IPv6对网络安全的影响性分析

应对方式：

• 安全邻居发现(SEND)[7]协议是邻居发现协议中的一个安全扩展，其工作原理为使网络中每个IPv6节点都有一对公私钥以及多个邻居扩展选项。采用SEND协议后，各个节点的接口标识符(IPv6地址低64比特)将基于当前的IPv6网络前缀与公钥进行计算产生，而不能由各个节点自行选择。安全邻居发现协议通过时间戳和Nonce选项抵御重放攻击，并引入了CGA(密码生成地址)与RSA签名对数据源进行验证以解决邻居请求/邻居通告欺骗的问题。SEND虽然可以解决一定的安全问题，但目前系统与设备对SEND的支持十分有限。
• RFC7113提出了IPv6安全RA方案RA-Guard[8]，其通过阻断非信任端口RA报文转发来避免恶意RA可能带来的威胁，在攻击包实际到达目标节点之前阻塞二层设备上的攻击数据包。
• 使用访问控制列表或空路由过滤对地址空间中未分配的部分的访问，用以防止攻击者迫使路由解析未使用的地址。

(3) DHCPv6

安全威胁：

• 地址池耗尽攻击：攻击者可以伪装为大量的DHCPv6客户端，向DHCPv6服务器请求大量的IPv6地址，耗光IPv6地址池。
• 拒绝服务攻击：攻击者可向DHCPv6服务器发送大量的SOLICIT消息，强制服务器在一定时间内维持一个状态，致使服务器CPU与文件系统产生巨大负担，直至无法正常工作。
• 伪造DHCPv6服务器：攻击者可伪造成DHCPv6服务器向目标客户端发送伪造的ADVERTISE与REPLY报文，在伪造报文中携带虚假的默认网关、DNS服务器等信息，以此实现重定向攻击。

应对方式：

• 对客户端所有发送到FF02::1:2(所有DHCPv6中继代理与服务器)和FF05::1:3(所有DHCPv6服务器)的消息数量进行速率限制。
• DHCPv6中内置了认证机制，认证机制中的RKAP协议[9]可以对伪造DHCPv6服务器的攻击行为提供防范。

三、 IPv6 对安全硬件的影响

1. 防火墙

(1)IPv6报头的影响

针对IPv6报文，防火墙必须对IPv6基本报头与所有的扩展首部进行解析，才能获取传输层与应用层的信息，从而确定当前数据报是否应该被允许通过或是被丢弃。由于过滤策略相比IPv4更加复杂，在一定程度上将加剧防火墙的负担，影响防火墙的性能。

(2) IPSec的影响

如若在IPv6数据包中启用加密选项，负载数据将进行加密处理，由于包过滤型防火墙无法对负载数据进行解密，无法获取TCP与UDP端口号，因此包过滤型防火墙无法判断是否可以将当前数据包放行。

由于地址转换技术(NAT)和IPSec在功能上不匹配，因此很难穿越地址转换型防火墙利用IPSec进行通信。

2. IDS&IPS

面对IPv6数据包，倘若启用了加密选项，IDS与IPS则无法对加密数据进行提取与分析，无法通过报文分析获取TCP、UDP信息，进而无法对网络层进行全面的安全防护。即便只允许流量启用AH认证报头，但认证报头内部具有可变长度字段ICV，因此检测引擎并不能准确地定位开始内容检查的位置。

四、 过渡技术的安全性

1. 双栈技术

倘若双栈主机不具备IPv6网络下的安全防护，而攻击者与双栈主机存在邻接关系时，则可以通过包含IPv6前缀的路由通告应答的方式激活双栈主机的IPv6地址的初始化，进而实施攻击。

2. 隧道技术

(1) 隧道注入

攻击者可通过伪造外部IPv4与内部IPv6地址伪装成合法用户向隧道中注入流量。

(2)  隧道嗅探

位于隧道IPv4路径上的攻击者可以嗅探IPv6隧道数据包，并读取数据包内容。

3. 翻译技术

利用翻译技术实现IPv4-IPv6网络互联互通时，需要对报文的IP层及传输层的相关信息进行改动，因此可能会对端到端的安全产生影响，导致IPSec的三层安全隧道在翻译设备处出现断点。

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!