wǎng)，保持互聯(lián)網(wǎng)穩(wěn)定和健康的持續(xù)發(fā)展。這一方面包括利用IPv6本身的浩瀚地址，提供每個用戶惟一的固定地址，以此提高網(wǎng)絡本身可溯源性。同時，也可以通過溯源性，在監(jiān)測用戶在網(wǎng)絡上的行為并采取適當?shù)男袆觼磉_到安全監(jiān)管的目的，如發(fā)現(xiàn)壞節(jié)點行為的同時，向其他節(jié)點發(fā)出警示或者直接停止壞節(jié)點的網(wǎng)絡服務，或者為網(wǎng)絡犯罪后提供追蹤溯源服務等。各種監(jiān)管方式各有利弊，需要通過較長時間研究和經(jīng)驗總結，結合不同的需要以及對實驗效果的選擇來完成。

最后，應在下一代互聯(lián)網(wǎng)部署之時就考慮建立新型的安全架構。比如采取各個節(jié)點自制的安全架構、部署在普通用戶側的下一代防火墻和安全控制服務，通過較為完備的防范措施，未雨綢繆，打造一個對于網(wǎng)絡使用者更為安全的網(wǎng)絡

結束語

雖然在IPv6下對互聯(lián)網(wǎng)網(wǎng)絡安全的研究已經(jīng)有了長足的改進，但是任何事情沒有十全十美的。IPv6協(xié)議本身并不能完全解決安全問題，為了提高性能的妥協(xié)甚至可能為某些安全攻擊創(chuàng)造了捷徑，因而在下一代互聯(lián)網(wǎng)中，應該更加關注網(wǎng)絡的安全性。只有不斷學習，總結經(jīng)驗，才能防患于未然；時刻注意網(wǎng)絡安全動態(tài)，才能隨時對已經(jīng)暴露出的和潛在的安全漏洞進行修補。有理由相信，隨著下一代互聯(lián)網(wǎng)業(yè)務的開展以及國家規(guī)范網(wǎng)上行為的法律法規(guī)出臺，下一代互聯(lián)網(wǎng)一定能為網(wǎng)絡用戶提供更優(yōu)秀和安全的網(wǎng)絡環(huán)境

【編輯推薦】

1. 網(wǎng)絡安全之密碼抵御網(wǎng)絡犯罪的第一道防線
2. IPv6防火墻安全：新協(xié)議帶來的問題
3. IPv6無法解決全部安全問題
4. 抵御高級持續(xù)性威脅 保護你的網(wǎng)絡安全