專家稱IPv4/v6過渡長期共存將引發(fā)安全隱患

發(fā)布: 2012-06-08 15:00 | 作者: | 來源: 通信世界網(wǎng) | 字體:       

  通信世界網(wǎng)(CWW)6月8日消息 近日,在下一代互聯(lián)網(wǎng)發(fā)展建設(shè)峰會上,國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副主任兼總工程師云曉春表示,IPv4/v6過渡長期共存將引發(fā)諸多安全隱患,網(wǎng)絡(luò)安全問題只有在IPv6大規(guī)模推廣應(yīng)用后,才會充分暴露出來。

  雖然IPv4地址資源緊缺,但到目前為止,IPv6網(wǎng)絡(luò)的發(fā)展還是缺少商業(yè)需求,可以預(yù)見在很長一段時間內(nèi),IPv4與IPv6將共存。同時,由于IPv6地址的擴(kuò)展、IPv4與IPv6間的非對稱性、過渡形式的多樣性等系列問題,過渡期間安全防護(hù)將面臨更為復(fù)雜的形勢。

  IPv4向IPv6過渡期間,采用雙棧和隧道機(jī)制成為主要手段,但攻擊者可以利用雙棧機(jī)制中兩種協(xié)議間存在的安全漏洞或過渡協(xié)議的問題來逃避安全監(jiān)測乃至實(shí)施攻擊行為。 對于隧道機(jī)制而言,它只是對任何來源的數(shù)據(jù)包只進(jìn)行簡單的封裝和解封,并不對IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查。因此,造成防火墻可能輕易被“穿透”。

  目前,我國正處于IPv6網(wǎng)絡(luò)的推廣階段,尚未真正大規(guī)模商業(yè)化部署。 而IPv6網(wǎng)絡(luò)的安全問題將涉及到協(xié)議本身,網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用、新興技術(shù)等多個方面。雖然已知和已預(yù)測了一些可能的安全威脅和隱患,但缺乏實(shí)踐的檢驗(yàn)和深入的研究,網(wǎng)絡(luò)中還有大量的安全隱患尚未暴露出來。

  “IPv6及其嵌入的IPSec機(jī)制,提供了一種更好的端到終端之間通信的隱私保護(hù)能力,但網(wǎng)絡(luò)層的安全改進(jìn),仍無法解決其他層面的諸多安全問題,如:應(yīng)用層的安全漏洞、自身協(xié)議的脆弱性、源地址偽造等。 ”

  專家表示,IPv6自身可能帶來的多種安全威脅。由于IPv6和IPv4傳輸數(shù)據(jù)報的基本機(jī)制沒有發(fā)生改變,IPv4網(wǎng)絡(luò)中除IP層以外的其他四層中出現(xiàn)的攻擊在IPv6網(wǎng)絡(luò)中依然會存在。 其次,IPv6的地址擴(kuò)展雖然能夠解決網(wǎng)絡(luò)地址的緊缺問題,但是它的規(guī)模也為安全檢測帶來了難題,如海量地址的查詢變得更加復(fù)雜。這使得安全防護(hù)面臨挑戰(zhàn)。

  同時,IPv6協(xié)議本身存在著安全隱患,攻擊者可能利用IPv6報文的擴(kuò)展報頭(可選且有多種擴(kuò)展報頭) ,通過自制畸形(違背IPv6標(biāo)準(zhǔn)報文格式)或者特定格式的惡意數(shù)據(jù)包來攻擊路由器和主機(jī)。

  其次,攻擊者還可能利用鄰居發(fā)現(xiàn)協(xié)議發(fā)送錯誤的路由器宣告和重定向消息等讓IP數(shù)據(jù)流向不確定的方向,進(jìn)而達(dá)到拒絕服務(wù)、攔截和修改數(shù)據(jù)的目的,而無狀態(tài)地址自動分配可能使非授權(quán)用戶可以更容易的接入和使用網(wǎng)絡(luò)。

  未來,移動智能終端數(shù)量不斷增加,大量移動終端對IPv6的地址分配和管理將是一個龐大而復(fù)雜的工程。 同時終端安全問題為IPv6的安全策略制定、網(wǎng)絡(luò)安全監(jiān)管等帶來新挑戰(zhàn)。

  云曉春表示,全球缺乏對IPv6環(huán)境下網(wǎng)絡(luò)安全威脅的有效分析和防護(hù)手段,現(xiàn)有國家網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、安全防護(hù)設(shè)備和防護(hù)手段尚不能完全處理IPv6網(wǎng)絡(luò)安全問題。特別指出的是,銀行、電力、稅務(wù)等國家重要行業(yè)部門尚未建立對IPv6網(wǎng)絡(luò)安全防護(hù)的手段。

  “應(yīng)盡早建立健全I(xiàn)Pv6安全防護(hù)體系,加快信息安全產(chǎn)品研制和商業(yè)化推廣,加大對IPv6安全威脅和防護(hù)技術(shù)研究投入”,云曉春表示,解決IPv6安全問題,需要政府、安全企業(yè)、安全組織、科研機(jī)構(gòu)和高校的共同努力。(文/趙宇)


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

    本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

      最新招聘信息