IPv6改造方案之多段式防護安全策略-中科三方

今年兩會中提出的“加強新型基礎設施建設，發展新一代資訊網路”，標識了國家網路發展的風向標，如今國家正在積極發展下一代網際網路建設工作，IPv6端到端貫通能力提升專項行動也在如火如荼進行中。那麼對於升級後的IPv6地址，網路系統相應的安全策略是否也要隨之重新規劃升級？網路安全仍然是網路部署規劃工作中的焦點問題。

經典攻擊型別防護

       如同IPv4一樣，IPv6同屬於OSI七層協議族中的一種網路層協議。因此，沒有新的應用層、傳輸層、鏈路層或物理層漏洞被引入，但同時也並未被削減，因此對應IPv4安全策略中的以下攻擊型別，仍需繼續保留：

        · 物理安全性和訪問；

        · 未經授權的網路訪問許可；

        · 應用層、傳輸層、鏈路層或物理層攻擊；

        · 中間人攻擊；

        · 作業系統漏洞和攻擊；

        · 流量嗅探；

        · 拒絕服務攻擊（DoS）和分散式拒絕服務攻擊（DDoS）。

IPv6的獨特特性

       然而對比IPv4，業界對IPv6安全缺乏經驗上的認識，使得上層攻擊者直接攻擊IPv6定址比直接攻擊IPv4定址更加有效。雖然部分基於IPv4的安全策略可以適用於IPv6，但是IPv6也引進了必須考慮的獨特特性，如：

        · IPv4使用ARP來將IP地址關聯到鏈路層地址時，IPv6使用NDP——地址自動配置和重複地址檢測需要這個協議；

        · IPv4支援廣播，而IPv6使用多播作為代替；

        · IPv4的分段是在路由器上進行的，而IPv6是在主機上進行分段；

        · 一般來說，在IPv4中ICMP能夠被關閉。而在IPv6中，ICMP是一個必須協議，不能被完全關閉；

        · IPv6協議棧軟體的不成熟有可能存在容易被攻擊的漏洞；

        · IPv6擴充套件報頭的存在使得基本IPv6報頭很短小，但會導致與報頭相關的攻擊等。

       在瞭解了IPv6與IPv4在安全性方面的異同後，即可根據以往對IPv4部署的安全策略整理出IPv6的安全策略升級方案。

網路邊界防護

       首先，抵禦來自因特網攻擊的第一道防線就是網路邊界。類似IPv4地址過濾，為防止使用非法地址帶來的欺騙，應丟棄接收到的未分配的IPv6地址空間的資料包，並謹慎地考慮過濾處於邊界的ICMPv6資料包，拒絕錯誤訊息型別進入。

內部網路防護

       其次，許多策略中透過建立一個強大的入侵檢測系統來保護內部網路，但是在網路內部建立第二道防線以防止有意或無意的內部攻擊也是必要的。當靜態配置IPv6地址或使用SLAAC時，DNS需要更新的地址範圍可能跨越整個網路，這將使得DNS易收到有害更新的攻擊。因此，選擇一套安全的DNS解析服務對於最佳化網路內部系統安全是極為有效的。

終端裝置防護

       對於網路和終端使用者裝置來說，最後一道防線當然是裝置自身的安全措施。如今，在IPv4中普遍使用的主機安全措施也同樣適用於IPv6，包括以下幾項：

        · 物理安全控制，如網路和應用的基礎設施；

        · 安全訪問，透過本地控制檯，SSH或其他應用層網路協議；

        · 密碼管理策略；

        · 終端使用者裝置安全策略和指令；

        · 主機資料包過濾和防火牆。

      在基礎設施、IP地址和網路管理中，定義一種安全策略來支援IPv6實施是一個重要的規劃步驟。應根據計劃支援的IPv6功能，更新當前的IP安全策略，使這些策略與當前的安全基礎設施和系統一一對應。正所謂磨刀不誤砍柴工，發展網路體系固然是時代背景下的浪潮所向，網路安全策略的規劃一定要與網路部署協同更新，從而實現先進而安全的網際網路絡體系的建立，為網路強國戰略的實現添磚加瓦。

來源：中科三方