基于IPv6的下一代网络安全问题分析及对策
2013-12-30李娜
李娜
【摘 要】网络安全是一个永恒的话题,IPv6解决了IPv4地址短缺现状,它强制引入了加密和认证机制,强制实现IPSec,确保了数据的完整性和保密性的封装,实现了网络层的安全性。但这也不是绝对的安全,下一代互联网仍有很多的安全威胁。本文分析了基于IPv6的下一代网络存在的安全问题,并提出相应的对策。
【关键字】IPv6;网络安全;IPSec
引言
基于IPv6的下一代互联网,作为提高互联网容量的基础和先导,直接支撑着移动互联网、物联网、云计算等领域。然而,随着网络应用速度和规模的变大,必须要面对更多的安全风险,所以网络安全是下一代网络研究的一个重要领域。
下一代互联网的特点是开放式接口的增加,网络应用的速度和规模将有前所未有的增加,所以安全性方面的风险也相应增大。 IPv6协议引入了许多新的协议功能被用来完成可能对系统和网络的攻击,如IPv6无状态自动寻址,给合法的网络用户带来了方便的同时却也给非授权用户可以更容易访问和使用网络的机会,无状态地址自动配置里的地址冲突检测机制也可能带来了拒绝服务攻击。
一、IPv6协议及其安全机制
(一)IPv6协议
IP协议是TCP/ IP协议族的核心协议,所有的TCP,UDP,ICMP,IGMP数据都可以以IP数据报传输。 IPv6协议为“IP下一代协议”扩充了地址空间,对IPv4也做了各个方面的改进,从各方面改善了IPv4。IPv6比IPv4具有更好的安全性和服务质量,对多播技术支持的更好,可管理性更好。IPv6协议的数据报相比IPv4更简单,更灵活,下图所示IPv4和IPv6协议的数据报格式:
图1:IPv4数据报格式
图2:IPv6数据报格式
IPv6协议将地址数位延长至128位,彻底解决了IPv4地址短缺的问题。虽然IPv6的地址是IPv4的四倍,但报头只有IPv4 的两倍,并使用一个固定的格式标头,简化了路由器的操作,降低了路由器的处理开销。 为了使IP地址的分配更合理、更方便,IPv6支持无状态和有状态两种地址自动配置。 IPv6同时提供优质的对服务质量(QOS)的支持,“优先级”字段按需对特殊的QOS分组提供服务。此外,IPv6定义的IP层移动支持协议(移动IPv6,MI IPv6),通过一个简单的扩展,满足了大规模移动用户的需求。
(二)IPv6协议的安全机制
IPv6协议内置安全机制标准化为IPSec ( IP Security ) ,并已通过了IETF 。 IPSec提供了两种服务:认证和加密。认证是用来确保数据包的完整性,并提供身份鉴别服务。数据的一致性和保密性主要通过封装安全净荷报头(Encapsulating Security Payload Header , ESP )来实现。
IPv6协议使用AH和ESP两个安全协议和密钥分配和管理协议,实现IPSec中的安全功能。
(1)AH协议(Authentication Header Protocol,认证头协议):AH协议提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高。
(2)ESP协议(Encapsulating Security Payload Protocol封装安全载荷协议):ESP协议提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时,作为可选项,用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。这三个加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法实现机制复杂,运算速度慢。
(3)IKE协议( Internet Key Exchange Protocol, Internet网密钥交换协议):IKE协议是用于保证虚拟专用网络(VPN)协商、远程主机或网络接入安全的一项网络安全协议(IPsec)。该协议的功能可简单概括为以下三个方面:一是用于通信双方协商所使用的协议、加密算法以及密钥等;二是用于通信双方进行密钥交换;三是用于跟踪对以上约定参数的具体实施情况。
AH和ESP协议为IPSec 协议建立安全的虚拟专用网络提供保密性,身份验证和其他基本服务,但是光有这些还不够,还需要提供一个可以协商的协议来为通信双方提供分发和管理秘钥,这便是IKE协议可以完成的功能。
二、IPv6下存在的安全问题分析
(一)IPv6安全漏洞分析
IPv6的漏洞是指IPv6协议固有的漏洞,以及网络设备、操作系统、网络服务和解析IPv6协议及其子协议的数据包过程中产生的漏洞。 IPv6的子协议包括但不限于以下协议: NDP(邻居发现协议),ICMPv6 ( Internet控制消息协议) , DNSv6 (DNS),DHCPv6 (动态主机配置协议),IPSec ( Internet协议安全性)等。 IPv6的漏洞主要发生在IP层,但是, IP层以上的必须通过IPv6网络数据所触发的漏洞也属于IPv6相关的漏洞。
按漏洞造成的危害可分为:本地权限提升漏洞,远程信息披露,远程命令执行,远程拒绝服务,远程数据修改,不必要的服务,其他类别。所有IPv6相关的漏洞中,有一半以上的漏洞可能导致远程拒绝服务,这对于网络设备和网络服务是比较严重的。如果加上可能会导致本地拒绝服务攻击漏洞,拒绝服务漏洞将占IPv6漏洞的60%以上。因此,在IPv6网络环境中,抗拒绝服务攻击将是非常艰巨的任务。其次,可以导致远程代码执行漏洞,信息泄露和绕过安全机制以避免检测和其他灾害的漏洞也占据了较大的比例。
按漏洞影响的系统分类,可以分为影响AIX漏洞,影响HPUX漏洞,影响Linux漏洞,影响UNIX的漏洞,影响Windows漏洞 ,影响网络设备/防护墙系统漏洞等。
按照相关的数据分析,所有的IPv6漏洞中,影响比例最大的是影响网络设备的漏洞,这主要是由于IPv6的相关漏洞主要发生在网络层,而网络层数据处理的最主要实体是网络设备,除了网络设备,被广泛使用的Linux和Windows操作系统以及系统无关的应用程序和服务也成为IPv6相关的漏洞的主要来源。
(二)IPv6协议新增功能的安全性问题
IPv6协议支持无状态的地址自动配置,该功能可能会导致非授权用户可以更方便地访问和使用网络。需要加强移动终端、用户身份认证和网络访问控制。 ICMPv6作为IPv6协议的一个重要组成部分需要防止DOS攻击、反射攻击。邻居发现协议( ND )与IPv4中的ARP协议相似,需要防止DoS攻击和中间人攻击。因为IPv6是对IPv4在互联网协议栈IP层的升级, IPv6协议自身的安全机制以及漏洞、IPv6的新功能和扩展地址空间都将给我们一个新的安全研究问题。
(三)IPv6下网络安全面临的威胁
IPv6协议对IPv4协议的根本改变是发生在IP层,因此,针对IPv6协议所定义的包头及扩展头的、容易发生的安全威胁,我们需要进行充分的准备。常见的针对IPv6扩展头的攻击,主要包括利用分片扩展头发起分片攻击,逃避防火墙/IDS(Intrusion Detection System,入侵检测系统)的检查或者发动DOS攻击;利用路由扩展头的type 0类型,在网络中发起放大攻击。
IPSec是一种开放式标准架构,通过使用加密的安全服务以确保在Internet协议( IP)网络上保密而安全地通信。为了实现网络层的安全, IPv6协议中强制实施了IPSec,其主要优点是就是透明度,即提供安全服务不需要对应用程序和其他通信层及组件进行任何更改。在路由器或防火墙安装IPSec时用户或服务器系统中软件的设置无需更改。各种应用程序都可以共享IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,从而降低了密钥协商的开销及安全机制的相关培训。但是,由于秘钥管理问题仍然难以广泛的部署和实施,许多安全攻击发生在应用层而非网络层,因此网络仍然面临着诸多的安全问题。
(1)针对密码的攻击
基于密码的攻击是很具有生命力的,在IPv6的环境下也面临着这样的威胁。虽然IPv6下对IPSec进行了强制执行,但在这种情况下,用户使用的操作系统和其他访问控制的共同点是基于密码的访问控制,对计算机和网络资源的访问都是由用户名和密码决定的,对于那些老版本的操作系统,一些组件并不是在通过网络传输标识信息进行验证的时候对信息加以保护的,这样窃听者便可以获取有效的用户名和密码,拥有了与实际用户相同的权限,攻击者就可以进入机器内部进行恶意破坏。
(2)针对泄漏密钥的攻击
IPSec的工作模式(传输模式和隧道模式)下都需要密钥交换的过程,所以针对密钥的攻击仍然无法避免。虽然破解密钥是一个困难和耗费资源的过程,但这种可能仍然存在。当攻击者确定密钥后便可以对安全通信进行访问,而发送者或接收者却是完全察觉不到的,后面进行的数据传输就这样遭到了没有抵抗的攻击。攻击者进而使用泄露密钥就可以解密或修改其他需要的数据。同样,攻击者还可以使用其他泄露密钥计算其他密钥,从而获得其他安全通信的访问权。
(3)针对应用层服务的攻击
应用程序服务器是应用程序层攻击的目标,即导致服务器操作系统或应用程序错误。这会导致攻击者有能力绕过正常的访问控制,攻击者因此便可以控制此应用程序、系统、或网络,并可以任意进行读取、添加、删除或修改数据、操作系统等操作;使用计算机与软件应用程序引入病毒,并将病毒复制到网络;引入窃探器分析网络和获取信息,并最终通过使用这些信息导致网络停止响应或崩溃、异常关闭数据应用程序或操作系统、禁用其他安全控制。
由于IPSec数据包加密是在网络层进行的,在网络传输过程中,防火墙无法有效地将加密的带有病毒的数据报进行有效的检测,从而对接收端的主机或路由器构成威胁。
(4)针对拒绝服务的攻击
密钥管理分为手动密钥管理和自动密钥管理,Internet密钥管理协议被定位在应用程序的层次。 IETF规定了Internet安全协议和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol)来实现IPSec密钥管理要求,为身份验证和密钥交换技术定义了一个通用的结构,可以使用不同的密钥交换技术;I2ETF还设计了OA KL EY密钥确定协议(密钥确定协议)实施ISAKMP的具体功能,其主要目的是使需要保密通信的双方可以通过这个协议证明自己的身份、认证对方的身份、确定使用的加密算法及通信密钥,从而建立一个安全的通信连接。
IKE的协议很容易受到拒绝服务攻击,攻击者可以在互联网初始化许多连接请求即可做到这种攻击。然而加密又是有代价的,进行模数乘幂运算或两个非常大的质数乘积,甚至是对单个数据包解密和检查完整性都会占用CPU的时间。发起攻击的代价要远远比被攻击对象响应这种攻击所付出的代价小得多。例如,甲想进行一次Diffie-Hellman密钥交换,但mallory向她发送了几千个虚假的Diffie-Hellman公共值,其中全部填充伪造的返回地址,这样乙被动地进入这种虚假的交换。这样做显然会造成CPU的大量浪费。IPSec对相应的攻击提出了相应的对策,但它并不是通过抵挡服务否认攻击来进行主动防御,而是增大了发送这种垃圾包的代价及复杂度来进行被动防御,即使这样,攻击者仍然可以使用IKE协议的漏洞中断服务。
四、针对IPv6 网络安全问题的对策
(一)IPv6 数据包头扩展
IPv6安全性可以大大提高互联网的安全,它利用相关的数据包头扩展,确保路由器的安全性。 IPv6的数据接收包要求网络客户先利用数据包的扩展部分进行身份验证才可以接收相关的数据的内容,这种登录是相对独立的,它能够一定程度上遏制黑客的网络攻击,另外,IPv6的数据包头的扩展部分加密数据包的加密方法也是独立的,它可以保证客户在网络上传输机密数据的安全,不会被第三方所截获。
(二)加强对网络病毒的监控
要建立一个可行的检测系统防止网络病毒入侵,对网络给予有效的监控。当今的网络病毒和传统的病毒网络病毒有很大不同,在先进性、隐蔽性、传播性和破坏性等不同方面都有了较大的提高,它们开始依附于网络文件、邮件、网页、程序、局域网等不同的传播途径,自动启动相应的程序深入到网络系统内部肆意妄为,通过对计算机的控制以实现对互联网的攻击。相关人员需要不断地清理网络病毒,利用先进的计算机病毒查杀软件和杀毒软件定期扫描和查杀,以确保网络的安全。在进行查杀过程中,还能有效地监控网络文件、网页、邮件、程序,防止异常情况的发生。
(三)建立和完善合理的网络体系
建立和完善科学合理的网络系统可以有效地防止盗窃网络信息。相关技术人员可以采取隔离的方法以确保网络信息的安全性。技术人员建立网络防火墙也可以有效的对网络的安全进行隔离。根据设立的DMZ访问规则以及安全过滤规则,可有效地控制外网用户,以防止非法访问,确保必要的服务器的畅通,设立相应的的保护系统,有效控制那些对服务器有害的攻击。同时,还可以按照时间段规则,从而使内网用户的访问时间不能超过网络协议所规定的时间。通过设置IP地址与MAC地址绑定,实现防止ARP欺诈行为。防火墙除了可以阻止大量的恶意网络攻击外还可以确保重要的个人信息不被泄露。
(四)安装电磁屏蔽防止信息泄露
一般情况下,信息在网络系统的工作过程中是可以通过电源线、地线、信号线进行传播的,当然还可以在空间中通过电磁波传播出去,同样面临信息泄露的威胁,有的信息可以在传播过程中能够被快速的分辨出来,造成信息泄露,因此技术人员还可以在关键部位安装电磁屏蔽,涉密信息在通过计算机键盘输入的时候还可以在附近放置干扰器,这样可以在很大程度上预防信息的监听和泄露。
(五)培养核心人才研发新技术
IPv6的国际认证已在全球得到了广泛的认可,目前,我国在相关方面掌握了多达16项自主产权技术。 IPv6的发展给我国新的网络市场开拓了更多的发展机会,因此,我国必须增加IPv6的技术开发和研究,加大财政投入,继续培养新一代网络核心人才,积极参与国际上关于IPv6的研究。
五、结论
解决新一代的网络安全问题,构建可信任的下一代互联网,将是一项长期而艰巨的任务。下一代互联网意味着更大的规模、更快的速度和更多的应用,与此同时,也将面临更多的网络安全问题,因此,我们应该更加关注网络的安全性,在部署时考虑建立新型的网络架构,未雨绸缪,打造一个更为安全的网络。
参考文献:
[1]苏金树,涂睿,王宝生,刘亚萍. 互联网新型安全和管理体系结构研究展望[J]. 计算机应用研究. 2009(10)
[2]邓中波,黄孝伦,唐明灯. 探讨互联网的影响与下一代网络的安全管理[J]. 网络安全技术与应用. 2010(07)
[3]汪斌强,邬江兴. 下一代互联网的发展趋势及相应对策分析[J]. 信息工程大学学报. 2009(01)
[4]赵竞雄,王晓菊. IPv4协议与IPv6协议[J]. 软件导刊. 2010(02)
[5]Christian Huitema. 新因特网协议IPv6(第二版).清华大学出版社,1999年4月12日出版
[6]Pete Ldshin 著. IPv6详解.北京:机械工业出版社,2000年4月1日出版
[7]甘宏,潘丹. 基于网络安全入侵检测技术与防火墙结合的应用研究[J]. 科技广场. 2011(01)