类型:【转载】
原文作者:【网络攻城师】
日期:【2018-09-08 14:09】
原文地址:https://baijiahao.baidu.com/s?id=1610950819043886976&wfr=spider&for=pc


我们在与IPv6设备厂商讨论升级方案时,总会听到,IPv6更安全,IPv6天然支持加密等等,听着好像升级了之后,就不用担心安全问题了,还能少买好多安全设备。然而,真的是这样吗?


IPv6

问题1:IPv6比IPv4更安全吗?

答:略有提升,但不尽然

下图对常见的网络层攻击方式进行了简单对比:


IPv4和IPv6安全性对比

因为IPv6地址空间的扩大,一部分基于扫描的安全威胁得到缓解,无论是互联网还是内网,大规模的穷举扫描实现起来非常困难,这也间接增加了蠕虫病毒扩散的难度。因为IPv6地址足够使用,NAT的作用不是十分明显了,但它对于保护内网主机还是有意义的。一个有用的建议是,IPv6内网的地址分配不要采用IPv4时的顺序分配方法,重要应用还是要做NAT转换。

对于大多数针对网络层的攻击,IPv6并没有解决。IPv6数据包默认情况下还是未加密和校验的,因此监听和篡改依然是存在的。IPv6也支持分片,但较IPv4有大幅改进,甚至有避免分片的机制,但对于恶意攻击者依旧会利用这一特性进行分片攻击。源地址欺骗和Dos攻击是超出网络层的安全问题,在现有的机制下,两者没有特别好的方案,足够的钱和资源是解决问题的好途径,做这一行都懂的。


资源和钞票

IPv6抛弃了ARP协议,所以关于ARP的攻击都不存在了,但是IPv6也引入了很多新的问题,这些问题是对未来的预估,分享出来供大家思考:

1)IPv6对ICMP协议十分依赖,因此屏蔽ICMP协议几乎不可能了,因此,针对ICMP协议的攻击会增多,并且与IPv4的方式有很大不同。

2)IPv6支持多种多样的扩展包头,用于使网络层具有更多功能,这些扩展包头会引入更多的问题。

3)IPv6对DNS的依赖也大幅增加,因为地址十分冗长,无论内网或是外网,都需要依赖DNS来实现快速访问,一个健壮而可靠的DNS是未来要面临的挑战。


无处不在的攻击

问题2:IPv6天然支持加密就更安全么?

答:然并卵

IPSec是为IPv6而设计,在IPv4中也广泛应用,用于保护数据包完整性和安全性的,所以声称IPv6天然支持加密是没有问题的。但是,天然支持和默认使用是有区别的,也就是说,和IPv4一样,IPv6的加密还是需要设备或软件去实现的,并不是默认加密的。


加密

问题3:IPv6安全我还要考虑什么?

答:还要考虑很多

对于IPv6安全,你可能还要知道一些内容:

你的现有安全设备的性能可能不足以支撑IPv6,比如IPS或IDS,在IPv6的环境下的检测性能可能会下降,这会是一笔较大的花费。

你的业务系统对于IPv6可能并没有做好准备,IPv6数据包的大多数处理是需要在主机上完成的,对于主机性能有更高的要求,也许负载均衡会越来越多的使用。

双栈还是4to6要仔细考虑,4to6设备可能会带来双重威胁。

发表评论