IPv6部署如何影响物联网设备的安全性

原文作者：Fernando Gont

原文地址：https://internetofthingsagenda.techtarget.com/feature/How-IPv6-deployment-affects-the-security-of-IoT-devices

作为IPv4协议的继承者，IPv6将提供巨大的地址空间，以支持互联网当前和未来的发展。

IPv6通常被视为物联网的关键促成技术，因为它可以轻松适应越来越多连接到互联网的智能传感器。但是，IPv6和物联网设备之间可能存在的安全交互通常被忽略，以及与物联网设备安全性相关的范例可能无意中发生变化。

在物联网（IoT）的网络（Internet）里面

大多数网络的事实上的基本安全架构包括通过网络地址转换（NAT）设备连接到公共因特网的内部网络。NAT设备不仅允许单个地址或一组地址在内部网络上的多个系统之间共享，但是，有个副作用，它强制执行一个只允许传出通信的安全策略。也就是说，允许从内部网络发起到公共互联网的传出通信，例如TCP连接，而从公共互联网发起到内部节点的通信被阻止。

许多协议和应用程序假定内部网络上的节点和内部网络本身都可以信任，而内部网络外部的任何网络和节点都不被信任。因此，大多数智能设备都采用两套不同的协议：组不安全的协议在本地网络上运行，另一组则是在互联网上运行的典型安全协议。

在本地网络上，智能设备通常采用简单的专有协议，缺乏认证，授权和保密性。在某些情况下，某些不需要验证的操作和管理功能，或者采用用户很少更改或更新的默认凭证的功能也可以通过Web界面访问。这对物联网设备的安全性不利，正如2016年10月IoT分布式拒绝服务攻击中所见。另一方面，通过互联网的操作经常使用由设备供应商提供的某种形式的云服务，通过HTTPS进行通信。

因此，这些智能设备一直认为本地网络是可信的，而外部网络 - 互联网 - 则不是。这种模式当然是有问题的，因为访问本地网络并不意味着允许操作本地智能设备。但是，至少应该强制执行界定信任和不信任网络之间的边界。对于一些简单的网络设置和场景，人们可能会摆脱这种模式。

IPv6部署对物联网设备安全的影响

如前所述，IPv6部署的主要驱动因素是其庞大的地址空间，它可以适应互联网和互联网连接设备目前和可预见的未来增长。

由于其广阔的地址空间，IPv6设备至少配备了一个唯一的全球地址，因此，NAT注定会消失。因此，NAT的过滤策略强制只允许传出通信也可能消失，这意味着内部和外部系统之间的通信可能不再受网络监管。

实际上，如果在网络边界不执行过滤策略，内部和外部网络之间的区别可能会完全消失。虽然这可能带来潜在的好处 - 例如，对于未经请求的入站通信常见的点对点应用程序，但这显然会增加攻击风险。

除非采取明确的措施，否则IPv6部署可能导致网络的所有内部节点都可以从公共互联网直接访问。例如，这意味着诸如基于IPv6的死亡ping之类的封包攻击可以很容易地用于物联网设备。另外，被设计为在本地可信网络上运行的协议可能不经意地最终在不可信的公共互联网上运行。

物联网是否真的需要IPv6？

当涉及到IPv6的物联网和，许多人认为，IPv6的是需要物联网，以发挥其全部潜力。然而，分析IoT可能需要 IPv6（特别是全球寻址和任意连接）的程度是很有趣的。

在IPv4世界中，由于多种原因，使用私有地址空间可能会产生问题，例如，何时需要合并或互连使用重叠私有地址空间的网络。提供具有全局地址的所有设备可以帮助避免此类问题和其他相关问题 - 尽管唯一的本地地址空间fc00 :: / 7（提供统计唯一的本地范围地址）也可以用于类似的结果。

无论是否采用全局地址空间，问题出现在任何连接（包括未经请求的入站通信）是否可取，以及它对物联网设备安全性的影响。在IPv4世界中，由于使用NAT，未经请求的入站通信被阻塞。随着IPv6在IPv6世界中可能消失的NAT及其网络过滤策略，全球任何对任何通信都可以提高灵活性 - 尽管以增加攻击风险为代价。

是否对IPv6和物联网设备实施相同的过滤策略将取决于相关设备的通信模型 ; 是否需要外部实体轮询物联网设备，或预计物联网设备是否会通知外部实体。如果是前者，则物联网网络需要接受入站的，未经请求的通信。如果是后者，传入的通信可能会被网络阻塞，而IoT设备将能够根据需要与外部系统联系。

由于物联网仍然是当前发展的一个领域，因此很难对哪种通信模式更受欢迎做出任何有教育的预测。但是，请注意，由于物联网设备目前在IPv4上运行，并且只允许出站通信，因此很有可能IPv6采用相同的范例。因此，对于基于IPv6的IoT网络，将实施与IPv4世界相同的过滤策略。

一个可能的前进方向

除了为的IoT装置的可能通信模式中，一个可能想知道如果，当从外部网络到的IoT网络通信是期望的，这样的通信应直接涉及的IoT设备，或者它是否应该经由一个中介的IoT代理来执行作为外部网络与物联网网络和设备之间的网关。很显然，这样一个网关很可能在安全方面更好，并且可能处于监视典型脆弱的物联网设备流量的良好位置。

庞大的IPv6地址空间代表了互联网目前和可预见的未来增长。除非采取具体行动，否则IPv6部署可能会通过增加攻击面而无意中阻碍物联网设备的安全。

相关的增加曝光是否合理取决于物联网设备采用的通信范例。作为一个经验法则，除非实际需要阻塞通信的原则应该被应用。