IPv6对于大多数互联网利益相关者来说是一个新的领域,IPv6的推出会带来一些独特的安全难题,下面将讨论行业在继续应用IPv6的时候需要考虑的8个安全问题。
1.从IPv4翻译至IPv6处理过程的安全漏洞
IPv4和IPv6不是完全兼容,这是众所周知的问题。此时就需要从IPv4翻译至IPv6,于是协议翻译被看作是扩大部署和应用的一个途径。在把IPv4通讯翻译为IPv6通讯时,将不可避免地导致这些通讯,在网络上通过的时候调解处理过程。此时将会出现利用潜在的安全漏洞的机会。
此外,这种做法引进必须包含处理状态的中间设备将破坏端对端的原则,使网络更加复杂。总的来说,安全人员应该关注所有的翻译和转变机制(包括建立隧道)的安全方面,只在进行全面评估之后才明确使用这种机制。
2.大型网段有利有弊
当前建议的IPv6子网的前缀是/64(264),能够在一个网段容纳大约18quintillion(百万的三次方)个主机地址。虽然这能够实现局域网的无限增长,但是它的规模也带来了难题。
例如,扫描一个IPv6/64网段的安全漏洞会需要几年的时间,而扫描一个/24IPv4子网28这需要几秒钟。由于全面扫描是不可能的,一个较好的方法是仅利用第一个/118的地址(与IPV4的一个/22网段的主机数量相同)以便缩小需要扫描的IP地址范围,或者明确地分配所有的地址,完全拒绝其它的地址。这将使认真的IP地址管理和监视比现在更加重要。人们预计还将看到攻击者使用被动域名系统分析和其它侦查技术取代传统的扫描。
3.邻居发现协议和邻居请求能够暴露网络问题
IPv6的邻居发现协议使用五个不同类型ICM Pv6(互联网控制消息协议第6版)信息用于若干目的。虽然邻居发现协议提供了许多有用的功能(,但是它还给攻击者带来了机会。IPv6中的攻击很可能取代ARP(地址解析协议)欺骗攻击等IPv4中的攻击。
4.阻塞大型扩展标头(header)、防火墙和安全网关可能成为分布式拒绝服务攻击的目标
IPv6采用名为扩展标头的一套额外的标头,这些扩展标头将指定目的地选择、逐个跳点的选择、身份识别和其它许多选择。这些扩展标头在IPv6主标头后面并且连接在一起创建一个IPv6数据包(固定标头+扩展标头+负载),IPv6主标头固定为40字节。
有大量扩展标头的IPv6通讯可能淹没防火墙和安全网关或者甚至降低路由器转发性能,从而成为分布式拒绝服务攻击和其它攻击潜在的目标。关闭路由器上的IPv6源路由对于防御分布式拒绝服务攻击的威胁也许是必要的。明确规定支持哪些扩展标头并且检查网络设备是否正确安装是非常重要的。总的来说,IPv6增加了更多的需要过滤的组件或者需要广泛传播的组件。
5.6to4和6RD代理服务器也许会鼓励攻击和滥用
6to4以及互联网服务提供商迅速部署6RD会允许IPv6数据包跳出IPv4的壕沟,不用配置专用的隧道。但是,使用IPv6代理服务器也许会给代理服务器运营商带来许多麻烦,如发现攻击、欺骗和反射攻击。代理服务器运营商本身可能被利用为攻击和滥用的"源"。
6.支持IPv6服务可能会暴露现有的IPv4应用或者系统
一个限制是现有的安全补丁也许仅适用于IPv4技术支持。因此,在iPv4之前,在进行DNS查询已经更快部署IPv6的时候,大多数内核将喜欢IPv6接口。确实,IPv6与IPv4之间的相互作用方式可能导致每一个DNS查询的通讯量增加一倍。这将导致大量的不必要的DNS通讯量以便优化用户的体验。
操作系统和内容厂商频繁地组织非法访问以缓解和优化这种行为,这种行为将增加系统负荷和状态。此外,随着可以访问新的IPv6栈,新的安全漏洞肯定会出现。在长期过渡的共存期间的双堆栈以及路由器、最终系统和DNS等网络服务之间的相互依赖肯定会成为攻击者的肥沃的土地。
7.许多用户被隐蔽在固定的一套地址后面
把用户隐蔽在大型网络地址转换协议转换((NAT-PT)设备后面会破坏一些有用的功能,如地理位置或者查找恶意网络行为根源的工具,使基于号码和名称空间声誉的安全控制出现更多的问题。
8.当建立通向其它网络的隧道时的IP安全问题
IP安全可能对发送者进行身份识别,提供完整性保护,加密数据包以提供传输数据的保密性。IP安全对于IPv4来说是一个可选择的功能,但是,它是IPv6强制规定的功能。
在隧道模式中(它实际上可以创建一个网络至网络、主机至网络和主机至主机之间通讯的虚拟专用网),整个数据包封装在一个新的IP数据包中并且给予一个新的IT标头。
但是,虚拟专用网与一个超出原来创作者的控制的网络的连接可能导致安全问题或者被用来窃取数据。由于IP安全的安全保护和管理以及相关的密钥是由其它协议管理的并且增加了复杂性,IP安全不能像最初用于IPv4那样更广泛地支持IPv6。
(责任编辑:)
