虽然与IPv4相比,IPv6在网络保密性、完整性方面做了更好的改进,在可控性和抗否认性方面有了新的保证,但目前多数网络攻击和威胁来自应用层而非网络层。因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。
安全新问题如影随形
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题,主要包括:
● 针对IPv6的网管设备和网管软件都不太成熟。
IPv6的管理可借鉴IPv4。但对于一些网管技术,如SNMP(简单网络管理)等,不管是移植还是重建,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管都不太成熟,因此缺乏对IPv6网络进行监测和管理的手段,对大范围的网络故障定位和性能分析的能力还有待提高。
● IPv6中同样需要防火墙、、IDS(入侵检测系统)、漏洞扫描、网络过滤、防病毒网关等网络安全设备。
事实上,IPv6环境下的病毒已经出现。例如,有研究人员在IPv6中发现了一处安全漏洞,可能导致用户遭受拒绝服务攻击。据悉,该漏洞存在于IPv6的type 0路由头(RH0)特征中。某些系统在处理IPv6 type 0路由头时存在拒绝服务漏洞。
● IPv6协议仍需在实践中完善。
IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能。移动IPv6(Mobile IPv6)也存在很多新的安全挑战,目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外,DHCP( Dynamic Host Configuration Protocol,动态主机配置协议)必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制订之中。
●向IPv6迁移过程中可能出现漏洞。
目前安全人员已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源,攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道,从而绕过防火墙对IPv4进行攻击。
IPv6协议在网络安全上的改进
● IP安全协议(IPSec)技术
IP安全协议(IPSec)是IPv4的一个可选扩展协议,而在IPv6中则是一个必备的组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。
IPSec通过三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是否一致,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
需要指出的是,虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。
●灵活的扩展报头
一个完整的IPv6数据包包括多种扩展报头,例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
比较IPv4和Ipv6的报头可以发现,IPv6报头采用基本报头+扩展报头链组成的形式,这种设计可以更方便地增添选项,以达到改善网络性能、增强安全性或添加新功能的目的。
IPv6基本报头被固定为40bit,使路由器可以加快对数据包的处理速度,网络转发效率得以提高,从而改善网络的整体吞吐量,使信息传输更加快速。
IPv6基本报头中去掉了IPv4报头中的部分字段,其中段偏移选项和填充字段被放到IPv6扩展报头中进行处理。
去掉报头校验(Header Checksum,中间路由器不再进行数据包校验)的原因有三: 一是因为大部分链路层已经对数据包进行了校验和纠错控制,链路层的可靠保证使得网络层不必再进行报头校验; 二是端到端的传输层协议也有校验功能以发现错包; 三是报头校验需随着TTL值的变化在每一跳重新进行计算,增加包传送的时延。
●地址分配与源地址检查
地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑,允许核心路由器根据需要,开启反向路由检测功能,防止源路由篡改和攻击。
IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。
通过端到端的安全保证,网络可以满足用户对安全性和移动性的要求。IPv6限制使用NAT(Network Address Translation,网络地址转换),允许所有的网络节点使用全球惟一的地址进行通信。每当建立一个IPv6的连接,系统都会在两端主机上对数据包进行 IPSec封装,中间路由器对有IPSec扩展头的IPv6数据包进行透明传输。通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度。
●域名系统DNS
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃。当采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议时,能进一步增强对DNS新的攻击方式的防护,例如网络钓鱼(Phishing)攻击、DNS中毒(DNS poisoning)攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址。你好,要保障物联网信息安全需采用一定的防护手段。物联网是“万物互联”的网络,物联网技术原理更需要依托计算机,然而现在信息泄露事件还是非常严重的。前段时间国家有过相关报道过,在2020年境外约52万个计算机恶意程序控制服务器控制了国内大约有531万台主机,国家的信息安全也还在面临着非常严峻的威胁,所以物联网被黑客攻击并且监控的情况完全有可能发生。要保障物联网信息安全可以采用加密软件来防护的解决方案,天锐-绿盾加密软件可以对信息安全进行有力防护;如果担心被黑客攻击,可以采用天锐-绿盘的智能备份系统来对信息进行智能备份,通过灵活数据备份策略和高速恢复的智能备份方式,有效保护信息的安全。
1、DDoS攻击
IT专家认为分布式拒绝服务攻击就是:大量数据包涌入受害者的网络,让有效请求无法通过。但这只是最基本的DDoS攻击形式,防御方面的改进已经迫使攻击者改变了他们的攻击方式。DDoS攻击使用的数据包越来越多,攻击流量最多达到100Gbps。
攻击者还开始针对基础设施的其他部分,其中企业域名服务的服务器的攻击者最喜欢的目标。因为当攻击者成功攻击DNS服务器后,客户将无法访问企业的服务。
大规模DDoS攻击通常会采用“低且慢”的攻击,这种攻击使用特制的请求来让web应用程序或设备来处理特定的服务,以快速消耗处理和内存资源。这种应用层攻击占所有攻击的四分之一。
此外,攻击者还会寻找目标网站的网址,然后呼叫该网站的后端数据库,对这些网页的频繁呼叫将很快消耗掉网站的资源。
在速度慢的攻击中,路由器将崩溃,因此,企业无法使用设备来阻止不好的流量。这些攻击还可以通过云DDoS防护服务。企业应该采用混合的方法,使用web应用程序防火墙、网络安全设备和内容分发网络来建立一个多层次的防御,以尽可能早地筛选出不需要的流量。
2、旧版本浏览器
每年涉及数百万美元的银行账户欺诈网络攻击都是利用浏览器漏洞,更常见的是,利用处理Oracle的Java和Adobe的Flash及Reader的浏览器插件。漏洞利用工具包汇聚了十几个针对各种易受攻击组件的漏洞利用,如果企业没有及时更新,攻击者将通过这种工具包迅速侵入企业的系统。
例如,最新版本的Blackhole漏洞利用工具包包含7个针对Java浏览器插件的漏洞利用,5个针对Adobe PDF Reader插件,2个针对Flash。
企业应该特别注意Oracle的Java插件,因为Java被广泛部署,但却鲜少修复。 企业应该利用补丁修复管理产品来阻止这种漏洞利用攻击。
3、不良网站
知名的合法网站开始成为攻击者的目标,因为攻击者可以利用用户对这些网站的信任。企业不可能阻止员工访问这些知名网站,并且企业的技术防御总是不够。
还有另一种更阴险的攻击--恶意广告攻击,这种攻击将恶意内容插入广告网络中,恶意广告可能只是偶尔出现在广告跳转中,这使这种攻击很难察觉。
同样的,企业应该采用多层次的防御方法,例如,安全代理服务器结合员工计算机上的反恶意软件保护来阻止已知威胁的执行。
4、移动应用程序
BYOD趋势导致企业内消费者设备激增,但移动应用程序安全性很差,这使企业数据处于危险之中。
60%的移动应用程序从设备获取独特的硬件信息并通过网络接口传出去,更糟糕的是,10%的应用程序没有安全地传输用户的登录凭证。
此外,支持很多移动应用的Web服务也很不安全。由于用户不喜欢输入密码来使用移动设备上的服务,移动应用经常使用没有过期的会话令牌。而攻击者可以在热点嗅探流量并获取这些令牌,从而访问用户的账户。
企业很难限制员工使用的应用程序,但企业可以限制员工放到其设备的数据以及限制进入企业的设备。
5、SQL注入
对于SQL注入攻击,最简单的办法就是检查所有用户提供的输入,以确保其有效性。
企业在修复SQL漏洞时,通常专注于他们的主要网站,而忽视了其他连接的网站,例如远程协作系统等。攻击者可以利用这些网站来感染员工的系统,然后侵入内部网络。
为了减少SQL注入问题的风险,企业应该选择自己的软件开发框架,只要开发人员坚持按照该框架来编程,并保持更新,他们将创造出安全的代码。
6、证书的危害
企业不能盲目地信任证书,攻击者可能使用偷来的证书创建假的网站和服务,或者使用这些证书来签署恶意代码,使这些代码看起来合法。
此外,糟糕的证书管理也会让企业付出巨大的代价。企业应该跟踪证书使用情况,并及时撤销问题证书。
7、跨站脚本问题
跨站脚本利用了浏览器对网站的信任,代码安全公司Veracode发现,超过70%的应用程序包含跨站脚本漏洞,这是影响商业开源和内部开发软件的首要漏洞问题。
企业可以利用自动代码检查工具来检测跨站脚本问题,企业还应该修改其开发流程,在将程序投入生产环境之前,检查程序的漏洞问题。
8、“物联网”漏洞
在物联网中,路由器、打印机、门锁等一切事物都通过互联网连接,在很多情况下,这些设备使用的是较旧版本的软件,而这通常很难更新。 攻击者很容易利用这些设备来侵入企业内部网络。
企业应该及时发现和禁用其环境中任何UPnP端点,并通过有效的工具来发现易受攻击的设备。
9、情报机器人
并非所有攻击的目的都是攻击企业的防御系统。自动web机器人可以收集你网页中的信息,从而让你的竞争对手更了解你的情况,但这并不会破坏你的网络。
企业可以利用web应用程序防火墙服务来判断哪些流量连接到良好的搜索索引机器人,而哪些连接到竞争对手的市场情报机器人或者假的谷歌机器人。这些服务可以防止企业信息流到竞争对手。
10、新技术 旧问题
不同企业可能会遇到不同的威胁,有网上业务的企业可能会有SQL注入和HTML5问题,有很多远程办公人员的企业可能会有移动问题。企业不应该试图将每一种威胁降到最低,而应该专注于最常被利用的漏洞,并解决漏洞问题。同时,培养开发人员采用安全做法,并让开发人员互相检查代码以减少漏洞。
扩展资料
方法技巧:
1、正确配置
多数防火墙损害是由于其错误配置造成的,而不是由防火墙的缺陷造成的。这至少说明一点,保障安全设备的正确配置很有意义。在防御自己的网络时,实施恰当的安全工具和策略是很重要的。因而,如果企业的设备过期了,遗漏了关键的补丁或没有配置,企业网络遭受暴露的可能性就很大了。
有人也许会说,我拥有强健的防火墙规则,我的网络固若金汤。但是,如果路由器运行在一个有严重漏洞的老 *** 作系统上,其中的安全漏洞随时可被利用,这不是相当于搂着一颗随时有可能发生爆炸的定时炸d吗
2、打破壁垒
企业的低效安全是企业文化问题的一个症状。IT和IT运营团队都要为管理、支持、保障越来越复杂的网络环境负责,并呼吁更多的资源参与到安全工作中。
随着工作日益增多,每一个部门都非常重视自己的业务应用,复杂的连通性需求也牵涉到多个方面,如应用程序的所有者和防火墙的管理员等。企业应当考虑打破无形的壁垒,让有关各方都能够相互有效交流,在不影响工作效率的前提下改善安全性。
3、过程自动化
如果你解决了上述两个问题,就需要自动化来强化安全和运营了。许多企业认为,在管理网络安全设备时,耗时过多、手工 *** 作、易于出错等是最大的困难。如果让人工去发现由于某个变化而影响的防火墙规则,这是相当耗时且易于出错的。
企业不妨借助自动化技术来保障准确性,减少风险,极大地减少处理变化时所花费的时间。这时,IT就可以更快捷地应对变化的业务需求。
4、减少复杂性
企业IT环境中往往有多种设备和策略都与关键业务应用紧密联系,因而在保障网络、应用程序、信息安全时,往往存在诸多困难。而且通常一种设备、策略或应用对另一种设备或策略、应用的影响并不明显。
例如,如果安全策略发生了变化,那么它对维持企业运行的关键业务应用会产生怎样的影响反过来也是一样,如果应用程序发生了变化,对安全策略和网络会有影响吗这不仅是一个安全问题(应当移除与退役应用程序相关的不再使用的规则),而且还是一个保障业务高效运行的问题。
5、反思网络安全
在规划防御时,根据一个干净的没有遭受损害的网络来制定计划也为了一种标准。但是,如今恶意软件深藏不露,针对性攻击日益强烈,而且网络越来越开放,上述标准就成为了一种错误的假设。反思网络安全意味着IT要从一种不同的假设开始,要假定自己已经遭受了黑客攻击。IT应当重新规划企业防御,只有这样才能使安全状况焕然一新。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)