在互联网从IPv4协议向IPv6协议升级过渡的过程中,更多的安全问题将暴露出来,解决这些安全问题、构建可信任的下一代互联网,将是一项长期而艰巨的任务。
从目前基于IPv4协议的互联网向基于IPv6协议的下一代互联网发展将是历史的必然。下一代互联网意味着更多的应用、更快的速度和更大的规模,与此同时,随着网络应用的增加、速度的加快和规模的变大,必须面对更多的安全风险,因此网络安全研究是下一代互联网研究中的一个重要的领域。
IPv6协议强制性要求实现IPSec,拥有巨大的地址空间,增大了地址扫描的难度,从这个角度讲,下一代互联网将更加安全。但是IPSec由于密钥管理问题仍然难以广泛部署和实施,许多安全攻击发生在应用层而不是网络层,因此IPv6网络仍然面临许多安全问题。
IPv6协议介绍
IPv6协议相对于IPv4协议有许多重要的改进,具有以下基本特征:
巨大的地址空间:IPv6将IPv4的地址尺寸从32位扩充到128位,这使得网络的规模可以无限扩展,连接所有可能的装置和设备,并使用唯一的全局的网络地址。
简化的报文头部:IPv4有许多域和选项,其报头长度不固定,IPv6减少了许多域且报头长度固定,减少了对普通情况的报头处理时间。同时,IPv6对报头选项的处理允许更有效地传送和增加新的选项的灵活性。
更好的对服务质量(QoS)的支持:为上层特殊应用的传送信息流可以用流标签来识别,便于专门的处理。
改善的路由性能:层次化的地址分配便于实现路由聚合,进而减少路由表的表项,而简化的IP分组头部也减少了路由器的处理负载。
内嵌的安全机制:要求强制实现IPSec,提供了支持数据源发认证、完整性和保密性的能力,同时可以抗重放攻击。IPv6内嵌的安全机制主要由以下两个扩展报头来实现:认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulation Security Payload)。其中认证头AH可以实现以下三个功能:保护数据完整性(即不被非法篡改);数据源发认证(即防止源地址假冒)和抗重放(Replay)攻击。
封装安全载荷ESP则在AH所实现的安全功能基础上,还增加了对数据保密性的支持。
AH和ESP都可以用两种使用方式:传输模式和隧道模式。传输模式只可应用于主机实现,并只提供对上层协议的保护,而不保护IP报头。隧道模式可用于主机或安全网关。在隧道模式中,内部的IP报头带有最终的源和目的地址,而外面的IP报头可能包含性质不同的IP地址,如安全网关地址。
不过,因为IPSec还没有解决大规模的密钥分发和管理问题,虽然IPv6要求强制实现IPSec,但是IPSec在全网的部署和实施还存在许多困难。
IPv4与IPv6 安全问题比较
比较IPv4协议和IPv6协议下的安全问题,我们可以看到有些安全问题的原理和特征基本没有发生变化,例如窃听攻击,应用层攻击,中间人攻击,洪泛攻击等。另一方面,由于IPv6协议的引入,许多安全问题的原理和特征发生了显著变化,主要有侦察、非授权访问、分组头部和分段信息的篡改、源地址伪造等。
与IPv4下的情况相比较,原理和特征基本未发生变化的安全问题可以划分为三类:网络层以上的安全问题;与网络层数据保密性和完整性相关的安全问题和与网络层可用性相关的安全问题。
网络层以上的安全问题:主要是各种应用层的攻击,它们的特征和原理没有任何变化。
与网络层数据保密性和完整性相关的安全问题:主要是窃听攻击和中间人攻击。因为IPSec目前还没有解决大规模密钥分配和管理的困难,所以缺乏广泛的部署,因此在IPv6网络中,仍然可以存在窃听和中间人攻击。
与网络层可用性相关的安全问题:主要是指洪泛攻击,例如常见的TCP SYN flooding攻击。
原理和特征发生明显变化的安全问题主要包括以下几个方面。
侦察
侦察是一种基础的网络攻击方式,也是很多其他网络攻击方式的初始步骤。网络的攻击者试图获得关于被攻击网络地址、服务、应用等等各个方面尽可能多的信息。
与IPv4协议下通常仅仅是28的子网地址空间相比,IPv6协议的默认子网地址空间是264,这是一个十分庞大的天文数字。据计算,在一个拥有一万个主机的IPv6子网中,假设地址随机均匀分布,以一百万次每秒的速度扫描,发现第一个主机所需要的时间的均值超过28年。
不过攻击者还是可以通过运用一些策略,简化和加快子网扫描。例如通过DNS发现主机地址;猜测管理员经常采用的一些简单的地址;由于站点地址通常采用网卡地址,可以用厂商的网卡地址范围缩小扫描空间;攻破DNS或路由器,读取其缓存信息;以及利用新的组播地址,如所有路由器(FF05::2)、所有DHCP 服务器(FF05::1:3)。
非授权访问
与IPv4下的情况类似,IPv6下的访问控制同样依赖防火墙或者路由器访问控制表(ACL)等控制策略,根据地址、端口等信息实施控制。
对于地址转换型防火墙,它使外网的机器看不到被保护主机的IP地址,使防火墙内部的机器免受攻击,但是地址转换技术(NAT)和IPSec在功能上不匹配,因此在IPv6环境下,很难穿越地址转换型防火墙利用IPSec进行通信。
对于包过滤型防火墙,如果使用IPSec的ESP,3层以上的信息不可见,控制就更为困难了。
此外,对于ICMP消息的控制需要更加小心,因为ICMPv6对IPv6至关重要,如MTU发现、自动配置、重复地址检测等。
分组头部和分段信息的篡改
在IPv4网络中,网络设备和端系统都可以对分组进行分片,分片攻击通常用于两种情况,一类是利用分片逃避网络监控设备,如防火墙和IDS;另一类是直接利用网络设备中协议栈实现的漏洞,利用错误的分片分组头部信息直接对网络设备发动攻击。
IPv6网络中,中间设备不再进行分片,由于多个IPv6扩展头的存在,防火墙很难计算有效数据报的最小尺寸,同时还存在传输层协议报头不在第一个分片分组内的可能,这使得网络监控设备如果不对分片进行重组就无法实施基于端口信息的访问控制策略。
源地址伪造
在IPv4网络中,源地址伪造的攻击非常普遍,例如SYN Flooding、UDP Flood Smurf等攻击。对于这类攻击的防范主要有两类方法:一类是基于事前预防的过滤类方法,代表有准入过滤(Ingress Filtering)等;另一类是基于事后追查的回溯类方法,代表有ICMP回溯和分组标记等。这些方案都存在部署困难的缺陷,而由于网络地址转换(NAT)的存在,攻击发生后的追踪尤其困难。
在IPv6 网络中,一方面由于地址汇聚,准入过滤(Ingress Filtering) 等过滤类的方法实现会更简单,负载更小;另一方面由于少有网络地址的转换,追踪更容易。但是, 因为要从IPv4向IPv6过渡,如何防止伪造源地址的分组穿越隧道(Tunnel)成为一个重要的问题。
IPv6安全研究现状与趋势
目前,“安全”和“信任”已经成为国内外下一代互联网体系结构研究重点关注的领域之一。
美国100多所大学和企业于1996年底联合发起的Internet2研究计划,其目的是利用现有的网络技术来探索高速信息网络环境下新一代网络应用,同时力图发现现有网络体系结构理论的缺陷和不适应部分。在Internet2所提出的下一代网络的体系结构中,中间件(Middleware)是在网络和应用之间,为各种应用系统提供的一组公共的服务,其中主要是安全服务。目前,I2-MI(Internet2 Middleware Initiative)正开始在Internet2上研究和部署网络核心中间件,划分为识别、认证、授权、目录、和PKI五个方面的安全服务。不过,在网络层,Internet2还没有从体系结构的角度对网络层的安全服务和安全机制开展相应的研究。
美国南加州大学信息科学研究所,麻省理工学院计算机科学实验室等单位共同进行了新一代Internet体系结构研究项目——NewArch。在该项目最近的技术报告中提出了下一代互联网体系结构设计的“信任调节的透明性”(trust-modulated transparency)原则。他们的研究认为:新一代互联网,需要把现实社会中的信任关系映射到网络。基于交互用户双方的信任需求声明,网络可以提供一定范围的服务,如果双方完全信任,那么他们的交互是透明、无约束的,如果双方是不完全信任的,那么他们的交互需要被检查、过滤和约束。身份认证和其部署是实现“信任调节的透明性”的关键。
在我国,863项目,973项目中都有对下一代互联网安全体系结构研究的重要支持。
现有互联网设计之初缺乏完整的安全体系结构考虑,现有的安全技术大多是在现有互联网体系结构上进行修修补补的单元安全技术。而网络设备不对转发分组的源地址的真实性进行验证是现有安全攻击追踪困难、代价极低、安全服务难于实现的重要原因。
基于IPv6技术的下一代互联网的研究和建设,为我们从体系结构角度根本解决互联网的安全问题提供了机遇:一方面,IPv6协议具有巨大的地址空间,可以实现更好的分层地址聚类,这为所有网络终端使用真实IP地址接入提供了有利条件;另一方面,下一代互联网的建设为新的网络体系结构和网络技术的部署和应用提供了机会和平台。
依托下一代互联网的研究和建设,在网络基础设施的层次实现全网的真实IP地址访问,在网络安全服务层实现可信任的安全服务中间件,进而支持新的安全可信的互联网应用,从体系结构这个最根本的角度解决互联网的安全问题,是下一代互联网安全研究的方向。