感知互联网和通讯互联网安全体制之间的两败俱
分类:彩世界彩票注册平台官网

彩世界彩票注册平台官网 1

物品的感知是物联网应用的重要前提。物品与互联网相连接,通过RFID、传感器、和GPS定位等技术能够随时随地并且自动地获取物品的信。因此,人们随时随地都可以方便快捷地获取物品的确切位置及周围环境等相关信息。然而在物联网的应用中,RFID标签能被嵌入任何物品中,一旦被嵌人人们的日常生活用品中,如果物品的使用者没能察觉,那么物品的使用者将会不受控制地被扫描、定位及追踪。这无疑对个人的隐私构成了极大的威胁,而且人身安全也无法的到保障。国际案例,2007年,时任美国副总统迪克·切尼心脏病发作,被怀疑缘于他的心脏除颤器无线连接功能遭暗杀者利用。这被视为物联网攻击造成人身伤害的可能案例之一。

地址欺骗

感知网络和通信网络安全机制之间的融合带来的问题

感知识别层的设备、节点等无人看管,容易受到物理操纵。攻击者很容易就能接触到这些设备,从而对设备或其嵌入其中的传感器节点进行破坏。攻击者甚至可以通过更换设备中的软硬件,对它们进行非法或者破坏性操控。

倘若双栈主机不具备IPv6网络下的安全防护,而攻击者与双栈主机存在邻接关系时,则可以通过包含IPv6前缀的路由通告应答的方式激活双栈主机的IPv6地址的初始化,进而实施攻击。

在目前的网络中,数据的机密性和完整性是通过较为复杂的加密算法来实现的,而在物联网通信环境中,大部分场景中单个设备的数据发送量相对较小,使用复杂的算法保护主带来不必要的延时。

物联网,是继计算机、互联网与移动通信网之后的又一次信息产业浪潮,是一个全新的技术领域,给IT和通信带来了广阔的新市场。传感网于1999年最先被提出,在“互联网概念”的基础上随后引申为物联网这一概念,将其用户端延伸和扩展到任何物品与物品之间,进行信息交换和通信的一种网络概念。

在IPv4与IPv6中,向目标主机发送大量网络流量依旧是有效的攻击方式,泛洪攻击可能会造成严重的资源消耗或导致目标崩溃。

中间人攻击:攻击者可以发动中间人攻击,使得物联网设备与通信网络失去联系,或者诱使物联网设备向通信网络发送假冒的请求或响应,从而使得通信网络做出错误的判断而影响网络安全。

物联网何时能真正渗透到人们的生活中,业界都不同的看法,有人指出子至少还要5~10年,也有人之处未来3年内爆发。但是,目前除了技术障碍外的标准缺失,让国内物联网的未来仍然处于模糊状态。

RFC7113提出了IPv6安全RA方案RA-Guard[8],其通过阻断非信任端口RA报文转发来避免恶意RA可能带来的威胁,在攻击包实际到达目标节点之前阻塞二层设备上的攻击数据包。

彩世界彩票注册平台官网 2

标准统一

报文监听

由于一些物联网设备很可能处在物理不安全的位置,这就给了攻击者可乘之机,从物理不安全的设备中获得用户身份等的隐私信息,并以此设备为攻击源对通信网络发起一些攻击。

另外,物联网的信息安全问题,除了在技术层面要加强防护外,更应该完善相关的法律法规,出台相关的物联网信息安全管理机制,为物联网的发展提供一个健康顺畅的环境。

4.3 翻译技术

彩世界彩票注册平台官网 3

物联网叫好不叫座,原因总结,最关键的是两点:(1)标准统一,(2)信息安全。

二、 IPv6 引入的安全隐患

伪造网络消息:攻击者可以利用感知网络的安全性等特点,伪造通信网络的信令指示,从而使得物联网设备断开连接或者做出错误的操作或响应。

各方面的宣传报道,可以看出,物联网的推动过程中,三大运营商,尤其是中国电信,非常积极主动。这是有原因的,市场规模巨大的物联网市场,最大的受益者,其实就是网络运营商。庞大的基础网络和数据传输,都会给运营商带来更大的机会,三大运营商是不会轻易错过的。

启用IPSec对数据进行认证与加密操作前需要建立SA,通常情况下动态SA的建立通过密钥交换协议IKE、IKEv2实现,由DH(Diffie-Hellman)算法对IKE密钥载荷交换进行安全保障[1],然而DH密钥交换并未对通信双方的身份进行验证,因此可能遭受中间人攻击。

物联网从概念提出,一直倡导智能化,其中技术创新就是关键之战。但是,一些关键技术在国内还是掌握不足,但这还不是最大的障碍。物联网要成为万物互联,就要联合各个产业,这时候,就需要出台各行业都能接入和遵从的标准。物联网技术标准已经成为其发展的最大障碍。

面对IPv6数据包,倘若启用了加密选项,IDS与IPS则无法对加密数据进行提取与分析,无法通过报文分析获取TCP、UDP信息,进而无法对网络层进行全面的安全防护。即便只允许流量启用AH认证报头,但认证报头内部具有可变长度字段ICV,因此检测引擎并不能准确地定位开始内容检查的位置。

RFID的安全威胁。RFID使用的是无线通信信道,由于无线信道是广播的开放信道,攻击者可以随意截取数据;同时还可以发射干扰信号,使得RFID标签与读写器之间的正常数据交换受到很大的影响,可以冒名发送或伪造数据。

翻译设备作为网络互通的关键节点,是DDoS攻击的主要攻击目标。同时,翻译设备还可能遭遇地址池耗尽攻击,若IPv6攻击者向IPv4服务器发送互通请求,但每条请求都具有不同的IPv6地址,则每条请求都将消耗一个地址池中的IPv4地址,当出现大量该类请求时,便会将地址池耗尽,使得翻译设备不再接受进一步的请求。

物联网是什么,引用学习:

在RFC8200中声明禁止重组重叠的IPv6分片,且其限制最小MTU为1280字节[2],因此处理时将丢弃除最后分片外小于1280字节的分片,在一定程序上也缓解了分片攻击。

随着物联网的迅猛发展,安全攻击也在所难免。就目前阶段,收集到或预测到攻击,可分类为:对感知层的攻击、对网络层的攻击、对应用层的攻击。

三、 IPv6 对安全硬件的影响

不得不说,物联网的大规模落地,首要条件就是标准体系的建立。当前情况,就是行业、企业之间,就物联网应用的标准,难以达成一致,已经导致众多项目难以实现真正的互联。

分片攻击

我们都能感受到,物联网的飞速发展,一些你自己都未必清楚的细节,都很有可能,全部或部分被物联网中的感知元器件捕获、记录、传输并保存下来。这些信息随着时间推移,会形成丰富的真实海量数据。有数据,就要面对安全性问题。可以说,物联网发展中,最大、最困难,也是最艰巨的问题,就是如何更好的解决数据的安全问题,如何因万物互联给人们带来方便、智能的同时,提供更有保障、更安全、更可靠的服务。物联网的所有终端都为实物,实物又被智能网络互联在一起,试想,如果人们的电脑或手机通过网络,与家中的保险柜、门锁、空调开关等等连接在一起,而这连接过程、数据传输过程,安全没有得到很好的保证,那将会爆发多少信息安全事件?

应对方式

攻击者也可以在物联网无线信号覆盖的区域内,通过发射无线电信号来进行干扰,从而使无线通信网络不能正常工作,甚至瘫痪。例如,2008年,波兰一名14岁少年用一个改装过的电视遥控器控制了波兰第三大城市罗兹的有轨电车系统,导致数列电车脱轨、人员受伤。

2.1.4 分段报头

结束语:

安全威胁

按照现在的发展,在未来物联网是将无处不在的终端设备和设施,包括具备内在智能的传感器、移动终端、工业系统、楼控系统、视频监控系统等等...以及外在使能的,如贴上RFID的各种资产、携带无线终端的个人与车辆等智能化物件或动物,通过各种无线(有线)的长距离(短距离)通讯网络实现互联互通、应用集成、以及基于云计算的模式营运,提供安全可控甚至于个性化的实时在线监控测量、定位、远程控制、远程维护等管理和服务功能,实现对各种事物的高效、节能、安全、污染小的管理、控制、营运一体化。

2.2.2 邻居发现协议

信息安全

攻击者可向DHCPv6服务器发送大量的SOLICIT消息,强制服务器在一定时间内维持一个状态,致使服务器CPU与文件系统产生巨大负担,直至无法正常工作。

彩世界彩票注册平台官网 4

2.1 IPv6扩展首部威胁

当前,电信主导NB-IOT网络标准,获得华为等一众企业的支持和合作,但后续能否成为主导,还是未知数。

移动IPv6协议的数据通信以明文进行传输,因此其本身便是不安全的,攻击者可对MIPv6数据包进行嗅探进而识别其通信节点、转交地址、家乡地址、家乡代理等信息,并利用这些信息伪造数据包。攻击者可通过拦截类型为消息绑定更新的数据包,修改绑定关系中的转交地址。此外,移动节点标识符选项揭示了用户的家乡从属关系,攻击者可利用该选项确定用户身份,锁定特定的攻击对象[4]。

“物联网”的理念源于比尔盖茨1995年《未来之路》一书。1999年,美国Auto—ID首先提出“物联网”的概念,即把所有物品通过射频识别等信息传感设备与互联网连接起来,实现智能化识别和管理。 物联网是一种非常复杂,形式多样的系统技术。物联网即是通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描仪等信息识别与传感设备,按计算机网络约定的协议,把任何物品连接到互联网,进行双方或多方信息交换和通信,以实现对物品的智能化识别、定位、跟踪、监控和管理的一种网络。其目的是实现物与物、物与人,人与人,所有的物品与网络的连接,方便对物和人进行识别、定位、管理和控制。

IPv6使用NDP协议替代了IPv4中的ARP协议,但由于实现原理基本一致,因此针对ARP协议的ARP欺骗、ARP泛洪等类似攻击方式在IPv6中依旧可行。

【编辑推荐】

2.2 协议威胁

了解到,目前国家12个部委的23多个已有的标准工作组,正在积极响应,联合参与标准的制定。可惜,碰上复杂的物联网,这个标准据说短期内很难出台。

重复地址检测攻击

地址池耗尽攻击

IPv6中可使用IPSec对其网络层的数据传输进行加密保护,但RFC6434中不再强制要求实施IPSec,因此在未启用IPSec的情况下,对数据包进行监听依旧是可行的。

应对方式

中间人攻击

当目标节点向FF02 :: 16所有节点发送NS数据包进行重复地址检测时,攻击者可向该节点发送NA报文进行响应,并表明该地址已被自己使用。当节点接收到该地址已被占用消息后重新生成新的IPv6地址并再一次进行重复地址检测时,攻击者可继续进行NA响应实现DoS攻击。

中间人攻击

应用层攻击

隧道注入

安全邻居发现[7]协议是邻居发现协议中的一个安全扩展,其工作原理为使网络中每个IPv6节点都有一对公私钥以及多个邻居扩展选项。采用SEND协议后,各个节点的接口标识符(IPv6地址低64比特)将基于当前的IPv6网络前缀与公钥进行计算产生,而不能由各个节点自行选择。安全邻居发现协议通过时间戳和Nonce选项抵御重放攻击,并引入了CGA与RSA签名对数据源进行验证以解决邻居请求/邻居通告欺骗的问题。SEND虽然可以解决一定的安全问题,但目前系统与设备对SEND的支持十分有限。

四、 过渡技术的安全性

使用访问控制列表或空路由过滤对地址空间中未分配的部分的访问,用以防止攻击者迫使路由解析未使用的地址。

由于NDP协议基于可信网络因此并不具备认证功能,因此可通过伪造ICMPv6 NA/RA报文实现中间人攻击。攻击者可以伪造NA报文,将自己的链路层地址并启用覆盖标志作为链路上其他主机的地址进行广播。攻击者可伪造RA报文发送至目标节点修改其默认网关。

攻击者可向节点发送大量不完整的分段集合,强迫节点等待片段集合的最后片段,节点在超时时间内由于只接收到部分IPv6片段进而无法完成重组,最终只能将数据包丢弃,在超时等待期间,会造成存储资源的消耗。

泛洪攻击

泛洪攻击

2.1.2 目的选项报头

[1]Kaufman C,Hoffman P, RFC7296: Internet Key Exchange Protocol Version 2[EB/OL], .

[2]Deering S, Hinden R, RFC8200: Internet Protocol, Version 6 Specification[EB/OL], .

[3]Le Faucheur F, RFC6398: IP Router Alert Considerations and Usage [EB/OL], .

[4]Patel A, Leung K RFC4283: Mobile Node Identifier Option for Mobile IPv6 [EB/OL], .

[5]Abley J, Savola P, RFC5095: Deprecation of Type 0 Routing Headers in IPv6 [EB/OL], .

[6]Davies E, Mohacsi J, RFC4890: Recommendations for Filtering ICMPv6 Messages inFirewalls [EB/OL], .

[7]Arkko J, Kempf J, Zill B, Nikander P,RFC3971: SEcure Neighbor Discovery [EB/OL], .

[8]Gont F, RFC7113: Implementation Advice for IPv6 Router AdvertisementGuard ,2014.

[9]Mrugalski T, Siodelski M, Volz B,RFC8415: Dynamic Host Configuration Protocol for IPv6 ,2018.、

本文整理并总结了IPv6可能存在的安全威胁,从IPv4安全威胁延续、IPv6相关附属协议和相关机制可能带来的安全威胁、IPv6对安全硬件的影响及过渡技术的安全威胁四个方面进行了分析与梳理。

攻击者可伪造成DHCPv6服务器向目标客户端发送伪造的ADVERTISE与REPLY报文,在伪造报文中携带虚假的默认网关、DNS服务器等信息,以此实现重定向攻击。

3.2 IDS&IPS

可通过向主机发送格式不正确的消息刺激主机对ICMPv6的响应,从而通发现潜在的攻击目标[6]。

安全威胁

2.1.1 逐跳选项报头

安全威胁

由于地址转换技术和IPSec在功能上不匹配,因此很难穿越地址转换型防火墙利用IPSec进行通信。

攻击者可通过伪造外部IPv4与内部IPv6地址伪装成合法用户向隧道中注入流量。

应对方式

4.1 双栈技术

攻击者可伪造不同网络前缀RA消息对FF02 :: 1进行进行泛洪攻击,接收节点将会根据不同的网络前缀进行更新,从而消耗大量的CPU资源。

应对方式

应对方式

拒绝服务攻击

安全威胁

应对方式

应对方式

4.2 隧道技术

根据RFC8200,IPv6节点已不能创建重叠分段,且在对IPv6报文进行重组时,如若确定一个或多个片段为重叠片段,则必须对整个报文进行丢弃[2]。

应当尽快更新安全设备并升级至最新的IPv6协议版本,同时对所有的RH0数据包进行丢弃。

在IPv6下,由于部分路由协议并未发生变化,因此路由攻击依旧可行。

隧道嗅探

可通过向目标节点发送过多的ICMPv6包以及发送错误消息,导致会话被丢弃,从而破坏已建立的通信,实现DoS攻击[6]。

DHCPv6中内置了认证机制,认证机制中的RKAP协议[9]可以对伪造DHCPv6服务器的攻击行为提供防范。

2.2.1 ICMPv6协议

攻击者可以伪装为大量的DHCPv6客户端,向DHCPv6服务器请求大量的IPv6地址,耗光IPv6地址池。

安全威胁

针对IPv6报文,防火墙必须对IPv6基本报头与所有的扩展首部进行解析,才能获取传输层与应用层的信息,从而确定当前数据报是否应该被允许通过或是被丢弃。由于过滤策略相比IPv4更加复杂,在一定程度上将加剧防火墙的负担,影响防火墙的性能。

路由攻击

3.1 防火墙

一、 IPv4 安全威胁延续

可在交换机的每个物理端口设置流量限制,将超出流量限制的数据包丢弃。或在防火墙或边界路由器上启动ICMPv6数据包过滤机制,也可配置路由器拒绝转发带有组播地址的ICMPv6 EchoRequest报文。

可通过向组播地址FF02::1发送Echo Request报文,通过接收Echo Reply报文实现本地链路扫描,或以目标节点作为源地址向组播地址FF02 :: 1发送ICMPv6 EchoRequest消息实现Smurf攻击。

安全威胁

可利用逐跳选项报头发送大量包含路由提示选项的IPv6数据包,包含有路由提示选项的数据包要求所有路由器对该数据包进行处理并仔细查看该数据包的报头信息[3],当攻击者发送大量此类IPv6数据包时,将消耗链路上路由器大量资源,严重可造成DoS攻击。

可尝试关闭PMTU发现机制,但其会影响到网络数据的传输速率。

利用翻译技术实现IPv4-IPv6网络互联互通时,需要对报文的IP层及传输层的相关信息进行改动,因此可能会对端到端的安全产生影响,导致IPSec的三层安全隧道在翻译设备处出现断点。

可尝试开启IPSec保证数据包不会被窃听[4]。

IPv4网络中应用层可实施的攻击在IPv6网络下依然可行,比如SQL注入、缓冲溢出等,IPS、反病毒、URL过滤等应用层的防御不受网络层协议变化的影响。

位于隧道IPv4路径上的攻击者可以嗅探IPv6隧道数据包,并读取数据包内容。

五、 参考文献

2.2.3 DHCPv6

Cisco ASA防火墙的FragGuard功能可以将所有的分片组装并进行整个数据包检查用以确定是否存在丢失的分段或重叠分段。

防火墙应该丢弃除最后分段外所有小于1280字节的所有分段。

如若在IPv6数据包中启用加密选项,负载数据将进行加密处理,由于包过滤型防火墙无法对负载数据进行解密,无法获取TCP与UDP端口号,因此包过滤型防火墙无法判断是否可以将当前数据包放行。

*本文作者:狴犴安全团队,转载自FreeBuf.COM

IPSec的影响

如若将关键的报头信息切分在多个片段中,安全防护设备对关键信息进行提取与检测处理会耗费大量资源,构造大量该类数据包可能对目标主机造成DoS攻击。

对客户端所有发送到FF02::1:2(所有DHCPv6中继代理与服务器)和FF05::1:3(所有DHCPv6服务器)的消息数量进行速率限制。

在IPv6中,中间节点不可以对分段数据包进行处理,只有端系统可以对IP数据包进行分分段与重组,因此攻击者可能借助该性质构造恶意数据包。

安全威胁

可通过向目标节点发送ICMPv6 Packet too big报文,减小接收节点的MTU,降低传输速率。

伪造DHCPv6服务器

虽然RH0已被正式弃用并启用RH2[2],但旧的或未升级设备依然可能遭受RH0攻击。

在RH0路由类型下,攻击者可利用路由报头选项伪装成合法用户接收返回的数据包。同时,RH0提供了一种流量放大机制,攻击者可利用该类型进行拒绝服务攻击[5]。

IPv6报头的影响

2.1.3 路由报头

应当限制路由器对包含路由提示选项的数据包的处理数量。

本文由彩世界注册首页发布于彩世界彩票注册平台官网,转载请注明出处:感知互联网和通讯互联网安全体制之间的两败俱

上一篇:开发测试一山容得二虎,30条有关测试的故事和事 下一篇:没有了
猜你喜欢
热门排行
精彩图文