IPv6因地址空間巨大,在應對部分安全攻擊方面具有天然優勢,在可溯源性、反黑客嗅探能力、鄰居發現協議、安全鄰居發現協議以及端到端的IPSec安全傳輸能力等方面提升了網絡安全性。
針對《推進網際網路協議第六版(IPv6)規模部署行動計劃》,華為安全給出了IPv6規模部署下網絡安全防護的詳盡解讀,承接上期IPv6行業影響,本期聚焦IPv6安全技術。
可溯源性
IPv6巨大的地址空間為每個網絡設備分配了一個獨一無二的網絡地址,不需要像在IPv4網絡中通過NAT解決地址不足問題,從而有利於事後追查回溯,提高安全的保障性。
反黑客嗅探能力
由於龐大的IPv6地址,使得在IPv4網絡中常常被黑客使用的嗅探掃描在IPv6網絡中變得更加困難。
NDP & SEND
在IPv6中,ARP的功能被鄰居發現協議(NDP)所代替。鄰居發現協議通過發現鏈路上的其他節點,判斷其他節點的地址,尋找可用路由。對比ARP, NDP僅在鏈路層實現,更加獨立於傳輸介質。下一代網際網路的安全鄰居發現(SEND)協議通過獨立於IPSec的另一種加密方式,保證了傳輸的安全性。
端到端IPSec安全傳輸能力
IPSec為IPv6網絡中的每個節點提供了數據源認證、完整性和保密性的能力,實現端到端的安全加密。
Q1IPv6新增的安全特性與IPv4有什麼區別?
IPv6網絡的安全,由於僅是IP包頭、尋址方式發生了變化,內置了端到端的安全機制,所以相對IPv4,在安全方面IPv6對當前的各種安全風險的防範並沒有太大的提高。
Q2基於安全性考慮,IPv4網絡使用NAT技術來隱藏內網IP位址,IPv6網絡是否也需要類似技術來提升安全性?
IPv6的NPT(Network Prefix Translation)(RFC6296)協議可以實現與IPv4 NAT類似的功能,允許IPv6地址的1:1映射,達到隱藏內部IPv6地址的效果。
Q3對於應用層攻擊,IPv6網絡的防禦手段和方式都有哪些影響?
應用層防禦功能一般包括協議識別、IPS、反病毒、URL過濾等,主要檢測報文的應用層負載,幾乎不受網絡層協議IPv4/IPv6影響,因此,大部分傳統IPv4協議下的應用層安全能力在IPv6網絡中不受影響。
但有少部分IPv4網絡協議在IPv6網絡下自身需要發生了變化,比如DNS協議升級到DNSv6,那麼對應的應用層安全檢測需要根據協議變化進行調整。
Q4IPv6在擴展頭中增加了IPSec的端到端加密能力,如果應用開啟了此項功能,那麼網絡安全設備該如何檢測和防禦加密流量?
一般情況下,網絡安全設備無法解密IPSec加密流量,僅能基於IP位址來控制。但從目前的情況來看,這種「內嵌」的IPSec需要使用密鑰分發技術,總體上並不成熟,管理成本高,另外,由於網絡安全設備正常是無法解密IPSec流量,防火牆等網絡安全設備就無法在網絡&應用層來檢測IPSec流量,從某種意義上,系統的安全性得不到完整的保證。對於一般企業應用,基於管理成本和安全性考慮,建議仍使用防火牆實現IPSec VPN加解密,並在網關位置進行IPS、狀態防火牆等安全檢查,待技術成熟後再部署端到端加密。
Q5SSL代理功能在IPv6協議下是否受到影響?
SSL代理不依賴於網絡層的具體協議,仍可以對IPv6 SSL加密流量實現解密。
Q6對於IPv6網絡,如何通過防火牆來實現安全策略管理,與IPv4的安全策略有何不同?
IPv6與IPv4的安全策略管控是一樣的,仍需要基於ACL的五元組來逐條配置,僅是IPv6地址變長,使得策略配置更加複雜。
Q7在現有安全設備上開啟IPv4/IPv6雙棧功能後,在功能和性能上會對IPv4業務有何影響?
開啟IPv4/IPv6雙棧一般不會對安全設備的功能產生影響,主要影響設備的性能,因為IPv6協議棧會擠佔IPv4業務的CPU和內存等資源,導致現有的IPv4業務在會話表容量、新建速率、吞吐率上會出現不同程度的下降。建議在升級/開啟IPv4/IPv6雙棧前評估現有安全設備的處理能力,必要時可以替換現有安全設備,避免影響現有IPv4業務。