IPv4过渡到IPv6会产生哪些安全问题
IPv4过渡到IPv6会产生以下安全问题:
从IPv4翻译至IPv6处理过程中的安全漏洞:因为IPv4和IPv6不是完全兼容的,所以协议翻译被看作是扩大部署和应用的一个途径。把IPv4通信翻译为IPv6通信将不可避免地导致信息在网络上通过的时候产生额外处理过程。此外,这种做法引进必须包含处理状态的中间设备将破坏端对端的原则,使网络更加复杂。
大型网段既是好的也是坏的:IPv6引进了比现在所看到的更大的网段,当前建议的IPv6子网的前缀是/64(264),能够在一个网段容纳大约18quintillion(百万的三次方)个主机地址。虽然这能够实现局域网的无限增长,但是,它的规模也带来了难题。这将使全面的IP地址管理和监视比现在更加重要。人们预计,将看到攻击者使用被动域名系统分析和其他侦查技术取代传统的扫描。
邻居发现协议和邻居请求能够暴露网络问题:IPv6的邻居发现协议使用五个不同类型ICMPv6信息用于若干目的,如确定在附加链路上的邻居的链路层地址、清除非法的缓存值和发现愿意代表它们发送数据包的邻居。虽然邻居发现协议提供了许多有用的功能(包括重复地址检测),但是它也给攻击者带来了机会。IPv6中的攻击很可能取代ARP欺骗攻击等IPv4中的攻击。
阻塞大型扩展标头、防火墙和安全网关可能成为分布式拒绝服务攻击的目标:在IPv6中,IP地址选择功能已经从主标头中删除,取而代之的是采用名为扩展标头的一套额外的标头,这些扩展标头将指定目的地选择、逐个跳点的选择、身份识别和其他许多选择。这些扩展标头紧接在IPv6主标头后面,并且连接在一起创建一个IPv6数据包(固定标头+扩展标头+负载)。IPv6主标头固定为40字节。有大量扩展标头的IPv6通信可能淹没防火墙和安全网关或者甚至降低路由器转发性能,从而成为分布式拒绝服务攻击和其他攻击的潜在目标。
6to4和6RD代理服务器也许会鼓励攻击和滥用:6to4以及互联网服务提供商迅速部署的6RD会允许IPv6数据包跳出IPv4的瓶颈,不用配置专用的隧道。但是,使用IPv6代理服务器也许会给代理服务器运营商带来许多麻烦,如发现攻击、欺骗和反射攻击。代理服务器运营商本身可能被利用为攻击和滥用的“源”。
支持IPv6服务可能会暴露现有的IPv4应用或者系统:IPv6向IPv4转换的一个限制是现有的安全补丁也许仅适用于IPv4。因此,在IPv4之前,在进行DNS查询已经更快部署IPv6的时候,大多数内核将更依赖IPv6接口。IPv6与IPv4之间的相互作用方式可能会导致每一个DNS查询的通信量增加一倍。这将导致大量的不必要的DNS通信量,严重影响用户的体验。
许多用户被隐蔽在固定的一套地址后面:把用户隐蔽在大型网络地址转换协议转换设备后面会破坏一些有用的功能,如地理位置或者查找恶意网络行为根源的工具,使基于号码和名称空间信任的安全控制出现更多的问题。
当建立通向其他网络的隧道:时的IP安全问题IPSec可能对发送者进行身份识别,提供完整性保护,加密数据包以提供传输数据的保密性。IPSec对于IPv4来说是一个可选择的功能,但是IPv6是强制规定的功能。