“安全”的IPv6依然不安全
2018-11-09孙杰贤
孙杰贤
截至2016年10月底,亚太、欧洲、拉美、北美等地区IPv4地址池已完全耗尽。和最多提供约43亿个IP地址的IPv4 相比,IPv6理论可提供2的128次方个IP地址。据说,就算给铺在地球表面上的每一粒沙子都分配一个IP地址,IPv6仍然是绰绰有余。当然,相比IPv4,IPv6的优势不至海量这一点。
大概10多年前,就有“未来的互联网属于IPv6”的欢呼和论断。但我们从来没有IPv4被吊打的深切感受,也没有见到IPv6的遍地开花。然而5G来了,物联网来了,这一次,IPv6真的有了用武之地。
IPv6部署重回正轨
去年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,指出:“抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,加强统筹谋划,加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。”
可以说,《行动计划》的推出让IPv6部署和应用重回正轨。我国计划用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。
我国政府之所以大力推进IPv6的规模部署,一方面因为IPv6拥有更充沛的地址资源、更可靠的安全保障;更是顺应了因AI、大数据、云计算、5G、物联网等技术的出现和应用而蓬勃发展的万物互联智能世界的要求。数字技术的创新,将进一步推动产业的发展,从而驱动数字经济的进一步增长。
此外,还有一个很重要的原因就是IPv6网络的安全性。加快IPv6规模应用为解决网络安全问题提供了新平台,为提高网络安全管理效率和创新网络安全机制提供了新思路。大力发展基于IPv6的下一代互联网,有助于进一步创新网络安全保障手段,不断完善网络安全保障体系,显著增强网络安全态势感知和快速处置能力,大幅提升重要数据资源和个人信息安全保护水平,进一步增强互联网的安全可信和综合治理能力。
安全风险依然存在
最开始IPv6的初衷确实考虑到IPv4在安全方面的缺陷做出改进,但在IPv6协议制定过程中,大量的安全机制从强制降级为推荐,这使得在协议层面,IPv6本身并不比IPv4更安全。而且,IPv6对组播没有太多限制,恶意代码就可以利用这个特点做更广泛的传播。山石网科产品线资深经理徐涵表示,相对于IPv4的网络环境,IPv6的网络虽然不容易被地址扫描(海量地址)、碎片攻击(协议完善)、广播风暴(协议完善)、以及DHCP攻击(海量地址)。但是病毒、蠕虫、CC、欺骗、DDoS等攻击依然存在。他还强调,当前正处于IPv4与IPv6双栈共存的过渡期,在升级到IPv6的过程中,安全的问题也必须要注意,避免产生新的系统和网络漏洞。
今年初,美国商务部与国土安全部联合出台一份长达38页的网络安全报告草案——《提高互联网与通信生态系统对僵尸网络及其它自动分布式威胁的抵御能力》,报告对于IPv6这一网络安全新协议得到广泛采用后将引发的潜在影响感到担忧:IPv6将为每一台物联设备提供其惟一IP地址,这意味着更易受到入侵与黑客攻击的影响。而利用IPv4与NAT将各设备部署在同一IP地址之后的作法能够带来更理想的安全保障效果。这是普及IPv6必然面临的问题。草案亦強调,应调查“IPv6的部署会给攻击与防御活动的经济性状况产生怎样的影响”,并提出应确保互联网服务供应商采取更行之有效的激励措施。
产业化有待加强
缺少能够直接应用到IPv6环境中的网络安全设备和方案一度是IPv6推进过程中的一个痛点和瓶颈。市场上网络安全产品IPv6的支持度普遍较低,通过IPv6 Ready Logo认证的抗DDoS、入侵检测、应用防火墙等安全产品数量较少。
近日,山石网科公司声称已经成功打造了基于IPv6的多维安全防护体系。根据徐涵的介绍,此次推出的IPv6解决方案支持双栈网络、隧道技术、IPv6/IPv4的地址转换、以及基础防火墙功能,包括NAT、VPN、状态检测等,能够实现4到7层、服务器到云端的全面防护。同时,依托“山石智·源智能网络大数据分析平台”用户可以进行全景网络安全、业务安全以及潜在威胁的态势呈现、分析、预测和处置。至此,山石网科的安全防护体系除了具备云计算能力以外,更掌握了大数据分析处理能力以及人工智能技术,可以实现更精准、更及时地定位安全风险所在,并实施快速有效的安全防护,为IPv6保驾护航。
总体而言,相比IPv4,目前市场上网络安全产品IPv6的支持度普遍较低,通过IPv6 Ready Logo认证的抗DDoS、入侵检测、应用防火墙等安全产品数量较少。这将极大掣肘IPv6在我国的推进速度和广度。但有市场就会有动力,相信随着《行动计划》推出,这一局面将会有所改变。
此外,徐涵还提醒,除了IPv6本身存在的安全风险外,IPv4向IPv6过渡过程中的安全风险同样不能忽视,应该尽量避免产生新的系统和网络漏洞。
