IPv6概述
IPv6改造是当下信息系统升级进化的发展方向之一,而IPv6的改造并非一蹴而就,在实际改造过程中必然会经历过渡阶段,涉及到使用过渡性技术,常见的过渡性技术有三种,分别是双栈技术、隧道技术和翻译技术(通常是NAT64)。在正确使用这些过渡性技术进行IPv6改造的同时,也要保持信息系统的安全水平不能降低,避免在进行IPv6改造的同时出现新的安全漏洞。
下面就对IPv6常见的三种过渡性技术进行安全性分析,告诉大家如何进行IPv6的安全改造。
IPv6
双栈技术安全性分析
01
简介
双栈技术是IPv4向IPv6过渡的一种有效的技术。网络中的节点同时支持IPv4和IPv6协议栈,源节点根据目的节点的不同选用不同的协议栈,而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。
双栈技术可以解决IPv4向IPv6切换时的平滑过渡问题,是IPv4向IPv6过渡的基础,所有其它的过渡技术都以此为基础。
02
安全分析
在IPv6过渡的阶段,大部分网络节点同时支持IPv4和IPv6,既要面临已有的针对IPv4的网络安全威胁,又要面临针对IPv6的网络安全威胁。由于IPv6的一些新特性,IPv4网中现有的这些安全设备在IPv6网中不能直接使用,需要升级改进。其次,IPv4向IPv6过渡过程中,IPv6协议栈会挤占IPv4业务的CPU和内存等资源,导致现有的IPv4业务在会话表容量、吞吐率上会出现不同程度的下降。因此,对网络中现有安全设备、安全系统处理能力的评估需要重新评估。
03
防范措施
在支持双栈的网络环境中,部署的网络设备和安全设备需要同步升级,尤其是相关安全特性要支持双栈,即同时支持对IPv4的网络安全防御和对IPv6的网络安全防御。
IPv6
隧道技术
01
简介
隧道技术主要是IPv6 over IPv4隧道。IPv6 over IPv4技术可以利用现有的IPv4网络为相互孤立的IPv6网络提供连通性。IPv6报文被封装在IPv4报文中,实现IPv6报文的透明传输。
在IPv4网络向IPv6网络过渡的初期,IPv4网络已被大量部署,而IPv6网络只是散布在世界各地的一些孤岛。利用隧道技术可以在IPv4网络上创建隧道,从而实现IPv6孤岛之间的互连。为了实现IPv6 over IPv4隧道,需要在IPv4网络与IPv6网络交界的边界路由设备上启动IPv4/IPv6双协议栈。
02
安全分析
隧道技术过渡技术实现简单、技术门槛也低,正因为如此带来的安全隐患也很多。主要有以下三点:
隧道并没有内置的认证、完整性校验、加密的机制;
没有对IPv6地址和IPv4地址的对应关系作检查;
攻击者可以伪造内外层头部向系统注入攻击流量。
03
防范措施
隧道技术所面临的安全威胁,主要依赖IPsec加密隧道来解决,使IPv6 over IPv4转换成IPv6 IPsec over IPv4。
IPv6
NAT64
01
简介
NAT64是一种将IPv6网络地址转换成IPv4网络地址的NAT(Network Address Translation,网络地址转换)技术。在现阶段,IPv4占主流,用户可以直接部署IPv6网络,新增节点通过IPv6单栈接入的方式采用NAT64技术访问IPv4业务,或者选择用NAT64快速使某个IPv4服务群转换成IPv6。
02
安全分析
NAT64和传统NAT技术上并无差异,面临的安全威胁都是Dos攻击。主要攻击方式有以下两种:
攻击者通过大量会话将NAT表项填满;当IPv6地址终端用户发起Dos攻击(例如发起SYN-Flood攻击),就可能将NAT64设备所有的会话表资源耗尽,导致其他正常用户无法建立会话表,从而无法访问网络。因此,有必要统计和检查单个IP地址所建立的TCP/UDP/ICMP/Total会话数,通过分析源地址发起或目的地址接收的TCP/UDP/ICMP会话总数是否超过设定的阈值,可以确定是否需要限制该IP发起新的连接;
攻击者构造瞬时大量会话请求消耗网络设备CPU资源;攻击者可能控制僵尸网络同时向设备进行DDos攻击,大量的不同源地址向NAT64设备发起会话请求,NAT64设备CPU繁忙,合法用户无法正常进行地址转换。因此必须对用户建流速率和用户接入数量进行限制。
03
防范措施
针对上述两种攻击方式,NAT64需要有专门的安全特性作防御。主要包括以下特性:
NAT64会话数限制;
用户建流速率限制;
配置NAT64表项老化时间;
过滤危险的端口号或端口段。
IPv6
结语
通过对三种IPv6过渡技术的安全性分析,可以看出在IPv6改造过程当中面临着许多新的安全威胁和安全风险,需要合理地选择IPv6设备和进行IPv6相关安全功能的防护部署。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
