什么是IPV6？

其實，IPv6并不是一個新鮮事物。早在上個世紀90年代，它就已經(jīng)誕生了。我相信，從事IT或通信相關工作的人，或多或少聽說過它。

IPv6的全稱是Internet Protocol version 6。其中，Internet Protocol譯為“互聯(lián)網(wǎng)協(xié)議”。所以，IPv6就是互聯(lián)網(wǎng)協(xié)議第6版。

眾所周知，互聯(lián)網(wǎng)上的每一臺電腦，必須有一個地址，才能被其他互聯(lián)網(wǎng)上的計算機訪問，之前唱衰IPv4的原因，就是因為IPv4的數(shù)量早就不夠了。

IPv4到底一共有多少個IP地址呢？答案是2的32次方，也就是約42.9億個。

根據(jù)互聯(lián)網(wǎng)數(shù)據(jù)研究機構（2018年1月）的統(tǒng)計，全世界76億人口，網(wǎng)民總數(shù)已經(jīng)超過了40億。

IPv6網(wǎng)絡真的安全嗎？

一、IPv6的信息安全隱患

當前，“線上”網(wǎng)絡和“線下”生活正在深度融合，虛擬網(wǎng)絡世界和現(xiàn)實社會生活相互交織。人們在互聯(lián)網(wǎng)上變成了“透明人”，個人的一舉一動都被互聯(lián)網(wǎng)“記錄在案”，試想一下如果這些信息被非法使用，是不是很恐怖？

構建基于IPv6的可信任下一代互聯(lián)網(wǎng)，是一項長期而艱巨的任務。雖然IPv6與IPv4相比，在安全性方面進行了預先設計和充分考慮，但仍然存在一些難以解決的安全隱患。

一是難以應對拒絕服務攻擊。拒絕服務攻擊仍然是IPv6面臨的最嚴重的一種攻擊，它可能導致計算機硬盤、物理設備毀壞和所有可用內存耗盡的危險。IPv6支持動態(tài)自動尋址，雖然給合法網(wǎng)絡用戶使用帶來了方便，但非授權的用戶可以更容易地接入和使用網(wǎng)絡，埋下了拒絕服務攻擊的隱患。拒絕服務攻擊主要包括兩種方式：一種是通過向服務器或主機發(fā)送大量數(shù)據(jù)包，使得主機忙于處理這些無用的數(shù)據(jù)包而無法響應有用的信息；另一種是對網(wǎng)絡上兩個節(jié)點之間的通信直接進行干擾，攻擊者可以冒充通信節(jié)點向目標通信節(jié)點發(fā)送錯誤消息，從而造成路由迂回，導致網(wǎng)絡帶寬浪費及時延增加。對這兩種方式，IPv6從技術上都沒有很好地解決。

二是難以彌補整個網(wǎng)絡協(xié)議族的安全缺陷。根據(jù)國際標準化組織提出的各種計算機在世界范圍內互聯(lián)成網(wǎng)的標準框架，即開放系統(tǒng)互聯(lián)參考模型，計算機網(wǎng)絡分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層等七個功能層。IP協(xié)議只是網(wǎng)絡層的協(xié)議，其安全性設計得再好，也只能保證本功能層的安全，其他功能層如應用層的網(wǎng)頁服務、郵件服務及文件傳輸?shù)确盏陌踩匀浑y以保證。

二、繼承自IPv4的安全威脅

1.IPv6中協(xié)議和報文結構雖有變化，但一些存在于IPv4網(wǎng)絡中的攻擊類型仍然存在。

2.過渡機制存在的安全風險

當前我國IPv6規(guī)模部署工作呈現(xiàn)加速發(fā)展態(tài)勢，在從IPv4向IPv6過渡的過程中，“雙棧”、“隧道”、“翻譯”是三種采用的方案，均可能引入新的安全威脅。

雙棧機制安全風險

IPv4/IPv6雙棧技術是指在網(wǎng)絡節(jié)點上同時運行IPv4和IPv6兩種協(xié)議，在IP網(wǎng)絡中形成邏輯上相互獨立的兩張網(wǎng)絡：IPv4網(wǎng)絡和IPv6網(wǎng)絡。

過渡期間同時運行著IPv4、IPv6兩個邏輯網(wǎng)絡，增加了設備及系統(tǒng)的暴露面，也意味著防火墻、安全網(wǎng)關等防護設備需同時配置雙棧策略，導致策略管理復雜度加倍，防護被穿透的機會加倍。

在IPv4網(wǎng)絡中，部分操作系統(tǒng)缺省啟動了IPv6自動地址配置功能，使得IPv4網(wǎng)絡中存在隱蔽的IPv6通道，但由于該IPv6通道并沒有進行防護配置，攻擊者可能利用IPv6通道實施攻擊。

雙棧系統(tǒng)同時運行IPv4協(xié)議、IPv6協(xié)議，會增加網(wǎng)絡節(jié)點協(xié)議處理復雜性和數(shù)據(jù)轉發(fā)負擔，導致網(wǎng)絡節(jié)點的故障率增加。

隧道機制安全風險

一些隧道機制對任何來源的數(shù)據(jù)包只進行簡單的封裝和解封，所以各種隧道機制的引入，為網(wǎng)絡環(huán)境增添了安全隱患。

不對IPv4和IPv6地址的關系做檢查。攻擊者利用隧道機制，可將IPv6報文封裝成IPv4報文進行傳輸，由于IPv4網(wǎng)絡無法驗證源地址的真實性，攻擊者可以偽造隧道報文注入到目的網(wǎng)絡中。

不對隧道封裝的內容進行檢查，通過隧道封裝攻擊報文。對于以隧道形式傳輸?shù)腎Pv6流量，很多網(wǎng)絡設備直接轉發(fā)或者只做簡單的檢查。攻擊者可以配置IPv4 over IPv6，將IPv4流量封裝在IPv6報文中，導致原來IPv4網(wǎng)絡的攻擊流量經(jīng)由IPv6的“掩護”后穿越防護造成威脅。

翻譯機制安全風險

翻譯機制（即協(xié)議轉換）通過IPv6與IPv4的網(wǎng)絡地址與協(xié)議轉換，實現(xiàn)了IPv6網(wǎng)絡與IPv4網(wǎng)絡的雙向互訪。翻譯設備作為IPv6網(wǎng)絡與IPv4網(wǎng)路的互連節(jié)點，易成為安全瓶頸，一旦被攻擊可能導致網(wǎng)絡癱瘓。

三、IPv6特有的安全威脅

IPv6報文結構中引入的新字段（如流標簽、RH0、路由頭等）、IPv6協(xié)議族中引入的新協(xié)議（如NDP鄰居發(fā)現(xiàn)協(xié)議等）可能存在漏洞，被用于發(fā)起嗅探、DoS等攻擊。

IPv6新的應用也可能帶來安全風險。IPv6使用IPSec，使得防火墻過濾變得困難，防火墻需要解析隧道信息。如果使用ESP加密，三層以上的信息都是不可見的，控制難度大大增加，需要安全設備能夠識別出攻擊報文新方法和措施。

寫在最后

IPv6并不能解決所有的網(wǎng)絡安全問題。

所以仍然需要專業(yè)的信息風險管理人員進行把控，報名加入中國注冊風險管理師協(xié)會，學習風險管理實操內容，從最基礎開始教會你如何做好信息風險管理。
責任編輯:pj