IPv6 是否比 IPv4 更安全?

信息安全 IPv6
2021-08-16 16:10:13

我的一个朋友打算在他的大学网络环境中实施 IPv6,他告诉我它比 IPv4 更安全。IPv6 是否比 IPv4 更安全?如果是这样,它是如何在协议级别实现的?

4个回答

除了化学工程师所说的,IPv6 确实还有其他优势,例如:

  • 对端到端加密的机支持:这是后来添加到 IPv4 的一项功能,但作为 IPv6 的标准出现。

  • 安全邻居发现:IPv6 中用于邻居发现的改进协议(SEND)实际上在主机发现期间使用加密方法确认对方的身份。

  • 更大的地址空间:暴力破解地址需要更多时间(3.4 × 10 38与旧的 4.3 × 10 9 相比

但在大多数情况下,错误配置只会让您更容易受到攻击。

Scott Hogg 不久前在这里写了一篇精彩的文章它更详细地涵盖了这些要点。

总结:目前实施的 IPv6 网络实际上可能不如 IPv4 安全。这不是因为 IPv6 的设计,而是因为防火墙支持不足,而且网络管理员和安全专家在处理 IPv4 方面比处理 IPv6 有更多的知识。

确实,IPv6 的设计考虑到了更高的安全性。不幸的是,大多数像内置 IPSec 这样的好东西都被作为可选功能排除在外,这意味着今天的 IPv6 连接没有比 IPv4 更好的保护。

更糟糕的是,许多安全产品还没有完全了解 IPv6。因此,OpenVPN 和其他 VPN 安装仅通过隧道传输 IPv4 流量而不是 IPv6 流量的情况并不少见,这显然是一个安全问题。还有一些防火墙对 IPv6 没有或有限的支持,或者对 IPv6 没有优化,因此速度变慢使用 IPv6 流量。此外,IPv6 网络的行为与 IPv4 网络稍有不同(自动配置、同一设备上的多个 IPv6 地址……),这意味着网络管理员和安全专业人员现有的 IPv4 知识不能简单地应用于 IPv6。然后是 IPv6 的不同在线表示,它具有固定大小的主标头,但随后有许多堆叠的可选标头,这代表了与 IPv4 相比,在防火墙中要处理的一组不同的挑战。还有更多的差异可能会导致意外行为,从而导致安全问题。

这绝对不会使 IPv6 在实际使用中比 IPv4 更安全。事实上,有人可能会说 IPv6 在今天的现实中不太安全,尽管它被设计为更安全。另请参阅Black Hat 等会议上关于此主题的许多讨论,主题包括Evasion of High-End IPS Devices in the Age of IPv6Attacking IPv6 Implementation Using Fragmentation

有点。

在设计 IPv4 时,安全性(根据一些参与者是故意的)被排除在设计之外。没有加密,没有认证,没有身份验证。

IPv6 试图纠正 IPv4 的错误,其中包括可悲的缺乏安全性。协议中内置了加密和强身份等功能。但是设计过程稍微偏离了设计过程(再次,根据某些人的故意),因此安全协议通常是可选的,并且通常过于复杂而无法使用。

因此,在大多数情况下,运行良好的 IPv4 网络的安全性与运行良好的 IPv6 网络的安全性大致相同。典型形式的 IPv6 在本质上并不比典型形式的IPv4 更安全。

不过,IPv6 有一个明确的“隐蔽安全”优势。恶意软件通常通过 IPv4 传播,扫描网络以查找易受攻击目标的恶意软件几乎完全使用 IPv4。

还有一个经常提到的事实,即在 IPv6 空间中选择随机 IP 几乎总是会出现未使用的地址,但这并不是一种特别强大的保护。在 IPv6 空间中选择目标不会通过随机选择或顺序扫描来实现。还有其他方法可以发现地址。

IPsec 被称为 Internet 安全协议体系结构。这在 IPv6 中是强制性的,在 IPv4 中不是强制性的。大多数 IPv4 系统不实施此 IPsec,除非它们使用 VPN。基于 IPsec 实现,我们可能会说 IPv6 比 IPv4 更安全。

基本上,IPsec 使 IPv6 比 IPv4 更安全

什么是 IPsec? IPsec 用于保护一对终端系统之间的 IP 路径

IPSec 用于提供以下功能

  • 验证
  • 正直
  • 重放检测
  • 保密
  • 访问控制

IPsec 有两种协议,两种模式

协议

  1. IP Authentication Headers - 主要用于提供身份验证和完整性。
  2. IP 封装安全负载 - 用于提供机密性。

模式

  1. 传输模式——协议的安全机制仅适用于上层数据
  2. 隧道模式——上层协议数据和 IP 数据包的 IP 报头都通过封装受到保护或“隧道化”。

如果 IPsec 是强制性的,那么会保留身份验证、完整性、机密性和其他安全功能,因此 IPv6 通常比 IPv4 更安全。

还有另外两个因素在 IPv6 中进一步增加了安全性

  1. 用于标识一组接口的任播地址,并将数据包发送到该组的任何接口。

IPv6 的默认行为被路由到最近的具有该地址的接口,但我们可以实施源选择策略来加强安全性

  1. 子网扫描难度子网掩码为 64 位,即 IPv6 子网地址(2^64 = 18,446,744,073,709,551,616)。所以攻击者扫描这个地址空间的难度要高于IPv4地址空间。

上述因素看起来 IPv6 比 IPv4 更安全。是的,如果我们有训练有素的网络管理人员,这是真的。当我们在没有关于 IPv6 的先验知识的情况下进行网络管理时,情况会比 IPv4 更糟。

例如,如果网络管理员不小心使用 IPv6,我们可能会将我们的 mac 地址暴露给现实世界。泄露设备的原始 MAC 地址允许攻击者进行 IP 欺骗。其他最坏的情况也在其他答案中说明。

其它你可能感兴趣的问题
上一篇清理参数化查询的输入 下一篇如何安全地删除隔离病毒?