IPv6 安全漏洞如何更好的解決？

時間：2019-12-24 13:49:57

關(guān)鍵字： ipv4 IPv6 安全漏洞

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀] 盡管 IPv6 相關(guān)技術(shù)概念早已提出，但直到近年來才開始引起各界的廣泛關(guān)注和投入，相關(guān)硬件終端、操作系統(tǒng)、軟件應(yīng)用等仍處部署應(yīng)用初期階段，尚不具備較為完善的安全機制，IPv6 安全漏洞是客觀存在的。

盡管 IPv6 相關(guān)技術(shù)概念早已提出，但直到近年來才開始引起各界的廣泛關(guān)注和投入，相關(guān)硬件終端、操作系統(tǒng)、軟件應(yīng)用等仍處部署應(yīng)用初期階段，尚不具備較為完善的安全機制，IPv6 安全漏洞是客觀存在的。

截止 2019 年 7 月，CVE 漏洞庫中已收錄 IPv6 相關(guān)漏洞 381 條，覆蓋系統(tǒng)漏洞、應(yīng)用漏洞、硬件漏洞、協(xié)議漏洞等不同層面。IPv6 帶來的潛在安全隱患還在于，某些安全工具僅適用于 IPv4 或者僅提供 IPv4 版本，而后再移植至 IPv6 環(huán)境中;許多IPv6網(wǎng)絡(luò)任務(wù)是用軟件來實現(xiàn)的，這留下了許多的潛在安全漏洞;而IPv6協(xié)議中的數(shù)據(jù)包報頭擴展帶來了潛在的、新的攻擊途徑。與之對應(yīng)的，近年來我國各政府部門立足自身職責(zé)分工，在政策方面頻頻發(fā)力，出臺部門相關(guān)政策文件，同步強化各行業(yè)領(lǐng)域 IPv6 發(fā)展和安全工作部署。而到如今，IPv4地址也已經(jīng)正式耗盡了，IPv6的部署工作更加迫在眉睫。

隨著 IPv6 網(wǎng)絡(luò)和業(yè)務(wù)開始上線，IPv6 網(wǎng)絡(luò)攻擊事件也開始出現(xiàn)，IPv6 網(wǎng)絡(luò)安全問題相繼浮出水面，影響范圍也呈現(xiàn)出向各行業(yè)領(lǐng)域擴大趨勢。今年3月兩會重保期間，知道創(chuàng)宇就攔截到來自IPv6的網(wǎng)絡(luò)攻擊超過8000萬次。更有統(tǒng)計數(shù)據(jù)顯示，僅2019年上半年，監(jiān)測發(fā)現(xiàn)的 IPv6 網(wǎng)絡(luò)攻擊超過 9 萬起，攻擊對象覆蓋政府部門、事業(yè)單位、教育機構(gòu)等單位。在針對 283 家政府部門、教育機構(gòu)、中央企業(yè)云托管網(wǎng)站來自 IPv6 網(wǎng)絡(luò)的攻擊中，目錄遍歷攻擊、Web Shell 攻擊、SQL 注入等典型 Web攻擊超過 90%。

2018年3月，美國安全廠商 Neustar 發(fā)現(xiàn)了業(yè)內(nèi)第一起基于 IPv6 協(xié)議的 DDoS 攻擊，攻擊對象為存儲 1900 個 IPv6 地址的 DNS服務(wù)器。攻擊的規(guī)模算不上驚人，也并沒有采用專門針對 IPv6 的攻擊方法，然而其來自 IPv6、指向 IPv6 的特性已經(jīng)足夠引起重視與警惕。此次攻擊中，大多數(shù)計算設(shè)備仍普遍在公共互聯(lián)網(wǎng)上使用 IPv4 地址。因此，任何運行有 IPv6 網(wǎng)絡(luò)的用戶都需要確保自身的網(wǎng)絡(luò)安全機制擁有充足的抵御能力，從而對抗與 IPv4 網(wǎng)絡(luò)具有同等規(guī)模的攻擊活動。Neustar的研發(fā)負責(zé)人巴雷特·萊昂特別指出，“目前的風(fēng)險在于，如果沒能將 IPv6 視為威脅模型當(dāng)中的組成部分，則很可能無法準(zhǔn)確找到攻擊根源。”

圖/中國信通院

知道創(chuàng)宇提供的IPv6安全改造服務(wù)，可以幫助網(wǎng)站應(yīng)用在已有支持IPv4用戶訪問的基礎(chǔ)上，幾分鐘內(nèi)快速支持IPv6訪客訪問。該服務(wù)將外部訪問IPv6請求轉(zhuǎn)換成為IPv4服務(wù)，實現(xiàn)IPv4和IPv6雙棧部署，將IPv4與IPv6協(xié)議同時轉(zhuǎn)發(fā)處理給源站，使系統(tǒng)端到端業(yè)務(wù)支持IPv4/IPv6雙棧，網(wǎng)站無需進行任何改造、不用添加任何硬件設(shè)備。

與此同時，知道創(chuàng)宇將IPv6流量轉(zhuǎn)換為IPv4流量，進行防御清洗，將安全流量轉(zhuǎn)發(fā)給網(wǎng)站源站，提供安全加速和安全防護能力，保障網(wǎng)站的安全性。并根據(jù)IPv6訪問態(tài)勢以及攻擊態(tài)勢，動態(tài)調(diào)整資源，確保IPv6正常訪問。提供跨可用區(qū)部署，單個可用區(qū)故障時，迅速切換，保障IPv6轉(zhuǎn)換服務(wù)的業(yè)務(wù)連續(xù)性。并全面解決IPv6改造中，由于部分外鏈網(wǎng)站還不支持IPv6導(dǎo)致的“天窗問題”，給用戶更好的訪問體驗。

從未來互聯(lián)網(wǎng)安全需求看，IPv6 環(huán)境下協(xié)議類型轉(zhuǎn)變、海量地址空間等特性給安全產(chǎn)品功能提出新的要求。IPv4 向 IPv6網(wǎng)絡(luò)升級演進是長期、持續(xù)的過程，網(wǎng)絡(luò)安全產(chǎn)品同時支持 IPv4 和IPv6 已經(jīng)成為其部署應(yīng)用的關(guān)鍵要素。目前，企業(yè)的網(wǎng)絡(luò)工程師們一般情況下是部署好IPv6網(wǎng)絡(luò)，之后才來為安全問題而操心，這更是直接導(dǎo)致了IPv6的危機。IPv6的安全挑戰(zhàn)是我國下一代互聯(lián)網(wǎng)建設(shè)正面臨的客觀問題，知道創(chuàng)宇將全力幫助企事業(yè)單位和互聯(lián)網(wǎng)企業(yè)積極響應(yīng)國家號召，抓住發(fā)展機遇，提供更安全的互聯(lián)網(wǎng)服務(wù)。