加入收藏 | 设为首页 | 会员中心 | 我要投稿 衡阳站长网 (https://www.0734zz.cn/)- 数据集成、设备管理、备份、数据加密、智能搜索!
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

IPv6对网络安全的影响性分析

发布时间:2019-06-15 19:30:45 所属栏目:策划 来源:狴犴安全团队
导读:本文整理并总结了IPv6可能存在的安全威胁,从IPv4安全威胁延续、IPv6相关附属协议和相关机制可能带来的安全威胁、IPv6对安全硬件的影响及过渡技术的安全威胁四个方面进行了分析与梳理。 一、 IPv4 安全威胁延续 (1) 报文监听 IPv6中可使用IPSec对其网络层

应对方式:

  • 安全邻居发现(SEND)[7]协议是邻居发现协议中的一个安全扩展,其工作原理为使网络中每个IPv6节点都有一对公私钥以及多个邻居扩展选项。采用SEND协议后,各个节点的接口标识符(IPv6地址低64比特)将基于当前的IPv6网络前缀与公钥进行计算产生,而不能由各个节点自行选择。安全邻居发现协议通过时间戳和Nonce选项抵御重放攻击,并引入了CGA(密码生成地址)与RSA签名对数据源进行验证以解决邻居请求/邻居通告欺骗的问题。SEND虽然可以解决一定的安全问题,但目前系统与设备对SEND的支持十分有限。
  • RFC7113提出了IPv6安全RA方案RA-Guard[8],其通过阻断非信任端口RA报文转发来避免恶意RA可能带来的威胁,在攻击包实际到达目标节点之前阻塞二层设备上的攻击数据包。
  • 使用访问控制列表或空路由过滤对地址空间中未分配的部分的访问,用以防止攻击者迫使路由解析未使用的地址。

(3) DHCPv6

安全威胁:

  • 地址池耗尽攻击:攻击者可以伪装为大量的DHCPv6客户端,向DHCPv6服务器请求大量的IPv6地址,耗光IPv6地址池。
  • 拒绝服务攻击:攻击者可向DHCPv6服务器发送大量的SOLICIT消息,强制服务器在一定时间内维持一个状态,致使服务器CPU与文件系统产生巨大负担,直至无法正常工作。
  • 伪造DHCPv6服务器:攻击者可伪造成DHCPv6服务器向目标客户端发送伪造的ADVERTISE与REPLY报文,在伪造报文中携带虚假的默认网关、DNS服务器等信息,以此实现重定向攻击。

应对方式:

  • 对客户端所有发送到FF02::1:2(所有DHCPv6中继代理与服务器)和FF05::1:3(所有DHCPv6服务器)的消息数量进行速率限制。
  • DHCPv6中内置了认证机制,认证机制中的RKAP协议[9]可以对伪造DHCPv6服务器的攻击行为提供防范。

三、 IPv6 对安全硬件的影响

1. 防火墙

(1)IPv6报头的影响

针对IPv6报文,防火墙必须对IPv6基本报头与所有的扩展首部进行解析,才能获取传输层与应用层的信息,从而确定当前数据报是否应该被允许通过或是被丢弃。由于过滤策略相比IPv4更加复杂,在一定程度上将加剧防火墙的负担,影响防火墙的性能。

(2) IPSec的影响

如若在IPv6数据包中启用加密选项,负载数据将进行加密处理,由于包过滤型防火墙无法对负载数据进行解密,无法获取TCP与UDP端口号,因此包过滤型防火墙无法判断是否可以将当前数据包放行。

由于地址转换技术(NAT)和IPSec在功能上不匹配,因此很难穿越地址转换型防火墙利用IPSec进行通信。

2. IDS&IPS

面对IPv6数据包,倘若启用了加密选项,IDS与IPS则无法对加密数据进行提取与分析,无法通过报文分析获取TCP、UDP信息,进而无法对网络层进行全面的安全防护。即便只允许流量启用AH认证报头,但认证报头内部具有可变长度字段ICV,因此检测引擎并不能准确地定位开始内容检查的位置。

四、 过渡技术的安全性

1. 双栈技术

倘若双栈主机不具备IPv6网络下的安全防护,而攻击者与双栈主机存在邻接关系时,则可以通过包含IPv6前缀的路由通告应答的方式激活双栈主机的IPv6地址的初始化,进而实施攻击。

2. 隧道技术

(1) 隧道注入

攻击者可通过伪造外部IPv4与内部IPv6地址伪装成合法用户向隧道中注入流量。

(2)  隧道嗅探

位于隧道IPv4路径上的攻击者可以嗅探IPv6隧道数据包,并读取数据包内容。

3. 翻译技术

利用翻译技术实现IPv4-IPv6网络互联互通时,需要对报文的IP层及传输层的相关信息进行改动,因此可能会对端到端的安全产生影响,导致IPSec的三层安全隧道在翻译设备处出现断点。

翻译设备作为网络互通的关键节点,是DDoS攻击的主要攻击目标。同时,翻译设备还可能遭遇地址池耗尽攻击,若IPv6攻击者向IPv4服务器发送互通请求,但每条请求都具有不同的IPv6地址,则每条请求都将消耗一个地址池中的IPv4地址,当出现大量该类请求时,便会将地址池耗尽,使得翻译设备不再接受进一步的请求。

五、 参考文献

  • [1]Kaufman C,Hoffman P, RFC7296: Internet Key Exchange Protocol Version 2(IKEv2)[EB/OL], https://tools.ietf.org/html/rfc7296,2014.
  • [2]Deering S, Hinden R, RFC8200: Internet Protocol, Version 6 (IPv6) Specification[EB/OL], https://tools.ietf.org/html/rfc8200,2017.
  • [3]Le Faucheur F, RFC6398: IP Router Alert Considerations and Usage [EB/OL], https://tools.ietf.org/html/rfc6398,2011.
  • [4]Patel A, Leung K RFC4283: Mobile Node Identifier Option for Mobile IPv6 (MIPv6)[EB/OL], https://tools.ietf.org/html/rfc4283,2005.
  • [5]Abley J, Savola P, RFC5095: Deprecation of Type 0 Routing Headers in IPv6 [EB/OL], https://tools.ietf.org/html/rfc5095,2007.
  • [6]Davies E, Mohacsi J, RFC4890: Recommendations for Filtering ICMPv6 Messages inFirewalls [EB/OL], https://tools.ietf.org/html/rfc4890,2007.
  • [7]Arkko J, Kempf J, Zill B, Nikander P,RFC3971: SEcure Neighbor Discovery (SEND) [EB/OL], https://tools.ietf.org/html/rfc3971,2005.

(编辑:衡阳站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读