IPv6改造方案之多段式防護安全策略-中科三方
今年兩會中提出的“加強新型基礎設施建設,發展新一代資訊網路”,標識了國家網路發展的風向標,如今國家正在積極發展下一代網際網路建設工作,IPv6端到端貫通能力提升專項行動也在如火如荼進行中。那麼對於升級後的IPv6地址,網路系統相應的安全策略是否也要隨之重新規劃升級?網路安全仍然是網路部署規劃工作中的焦點問題。
經典攻擊型別防護
如同IPv4一樣,IPv6同屬於OSI七層協議族中的一種網路層協議。因此,沒有新的應用層、傳輸層、鏈路層或物理層漏洞被引入,但同時也並未被削減,因此對應IPv4安全策略中的以下攻擊型別,仍需繼續保留:
· 物理安全性和訪問;
· 未經授權的網路訪問許可;
· 應用層、傳輸層、鏈路層或物理層攻擊;
· 中間人攻擊;
· 作業系統漏洞和攻擊;
· 流量嗅探;
· 拒絕服務攻擊(DoS)和分散式拒絕服務攻擊(DDoS)。
IPv6的獨特特性
然而對比IPv4,業界對IPv6安全缺乏經驗上的認識,使得上層攻擊者直接攻擊IPv6定址比直接攻擊IPv4定址更加有效。雖然部分基於IPv4的安全策略可以適用於IPv6,但是IPv6也引進了必須考慮的獨特特性,如:
· IPv4使用ARP來將IP地址關聯到鏈路層地址時,IPv6使用NDP——地址自動配置和重複地址檢測需要這個協議;
· IPv4支援廣播,而IPv6使用多播作為代替;
· IPv4的分段是在路由器上進行的,而IPv6是在主機上進行分段;
· 一般來說,在IPv4中ICMP能夠被關閉。而在IPv6中,ICMP是一個必須協議,不能被完全關閉;
· IPv6協議棧軟體的不成熟有可能存在容易被攻擊的漏洞;
· IPv6擴充套件報頭的存在使得基本IPv6報頭很短小,但會導致與報頭相關的攻擊等。
在瞭解了IPv6與IPv4在安全性方面的異同後,即可根據以往對IPv4部署的安全策略整理出IPv6的安全策略升級方案。
網路邊界防護
首先,抵禦來自因特網攻擊的第一道防線就是網路邊界。類似IPv4地址過濾,為防止使用非法地址帶來的欺騙,應丟棄接收到的未分配的IPv6地址空間的資料包,並謹慎地考慮過濾處於邊界的ICMPv6資料包,拒絕錯誤訊息型別進入。
內部網路防護
其次,許多策略中透過建立一個強大的入侵檢測系統來保護內部網路,但是在網路內部建立第二道防線以防止有意或無意的內部攻擊也是必要的。當靜態配置IPv6地址或使用SLAAC時,DNS需要更新的地址範圍可能跨越整個網路,這將使得DNS易收到有害更新的攻擊。因此,選擇一套安全的DNS解析服務對於最佳化網路內部系統安全是極為有效的。
終端裝置防護
對於網路和終端使用者裝置來說,最後一道防線當然是裝置自身的安全措施。如今,在IPv4中普遍使用的主機安全措施也同樣適用於IPv6,包括以下幾項:
· 物理安全控制,如網路和應用的基礎設施;
· 安全訪問,透過本地控制檯,SSH或其他應用層網路協議;
· 密碼管理策略;
· 終端使用者裝置安全策略和指令;
· 主機資料包過濾和防火牆。
在基礎設施、IP地址和網路管理中,定義一種安全策略來支援IPv6實施是一個重要的規劃步驟。應根據計劃支援的IPv6功能,更新當前的IP安全策略,使這些策略與當前的安全基礎設施和系統一一對應。正所謂磨刀不誤砍柴工,發展網路體系固然是時代背景下的浪潮所向,網路安全策略的規劃一定要與網路部署協同更新,從而實現先進而安全的網際網路絡體系的建立,為網路強國戰略的實現添磚加瓦。
來源:中科三方
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70021693/viewspace-2920007/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 中科三方:IPv6升級改造防護措施,這些你都知道嗎?
- 中科三方IPv6改造方案技術答疑:IPv6轉換的兩種技術方式
- IPv6改造方案有幾種?分別有哪些優缺點?(中科三方)
- 中科三方:IPv6轉換改造三種技術方案優劣分析及選擇
- 中科三方:淺析IPv6升級改造的幾種方式?
- 中科三方:淺析IPv6升級改造的幾種方式
- 中科三方:IPv6升級改造,怎麼就這麼難?
- 中科三方:IPv6升級改造過程中有哪些問題?
- 政企網站為什麼要做IPv6升級改造?-中科三方網站
- 關於IPv6升級改造的政策檔案彙總-中科三方
- 【必看】企業網站IPv8改造升級方案---中科三方網站
- 中科三方:IPv6升級改造正在進行時,現狀及未來又如何?
- IPv6改造方案:隧道技術
- IPv6改造方案:雙棧技術
- IPv6改造方案:協議轉換技術協議
- IPv6轉換常見問題盤點(中科三方)
- IPv6升級有幾種方式?淺談淺談IPv6改造方案
- 【中科三方】IPv6比IPv4具有哪些優勢?
- 【中科三方】IPv4向IPv6轉換的幾種技術分析,IPv6的優點
- 淺談IPv4/IPv6地址轉換技術-中科三方
- 中科三方:IPv4向IPv6轉換的幾種技術分析
- 域名品牌保護專題:域名保護相關政策法規(中科三方)
- 中科三方:淺析域名品牌保護的重要性
- 網站安全維護公司解決防護方案網站
- 快取穿透防護方案設計快取穿透
- 【中科三方】IPv6轉換技術是什麼?淺談IPv6轉換的兩種技術方式
- IPV6介紹已經IPV6改造基本步驟
- 【中科三方】高防DNS有效防劫持,配置智慧DNS解析必不可少DNS
- IPv6改造三步曲——VecloudCloud
- 中科三方:淺談DNS攻擊型別和DNS安全防護措施DNS型別
- ipv6比ipv4有什麼優點?什麼是IPv6天窗問題,如何解決?-中科三方
- 遊戲DDoS防護新方案--SDK版遊戲
- IPV6改造?華為雲如此簡單
- 常見的域名安全問題有哪些?如何提升域名安全防護?(中科三方)
- 中科三方IPv6地址轉換技術怎麼樣?採用了哪種技術手段?
- IPv6升級有哪些技術優勢?可不止增加地址空間這麼簡單!-中科三方
- 中科三方圓滿交付烏魯木齊市人民政府辦公廳IPv6轉換工作
- opentracker改造為daemon守護程式