域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
50萬(wàn)年——黑客找到你IPv6地址的時(shí)間
相信IPv6的地址數(shù)量?jī)?yōu)勢(shì)已為大家熟知,豐沛的地址存量是IPv6被選作新一代網(wǎng)絡(luò)承載協(xié)議并逐漸商用部署的根本驅(qū)動(dòng)力。
然而IPv6協(xié)議相比于IPv4,不僅地址數(shù)量接近無(wú)限,還在網(wǎng)絡(luò)安全性方面更勝一籌。本文將為您集中介紹IPv6的安全優(yōu)勢(shì) 。
可溯源和防攻擊
IPv6的地址空間巨大,當(dāng)下為了節(jié)省IPv6公網(wǎng)地址而被運(yùn)營(yíng)商廣泛使用的NAT技術(shù)將不再是必須。IPv6終端之間可以直接建立點(diǎn)對(duì)點(diǎn)連接,無(wú)需地址轉(zhuǎn)換,因此IPv6地址非常容易溯源。
IPv6地址分為64位的網(wǎng)絡(luò)前綴和64位的接口地址。假設(shè)攻擊者以每秒掃描100萬(wàn)個(gè)主機(jī)的速度掃描,大約50萬(wàn)年左右才能遍歷一個(gè)64位前綴內(nèi)所有的主機(jī)地址, 64位的主機(jī)地址使得網(wǎng)絡(luò)掃描的難度和代價(jià)都大大增加,從而進(jìn)一步防范了攻擊。
64位的主機(jī)地址使得網(wǎng)絡(luò)掃描的難度和代價(jià)都大大增加,從而進(jìn)一步防范了攻擊。
支持IPSec安全加密機(jī)制
IPv6協(xié)議中默認(rèn)集成了IPSec安全功能,通過(guò)擴(kuò)展認(rèn)證報(bào)頭(AH)和封裝安全載荷報(bào)頭(ESP)實(shí)現(xiàn)加密和驗(yàn)證功能。
AH協(xié)議實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證功能,ESP在上述功能基礎(chǔ)上增加安全加密功能。集成了IPSec的IPv6協(xié)議真正實(shí)現(xiàn)了端到端的安全,中間轉(zhuǎn)發(fā)設(shè)備只需要對(duì)帶有IPSec擴(kuò)展包頭的報(bào)文進(jìn)行普通轉(zhuǎn)發(fā),而不對(duì)IPSec擴(kuò)展包頭進(jìn)行處理,大大減輕轉(zhuǎn)發(fā)壓力。
NDP和SEND的安全增強(qiáng)
在IPv6協(xié)議中,采用鄰居發(fā)現(xiàn)協(xié)議(NDP)取代現(xiàn)有IPv4中的ARP及部分ICMP控制功能。
NDP協(xié)議通過(guò)在節(jié)點(diǎn)之間交換ICMPv6信息報(bào)文和差錯(cuò)報(bào)文實(shí)現(xiàn)鏈路層地址及路由發(fā)現(xiàn)、地址自動(dòng)配置等功能,并且通過(guò)維護(hù)鄰居可達(dá)狀態(tài)來(lái)加強(qiáng)通信的健壯性。NDP協(xié)議獨(dú)立于傳輸介質(zhì),可以更方便地進(jìn)行功能擴(kuò)展。
現(xiàn)有的IPv6協(xié)議層加密認(rèn)證機(jī)制可以實(shí)現(xiàn)對(duì)NDP協(xié)議的保護(hù)。IPv6的安全鄰居發(fā)現(xiàn)協(xié)議(SEND)協(xié)議是NDP的一個(gè)安全擴(kuò)展,SEND的目的是提供一種備用機(jī)制,通過(guò)獨(dú)立于IPSec的另一種加密方式保護(hù)NDP,保證了傳輸?shù)陌踩浴?/p>
真實(shí)源地址驗(yàn)證體系
真實(shí)源IPv6地址驗(yàn)證體系結(jié)構(gòu)(SAVA)分為接入網(wǎng)(Access Network)、區(qū)域內(nèi)(Intra-AS)和區(qū)域間(Inter-AS)源地址驗(yàn)證三個(gè)層次,從主機(jī)IP 地址、IP 地址前綴和自治域三個(gè)粒度構(gòu)成多重監(jiān)控防御體系。
該體系不但可以有效阻止仿冒源地址類攻擊,還能夠通過(guò)監(jiān)控流量來(lái)實(shí)現(xiàn)基于真實(shí)源地址的計(jì)費(fèi)和網(wǎng)管。
IPv6安全風(fēng)險(xiǎn)仍然存在
與IPv4相比,IPv6在安全性方面進(jìn)行了預(yù)先設(shè)計(jì)和充分考慮,但仍然存在一些難以解決的安全風(fēng)險(xiǎn)。IPv6作為網(wǎng)絡(luò)層協(xié)議,其他功能層(如應(yīng)用層漏洞)所引發(fā)的攻擊,IPv6本身并不能解決。
同時(shí),IPv6沿襲了部分IPv4已有的安全風(fēng)險(xiǎn),在IPv4與IPv6實(shí)施的雙棧配置等過(guò)渡期機(jī)制也可能引入安全風(fēng)險(xiǎn)。同時(shí),IPv6也存在自身獨(dú)有的安全漏洞。
由于IPv6協(xié)議提供了可靠的地址驗(yàn)證與溯源機(jī)制,可以在上述攻擊發(fā)生后及時(shí)溯源處置,因而實(shí)現(xiàn)高效的信息安全治理。
擁有網(wǎng)絡(luò)安全意識(shí)是保證網(wǎng)絡(luò)安全的前提,因此在IPv6部署時(shí)就需要樹立良好的安全防范意識(shí)。部署時(shí)充分利用IPv6自身的安全特性的同時(shí),設(shè)定合理的安全部署策略。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!