前言:想要寫出一篇引人入勝的文章?我們特意為您整理了有線電視網(wǎng)絡(luò)設(shè)備安全技術(shù)淺析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:按照國家廣播電視總局關(guān)于推進(jìn)IPv6規(guī)模部署和應(yīng)用的要求,運(yùn)營商正逐年落實IPv6部署和應(yīng)用工作,有線電視網(wǎng)絡(luò)IPv6應(yīng)用規(guī)模不斷提升。與此同時,運(yùn)營商應(yīng)同步開展IPv6網(wǎng)絡(luò)安全部署實踐,以更好地應(yīng)對當(dāng)前IPv6攻擊不斷攀升的態(tài)勢。本文圍繞有線電視網(wǎng)絡(luò)設(shè)備IPv6安全關(guān)鍵技術(shù)展開研究,對IPv6網(wǎng)絡(luò)安全性進(jìn)行分析,對有線電視網(wǎng)絡(luò)中的通用網(wǎng)絡(luò)設(shè)備路由協(xié)議的安全風(fēng)險和防護(hù)進(jìn)行研究,以期為IPv6網(wǎng)絡(luò)安全實踐提供一些參考。
關(guān)鍵詞:IPv6網(wǎng)絡(luò)安全路由協(xié)議
1引言
IPv6協(xié)議是下一代互聯(lián)網(wǎng)協(xié)議,在地址空間、安全性等方面有巨大提升。物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新技術(shù)驅(qū)動網(wǎng)絡(luò)空間向萬物互聯(lián)演進(jìn),利用IPv6技術(shù)解決地址短缺問題、培育創(chuàng)新空間是大勢所趨。世界各國已充分認(rèn)識到規(guī)模部署IPv6的迫切性,全球通信行業(yè)及開展新興技術(shù)應(yīng)用的企業(yè)都在向IPv6遷移。目前,全球IPv6支持能力水平穩(wěn)步提升,APNICLabs國家/地區(qū)IPv6支持能力統(tǒng)計數(shù)據(jù)顯示,截至2022年3月8日,全球IPv6支持能力達(dá)29.8%。2021年,中央網(wǎng)信辦、發(fā)改委、工信部聯(lián)合發(fā)布《關(guān)于加快推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署和應(yīng)用工作的通知》,明確了“十四五”時期應(yīng)全面深入推進(jìn)IPv6規(guī)模部署和應(yīng)用,加快促進(jìn)互聯(lián)網(wǎng)演進(jìn)升級。隨后,廣電行業(yè)制定了相應(yīng)的工作任務(wù)臺賬,全面推進(jìn)廣電行業(yè)IPv6規(guī)模部署和應(yīng)用。在IPv6規(guī)模部署過程中,安全問題是非常重要的。在網(wǎng)絡(luò)層面,IPv6網(wǎng)絡(luò)面臨協(xié)議、機(jī)制自身存在的安全問題,通用網(wǎng)絡(luò)設(shè)備路由器和路由協(xié)議在IPv6環(huán)境下也面臨著新的安全挑戰(zhàn)。
2IPv6網(wǎng)絡(luò)安全性分析
2.1IPv6協(xié)議的特征和安全性增強(qiáng)
與IPv4相比,IPv6在地址空間、首部格式、安全性支持、配置和維護(hù)等方面進(jìn)行了改進(jìn),同時實現(xiàn)了安全性的增強(qiáng)。安全性的增強(qiáng)一方面源于地址空間大大提升,另一方面源于IPv6協(xié)議族中提供了若干安全特性。IPv6的主要特征如下。2.1.1地址空間的擴(kuò)展。IPv6將地址長度從IPv4的64位擴(kuò)展到128位,地址空間容量是IPv4的296倍,地址空間得到極大擴(kuò)展。IPv6海量地址空間提升了網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)勘察的難度,在網(wǎng)絡(luò)層實施傳統(tǒng)的順序掃描或隨機(jī)掃描策略將是不可行的。2.1.2層級化的編制方式和豐富的地址類型。IPv6采用了可聚合的層級化的子網(wǎng)分級編址方式,并定義了全球聚合單播地址、本地鏈路地址、多播/選播地址等一系列地址類型,有助于提高路由表的空間聚合效率和路由交換性能,更加適合交換式的高速網(wǎng)絡(luò)環(huán)境。2.1.3高效的協(xié)議首部。IPv6的協(xié)議報文首部格式采用基本首部和擴(kuò)展首部相結(jié)合的定義方式。基本首部具有固定的長度,便于節(jié)點(diǎn)進(jìn)行快速處理,可以減少處理開銷,提升數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。擴(kuò)展首部采用選項鏈表形式,可以為協(xié)議功能的擴(kuò)展提供高度的靈活性和自主性。2.1.4支持IPsecIPv6以一組RFC定義了網(wǎng)絡(luò)安全。協(xié)議框架IPsec,包括了鑒別首部機(jī)制(AH)和安全負(fù)載封裝機(jī)制(ESP),以及支持多種密鑰加密方式的因特網(wǎng)密鑰管理交換協(xié)議(IKE)等,以保障IP層數(shù)據(jù)包的安全傳輸。2.1.5IP層鄰居發(fā)現(xiàn)協(xié)議與無狀態(tài)地址自動配置IPv6協(xié)議族中定義基于IP的鄰居發(fā)現(xiàn)協(xié)議,替代IPv4中采用的鏈路層ARP協(xié)議和部分ICMP功能,在三層實現(xiàn)地址解析和鄰居發(fā)現(xiàn),并提供無狀態(tài)地址自動配置功能,提升了協(xié)議在不同二層介質(zhì)條件下的適用性,減輕了二層網(wǎng)絡(luò)壓力,而且可以使用三層的安全機(jī)制增強(qiáng)網(wǎng)絡(luò)維護(hù)管理機(jī)制的健壯性。
2.2IPv6網(wǎng)絡(luò)的安全風(fēng)險
網(wǎng)絡(luò)層面的IPv6安全風(fēng)險分析主要從IPv6協(xié)議機(jī)制出發(fā)來展開,包括網(wǎng)絡(luò)編址機(jī)制、IPv6報文格式、ICMPv6協(xié)議、鄰居發(fā)現(xiàn)協(xié)議等。2.2.1網(wǎng)絡(luò)編址機(jī)制的安全風(fēng)險。網(wǎng)絡(luò)尋址空間的大小對于目前的網(wǎng)絡(luò)安全分析技術(shù)將產(chǎn)生直接的影響。任何類型的攻擊的第一個階段通常都涉及對目標(biāo)的勘察,攻擊者會評估目標(biāo),選定穿透防御最容易的方法以及實施攻擊的最優(yōu)方式,并確定攻擊實際上是否成功。與IPv4相比,IPv6高達(dá)128位的地址長度顯著提升了網(wǎng)絡(luò)掃描的難度,傳統(tǒng)的基于網(wǎng)絡(luò)層的隨機(jī)掃描和順序掃描策略在IPv6下難以實施。然而,若IPv6編址方式不合理,如采用將EUI-64地址轉(zhuǎn)換為IPv6地址的編制方式、在IPv6地址中嵌入IPv4地址的編制方式、在IPv6地址中嵌入端口號的編制方式或采用十六進(jìn)制“字”構(gòu)造IPv6地址的方式等[1],則會降低掃描的搜索空間,減弱網(wǎng)絡(luò)掃描的難度。2.2.2IPv6報文格式的安全風(fēng)險。IPv6采用了基本首部和可選的擴(kuò)展首部相結(jié)合的分組格式?;臼撞扛袷胶喚毲揖哂邢鄬潭ǖ拈L度;擴(kuò)展首部以選項鏈表的形式替代了IPv4下單一且長度不定的IP頭選項字段,以提供良好的協(xié)議擴(kuò)展性。IPv6在安全性方面優(yōu)于IPv4,但其設(shè)計仍然有不嚴(yán)密之處,為安全威脅的產(chǎn)生創(chuàng)造了便利條件。IPv6基本首部中存在未完全定義字段和保留字段,如版本、流量類型、流標(biāo)簽、下一報頭、跳限制等字段。一方面,攻擊者可能將字段設(shè)置為未定義取值,用以干擾安全設(shè)備或消耗資源,甚至實施拒絕服務(wù)(DoS)攻擊;另一方面,攻擊者可能利用這些字段來構(gòu)建隱蔽信道,它能使通信雙方繞過系統(tǒng)安全訪問機(jī)制的檢查,并以違反系統(tǒng)安全策略的方式傳遞秘密信息。IPv6擴(kuò)展首部機(jī)制是IPv6協(xié)議的新特性之一。擴(kuò)展首部的引入最大程度地減少了節(jié)點(diǎn)處理IPv6協(xié)議首部的開銷,而且它使得未來IPv6功能的擴(kuò)展具有高度的靈活性和自主性。IPv6協(xié)議主要定義了逐跳選項首部、分段首部、目的地選項首部、路由首部、認(rèn)證首部、封裝安全載荷首部等擴(kuò)展首部。IPv6協(xié)議還明確規(guī)定了發(fā)送節(jié)點(diǎn)對IPv6擴(kuò)展首部的順序和次數(shù)的要求,但同時IPv6協(xié)議要求IPv6節(jié)點(diǎn)必須能夠接收并嘗試處理以任意順序構(gòu)成的擴(kuò)展首部。任意類型的擴(kuò)展首部能夠以不同的順序或是未定的次數(shù)在IPv6數(shù)據(jù)包中出現(xiàn),這種不受約束的特性存在極大的安全隱患,比如將許多擴(kuò)展首部鏈接在一起精心構(gòu)造的報文,可能會被用來規(guī)避防火墻和入侵防御系統(tǒng)的安全控制;處理冗長的擴(kuò)展首部會帶來極大的資源消耗,由此可能導(dǎo)致拒絕服務(wù)攻擊;擴(kuò)展首部存在大量的數(shù)據(jù)空間,可能會被用于實現(xiàn)隱蔽通信等。2.2.3ICMPv6協(xié)議的安全風(fēng)險。ICMPv6協(xié)議是IPv6協(xié)議族中的一個基礎(chǔ)協(xié)議,合并了IPv4中的ICMP(控制報文協(xié)議)、IGMP(組成員協(xié)議)、ARP(地址解析協(xié)議)、NDP(鄰居發(fā)現(xiàn)協(xié)議)等多個協(xié)議的功能。每個IPv6節(jié)點(diǎn)都必須完全實現(xiàn)ICMPv6的基礎(chǔ)協(xié)議。對于ICMPv6協(xié)議的攻擊,主要分為四類:一是通過偽造虛假報文或產(chǎn)生大量不合法報文等方式,利用ICMPv6報文造成拒絕服務(wù)攻擊;二是利用精心編制的ICMPv6消息開展網(wǎng)絡(luò)嗅探,通過探測站點(diǎn)以確定拓?fù)洳⒆R別潛在的攻擊目標(biāo);三是利用重定向消息發(fā)起重定向攻擊;四是一些ICMPv6錯誤數(shù)據(jù)報文可能需要雙向通過防火墻,而報文透明傳輸容易被用來進(jìn)行隱蔽通信等。2.2.4鄰居發(fā)現(xiàn)協(xié)議的安全風(fēng)險。鄰居發(fā)現(xiàn)協(xié)議是IPv6中的一種重要協(xié)議,定義在ICMPv6中,屬于ICMPv6的消息性報文。鄰居發(fā)現(xiàn)協(xié)議定義了路由器公告(RA)報文、路由器信息請求(RS)報文、鄰居請求(NS)報文、鄰居公告(NA)報文和重定向報文。利用這些報文,鄰居發(fā)現(xiàn)協(xié)議主要實現(xiàn)地址解析、重復(fù)地址檢測、鄰居不可達(dá)檢測、無狀態(tài)地址自動配置和重定向功能。IPv6節(jié)點(diǎn)通過鄰居發(fā)現(xiàn)協(xié)議確定鏈路上鄰居節(jié)點(diǎn)的鏈路層地址,尋找進(jìn)行包轉(zhuǎn)發(fā)的鄰居路由器。另外,節(jié)點(diǎn)使用鄰居發(fā)現(xiàn)協(xié)議可以確定鄰居的可達(dá)性,并能檢測改變了的鏈路層地址?;卩従影l(fā)現(xiàn)協(xié)議的攻擊是IPv6下一個需要面對的十分重要的安全威脅,主要分為兩類:一類是基于鄰居發(fā)現(xiàn)協(xié)議的拒絕服務(wù)攻擊,包括RA報文配置虛假的地址前綴或網(wǎng)絡(luò)參數(shù)(MTU、跳數(shù)限制等)造成主機(jī)的拒絕服務(wù)、重復(fù)地址檢測中通過虛假的NS或NA報文干擾造成拒絕服務(wù)攻擊、鄰居不可達(dá)檢測中通過虛假的NA報文回應(yīng)NS報文造成拒絕服務(wù)攻擊等;另一類是基于鄰居發(fā)現(xiàn)協(xié)議的欺騙攻擊,包括偽裝路由器發(fā)送虛假RA報文實施監(jiān)聽或中間人欺騙攻擊、使用RS/NS/NA報文實施鄰居緩存欺騙攻擊或地址欺騙攻擊,以及發(fā)送虛假的重定向報文實施重定向攻擊。
3通用網(wǎng)絡(luò)設(shè)備路由協(xié)議安全風(fēng)險及防護(hù)
有線網(wǎng)絡(luò)運(yùn)營商內(nèi)部環(huán)境的安全是IPv6安全的一個重要領(lǐng)域。一個網(wǎng)絡(luò)運(yùn)營商如何保障其網(wǎng)絡(luò)的安全會直接影響整個互聯(lián)網(wǎng)的安全。有線網(wǎng)絡(luò)運(yùn)營商IP數(shù)據(jù)網(wǎng)通常劃分為骨干網(wǎng)、城域網(wǎng)和接入網(wǎng)。骨干網(wǎng)匯聚了全省的所有業(yè)務(wù),通常由核心層、匯接層和出口層組成,如圖1所示。核心層負(fù)責(zé)省內(nèi)各城域網(wǎng)絡(luò)間的訪問流量;匯接層負(fù)責(zé)接入層流量的匯聚和轉(zhuǎn)發(fā);出口層負(fù)責(zé)與ISP/ICP等外部網(wǎng)絡(luò)間的Internet訪問流量。有線電視IP數(shù)據(jù)骨干網(wǎng)的主要網(wǎng)絡(luò)設(shè)備通常為路由器、三層交換機(jī)等,一臺網(wǎng)絡(luò)設(shè)備可以劃分為4個不同流量平面,即數(shù)據(jù)平面、管理平面、控制平面和服務(wù)平面。網(wǎng)絡(luò)設(shè)備的控制平面主要涉及信令協(xié)議,路由協(xié)議是其中的一種重要協(xié)議。路由器使用路由協(xié)議以收斂IP轉(zhuǎn)發(fā)數(shù)據(jù)庫。目前,最常用的支持IPv6的路由協(xié)議分別是邊界網(wǎng)關(guān)協(xié)議BGP4+、路由信息協(xié)議下一代(RIPng)、最短路徑優(yōu)先路由協(xié)議版本3(OSPFv3)和中間系統(tǒng)到中間系統(tǒng)版本6(ISISv6)。在網(wǎng)絡(luò)中,路由器容易受到中斷攻擊、消耗路由器計算資源的攻擊、緩沖區(qū)溢出攻擊或重放攻擊,這些攻擊可能造成DoS或數(shù)據(jù)包的次優(yōu)路由。此外,路由器被攻擊的方式可能還包括大量路由信息的注入、錯誤路由信息注入以及其他可能導(dǎo)致其性能下降的流量。路由協(xié)議最初是針對友好環(huán)境設(shè)計的,用以處理數(shù)據(jù)流量的路由,所有路由器協(xié)作完成加快收斂時間的共同目標(biāo),意味著路由協(xié)議本身面對攻擊是脆弱的。因此,在控制層面需要采取措施保證路由器及其路由協(xié)議的安全。路由器應(yīng)對威脅的一種重要方式是使用密碼學(xué)方法認(rèn)證在路由器之間發(fā)送的消息。邊界網(wǎng)關(guān)協(xié)議BGP4+支持使用MD5認(rèn)證或Keychain認(rèn)證;RIPng支持MD5認(rèn)證,同時還可使用IPsec認(rèn)證;OSPFv3通常使用IPsec認(rèn)證保證鄰接鄰居之間的信息安全;ISISv6則采用自身協(xié)議定義的ISIS認(rèn)證方式。針對DoS攻擊,路由器實行白名單安全機(jī)制,為每個端口建立“白名單安全”標(biāo)簽,在“白名單安全”列表中的端口之間可以實現(xiàn)快速的報文互換;針對大量路由信息注入的攻擊,應(yīng)采取單鄰居路由數(shù)量限制的策略,限制存入路由數(shù)據(jù)庫的路徑數(shù)目或設(shè)置接收路徑數(shù)目的限制值。
4結(jié)語
在IPv6規(guī)模部署與應(yīng)用的同時,需要同步加強(qiáng)IPv6網(wǎng)絡(luò)安全保障。本文從網(wǎng)絡(luò)層面展開對IPv6相關(guān)網(wǎng)絡(luò)安全性的分析,有助于加深對于網(wǎng)絡(luò)層面IPv6安全問題的理解;對有線電視網(wǎng)絡(luò)設(shè)備中的路由器及路由協(xié)議的安全風(fēng)險和防護(hù)進(jìn)行分析,為有線網(wǎng)絡(luò)設(shè)備控制平面的網(wǎng)絡(luò)安全實踐提供了參考。
參考文獻(xiàn)
[1]張連成,郭毅.IPv6網(wǎng)絡(luò)安全威脅分析[J].信息通信技術(shù),2019,13(6):7-14.
作者:趙翠 趙明 湯新坤 單位:國家廣播電視總局廣播電視科學(xué)研究院