今年两会中提出的“加强新型基础设施建设,发展新一代信息网络”,标识了国家网络发展的风向标,如今国家正在积极发展下一代互联网建设工作,IPv6端到端贯通能力提升专项行动也在如火如荼进行中。那么对于升级后的IPv6地址,网络系统相应的安全策略是否也要随之重新规划升级?网络安全仍然是网络部署规划工作中的焦点问题。
IPv6改造方案之多段式防护安全策略经典攻击类型防护
如同IPv4一样,IPv6同属于OSI七层协议族中的一种网络层协议。因此,没有新的应用层、传输层、链路层或物理层漏洞被引入,但同时也并未被削减,因此对应IPv4安全策略中的以下攻击类型,仍需继续保留:
· 物理安全性和访问;
· 未经授权的网络访问许可;
· 应用层、传输层、链路层或物理层攻击;
· 中间人攻击;
· 操作系统漏洞和攻击;
· 流量嗅探;
· 拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)。
IPv6的独特特性
然而对比IPv4,业界对IPv6安全缺乏经验上的认识,使得上层攻击者直接攻击IPv6寻址比直接攻击IPv4寻址更加有效。虽然部分基于IPv4的安全策略可以适用于IPv6,但是IPv6也引进了必须考虑的独特特性,如:
· IPv4使用ARP来将IP地址关联到链路层地址时,IPv6使用NDP——地址自动配置和重复地址检测需要这个协议;
· IPv4支持广播,而IPv6使用多播作为代替;
· IPv4的分段是在路由器上进行的,而IPv6是在主机上进行分段;
· 一般来说,在IPv4中ICMP能够被关闭。而在IPv6中,ICMP是一个必须协议,不能被完全关闭;
· IPv6协议栈软件的不成熟有可能存在容易被攻击的漏洞;
· IPv6扩展报头的存在使得基本IPv6报头很短小,但会导致与报头相关的攻击等。
在了解了IPv6与IPv4在安全性方面的异同后,即可根据以往对IPv4部署的安全策略整理出IPv6的安全策略升级方案。
网络边界防护
首先,抵御来自因特网攻击的第一道防线就是网络边界。类似IPv4地址过滤,为防止使用非法地址带来的欺骗,应丢弃接收到的未分配的IPv6地址空间的数据报,并谨慎地考虑过滤处于边界的ICMPv6数据报,拒绝错误消息类型进入。
内部网络防护
其次,许多策略中通过建立一个强大的入侵检测系统来保护内部网络,但是在网络内部建立第二道防线以防止有意或无意的内部攻击也是必要的。当静态配置IPv6地址或使用SLAAC时,DNS需要更新的地址范围可能跨越整个网络,这将使得DNS易收到有害更新的攻击。因此,选择一套安全的DNS解析服务对于优化网络内部系统安全是极为有效的。
终端设备防护
对于网络和终端用户设备来说,最后一道防线当然是设备自身的安全措施。如今,在IPv4中普遍使用的主机安全措施也同样适用于IPv6,包括以下几项:
· 物理安全控制,如网络和应用的基础设施;
· 安全访问,通过本地控制台,SSH或其他应用层网络协议;
· 密码管理策略;
· 终端用户设备安全策略和指令;
· 主机数据报过滤和防火墙。
在基础设施、IP地址和网络管理中,定义一种安全策略来支持IPv6实施是一个重要的规划步骤。应根据计划支持的IPv6功能,更新当前的IP安全策略,使这些策略与当前的安全基础设施和系统一一对应。正所谓磨刀不误砍柴工,发展网络体系固然是时代背景下的浪潮所向,网络安全策略的规划一定要与网络部署协同更新,从而实现先进而安全的互联网络体系的建立,为网络强国战略的实现添砖加瓦。
网友评论