IPv6升级改造难点解决方案分析之IPv6安全

2020年3月23日,工业和信息化部发布《关于开展2020年IPV6端到端贯通能力提升专项行动的通知》,要求到2020年末,IPV6活跃连接数达到11.5 亿,较2019年8亿连接数的目标提高了43%。IPV6安全不能仅依赖于某个单一的系统或设备,而是需要仔细分析安全需求,利用各种安全设备和技术外加结合科学的管理,共筑网络安全。

在IPV4局域网中,经常面临一些网络安全方面的问题,比如,广播风暴、发送伪造的ARP报文以冒充网关或邻居、私设DHCP服务器、针对DHCP服务器的地址池耗尽及DOS攻击等。在IPV6中,虽然协议自身的设计属性能减少一些安全问题,但并不能完全避免,集中表现在组播问题、局域网扫描问题、NDP攻击问题以及IPV6地址欺骗等问题,IPV6情况下的局域网问题仍然不容忽视。

路由器作为网络互联设备,不但保障网络的稳定运行,而且还拥有整个网络的拓扑信息以及一些重要的管理维护信息。攻击者可以通过嗅探路由器自身或转发的数据报文来获取有用信息,甚至利用路由器等网络设备系统自身或者管理上的漏洞攻破路由器等设备。

网络设备的安全至少要从以下4个方面来加强:

(1)网络设备系统本身的漏洞要及时修补或升级,当暂时无法提供补丁或新版本时,也需采用临时解决办法或手段。

(2)路由器等网络设备需关闭不必要的服务,对于必须开放的服务,也应做好安全访问限制。

路由器等网络设备也必须放置在不能随便进入的机房等场所,而且要避免设备上的网络连线被嗅探到。网络设备的CONSOLE口也应设置不易破解的密码,关闭并按需启用暂时还没有连接到网络的端口。

在信息时代,攻陷服务器等主机可以获取比攻击路由器/交换机等网络基础设施更有价值的信息,因此攻击者将注意力更多地集中到有价值的主机上。当构建一个全面的IPV6安全策略时,不能只考虑使用专门的安全设备来增强网络安全,IPV6主机的安全更应引起人们的重视。

就IPV6主机安全而言,主要目标就是远离网络中的攻击行为,包括对本机开放的应用服务进行访问限制、关闭不必要的服务端口、对存在安全隐患的应用(包括操作系统)及时修复、对入站的接收包和出站的发送包进行严格的限制、定期对主机进行病毒扫描和查杀等。

在IPV4向IPV6过渡阶段,主机特别是服务器使用双栈的情况会长期存在,所以IPV4协议和IPV6协议的安全防护同等重要,不能厚此薄彼。否则,即便IPV6安全做得相当到位,一旦IPV4协议被攻陷,IPV6也会功亏一篑。