IPv6转换难点分析之:IPv6安全

发布时间:2020-12-18 11:00:00

IPv6安全是一个系统工程,不能依赖于某个单一的系统设备,而是需要仔细分析安全需求,利用各种安全设备和技术外加结合科学的管理,共筑网络安全。

文将从主机安全、局域网安全网络互联安全和网络设备安全等几个方面阐述IPv6的安全问题

IPv6安全综述

在IPv4环境下,网络及信息安全涵盖的范围很广,从链路层到网络层再到应用层,都会有相应的安全威胁和防范技术。总体来说,网络安全威胁主要包括嗅探、阻断篡改和伪造,应的安全服务又主要包括保密性、完整性、不可抵性、可用性、访问控制和安全协议设计等。IPv6技术虽然在保密性、完整性等方面有了较大的改进,但在面临应用层攻击、DoS攻击、路由器攻击、病毒和蠕虫攻击等方面仍然面临着和IPv4同样的安全问题

一、IPv6主机安全

在信息时代,攻陷服务器等主机可以获取攻击路由器/交换机等网络基础设施有价值的信息,因此攻击者将注意力更多地集中到有价值的主机上。当构建一个全面的IPv6安全策略时,不能只考虑使用专门的安全设备来增强网络安全,IPv6主机的安全更应引起人们的重视

就IPv6主机安全而言,主要目标就是远离网络中的攻击行为,包括对本机开放的应用服务进行访问限制、关闭不必要的服务端口、对存在安全隐患的应用(包括操作系统)及时修复、对入站的接收包和出站的发送包进行严格的限制、定期对主机进行病毒扫描和查杀等。

 在IPv4向IPv6过渡阶段,主机特别是服务器使用双栈的情况会长期存在,所以IPv4协议和IPv6协议的安全防护同等重要,不能厚此薄彼。否则,即便IPv6安全做得相当到位,一旦IPv4协议被攻陷,IPv6也会功亏一篑

二、IPv6局域网安全

在IPv4局域网中,经常面临一些网络安全方面的问题,比如,广播风暴、发送伪造的ARP报文以冒充网关或邻居、私设DHCP服务器、针对DHCP服务器的地址池耗尽及DoS攻击等。在IPv6中,虽然协议自身的设计属性能减少一些安全问题,但并不能完全避免,集中表现在组播问题、局域网扫描问题、NDP攻击问题以及IPv6地址欺骗等问题,IPv6情况下的局域网问题仍然不容忽视。

三、IPv6网络互联安全

当网络之间相互通信时,特别是当局域网与国际互联网通信时,就需要使用路由器或防火墙等网络设备来实现网络之间的互联。而路由器等设备就可以称为网络边界设备,互联的网络可以称为边界网络。通俗来讲,网络边界设备就是一个网络与另个网络的连接中枢,它在保证两个网络正常连接的同时,还须充分考虑网络连接时的安全。

通常情况下,内网(如局域网)对外网(如互联网)的访问不会有太多限制,因为通常内网是可信任的网络,而外网是不可信和不安全的网络,因此在通过外网访问内网时都需要进行严格的限制。在实际环境中,还可能设置专门的DMZ(Demilitarized Zone,隔离区),并将服务器等放置在DMZ中,对来自内网和来自外网的访问都进行严格限制。市场上常见的防火墙大多具有Inside(nus)、Ouside(untnus)和DMZ安全域的概念,且每个安全域具有不同的安全等级。

IPV6网络互联的安全跟IPv4网络互联的安全实际是一样的。IPV4网络中面临的安全问题在IPv6中也同样存在,比如在选路控制层面上对路由协议的攻击、伪造大量的垃圾报文消耗网络设备资源的DoS攻击、未授权的非法访问等。

四、网络设备安全

路由器作为网络互联设备,不但保障网络的稳定运行,而且还拥有整个网络的拓扑信息以及一些重要的管理维护信息。攻击者可以通过嗅探路由器自身或转发的数据报文来获取有用信息,甚至利用路由器等网络设备系统自身或者管理上的漏洞攻破路由器等设备。

网络设备的安全至少要从以下4个方面来加强:

1网络设备系统本身的漏洞要及时修补或升级,当暂时无法提供补丁或新版本时,也需采用临时解决办法或手段。

2路由器等网络设备需关闭不必要的服务对于必须开放的服务,也应做好安全访问限制。

(3)网络配置应尽量简洁,对过时的无用的配置要及时删除,特别是在更改网络配置时,配置不能越来越繁杂。

(4)路由器等网络设备也必须放置在不能随便进入的机房等场所,而且要避免设备上的网络连线被嗅探到。网络设备的console口也应设置不易破解的密码,关闭并按需启用暂时还没有连接到网络的端口。

客户案例:

 目前有超过1500个gov.cn域名通过国科云进行注册和管理。有超过300个政府网站使用国科云云解析服务或IPv6转换服务。更多案例包括:

 公安部、审计署、外汇管理局等部委级单位;安徽省政府、福建省政府、黑龙江省政府、青海省政府、合肥市政府、厦门市政府等省市政府;外汇交易中心、上海证券交易所、北京银行、南京银行、兴业银行等金融机构;中国互联网新闻中心、中国专利信息中心、中国铁路物资股份有限公司、中国电子器材有限公司、中国华电集团有限公司等企事业单位。 

【点击链接,免费试用国科云IPv6改造产品





相关推荐:
IPv6转换过程中常见问题盘点
上一篇:Ipv6转换难点分析之一:协议转换技术 下一篇:成为大站标配的CDN,到底有何过人之处?