IPv6部署如何影响物联网设备的安全性

原文作者:Fernando Gont

原文地址:https://internetofthingsagenda.techtarget.com/feature/How-IPv6-deployment-affects-the-security-of-IoT-devices


作为IPv4协议的继承者,IPv6将提供巨大的地址空间,以支持互联网当前和未来的发展。

IPv6通常被视为物联网的关键促成技术,因为它可以轻松适应越来越多连接到互联网的智能传感器。但是,IPv6和物联网设备之间可能存在的安全交互通常被忽略,以及与物联网设备安全性相关的范例可能无意中发生变化。

在物联网(IoT)的网络(Internet)里面

大多数网络的事实上的基本安全架构包括通过网络地址转换(NAT)设备连接到公共因特网的内部网络。NAT设备不仅允许单个地址或一组地址在内部网络上的多个系统之间共享,但是,有个副作用,它强制执行一个只允许传出通信的安全策略。也就是说,允许从内部网络发起到公共互联网的传出通信,例如TCP连接,而从公共互联网发起到内部节点的通信被阻止。

许多协议和应用程序假定内部网络上的节点和内部网络本身都可以信任,而内部网络外部的任何网络和节点都不被信任。因此,大多数智能设备都采用两套不同的协议:组不安全的协议在本地网络上运行,另一组则是在互联网上运行的典型安全协议。

在本地网络上,智能设备通常采用简单的专有协议,缺乏认证,授权和保密性。在某些情况下,某些不需要验证的操作和管理功能,或者采用用户很少更改或更新的默认凭证的功能也可以通过Web界面访问。这对物联网设备的安全性不利,正如2016年10月IoT分布式拒绝服务攻击中所见。另一方面,通过互联网的操作经常使用由设备供应商提供的某种形式的云服务,通过HTTPS进行通信。

因此,这些智能设备一直认为本地网络是可信的,而外部网络 - 互联网 - 则不是。这种模式当然是有问题的,因为访问本地网络并不意味着允许操作本地智能设备。但是,至少应该强制执行界定信任和不信任网络之间的边界。对于一些简单的网络设置和场景,人们可能会摆脱这种模式。

IPv6部署对物联网设备安全的影响

如前所述,IPv6部署的主要驱动因素是其庞大的地址空间,它可以适应互联网和互联网连接设备目前和可预见的未来增长。

由于其广阔的地址空间,IPv6设备至少配备了一个唯一的全球地址,因此,NAT注定会消失。因此,NAT的过滤策略强制只允许传出通信也可能消失,这意味着内部和外部系统之间的通信可能不再受网络监管。

实际上,如果在网络边界不执行过滤策略,内部和外部网络之间的区别可能会完全消失。虽然这可能带来潜在的好处 - 例如,对于未经请求的入站通信常见的点对点应用程序,但这显然会增加攻击风险。

除非采取明确的措施,否则IPv6部署可能导致网络的所有内部节点都可以从公共互联网直接访问。例如,这意味着诸如基于IPv6的死亡ping之类的封包攻击可以很容易地用于物联网设备。另外,被设计为在本地可信网络上运行的协议可能不经意地最终在不可信的公共互联网上运行。

物联网是否真的需要IPv6?

当涉及到IPv6的物联网和,许多人认为,IPv6的需要物联网,以发挥其全部潜力。然而,分析IoT可能需要 IPv6(特别是全球寻址和任意连接)的程度是很有趣的。

在IPv4世界中,由于多种原因,使用私有地址空间可能会产生问题,例如,何时需要合并或互连使用重叠私有地址空间的网络。提供具有全局地址的所有设备可以帮助避免此类问题和其他相关问题 - 尽管唯一的本地地址空间fc00 :: / 7(提供统计唯一的本地范围地址)也可以用于类似的结果。

无论是否采用全局地址空间,问题出现在任何连接(包括未经请求的入站通信)是否可取,以及它对物联网设备安全性的影响。在IPv4世界中,由于使用NAT,未经请求的入站通信被阻塞。随着IPv6在IPv6世界中可能消失的NAT及其网络过滤策略,全球任何对任何通信都可以提高灵活性 - 尽管以增加攻击风险为代价。

是否对IPv6和物联网设备实施相同的过滤策略将取决于相关设备通信模型 ; 是否需要外部实体轮询物联网设备,或预计物联网设备是否会通知外部实体。如果是前者,则物联网网络需要接受入站的,未经请求的通信。如果是后者,传入的通信可能会被网络阻塞,而IoT设备将能够根据需要与外部系统联系。

由于物联网仍然是当前发展的一个领域,因此很难对哪种通信模式更受欢迎做出任何有教育的预测。但是,请注意,由于物联网设备目前在IPv4上运行,并且只允许出站通信,因此很有可能IPv6采用相同的范例。因此,对于基于IPv6的IoT网络,将实施与IPv4世界相同的过滤策略。

一个可能的前进方向

除了为的IoT装置的可能通信模式中,一个可能想知道如果,当从外部网络到的IoT网络通信是期望的,这样的通信应直接涉及的IoT设备,或者它是否应该经由一个中介的IoT代理来执行作为外部网络与物联网网络和设备之间的网关。很显然,这样一个网关很可能在安全方面更好,并且可能处于监视典型脆弱的物联网设备流量的良好位置。

庞大的IPv6地址空间代表了互联网目前和可预见的未来增长。除非采取具体行动,否则IPv6部署可能会通过增加攻击面而无意中阻碍物联网设备的安全。

相关的增加曝光是否合理取决于物联网设备采用的通信范例。作为一个经验法则,除非实际需要阻塞通信的原则应该被应用。

本文的版权归 阿小庆 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

25年Linux内核开发经历总结出来的九条经验

原文: 9 lessons from 25 years of Linux kernel development 作者:Greg Kroah-Hartman 翻译...

38211
来自专栏轮子工厂

Java必看图书籍一网打尽

对于程序员来说,个人感觉最佳学习方式是看书,视频花费时间太长,而博客则不够系统。初学相关领域最好的方式就是找到一本经典的好书,然后啃完它。 本贴子收集了几本Ja...

1117
来自专栏IT大咖说

微信支付大规模前端开发背后,如何用外包解决困境

摘要 业务高速发展离不开各种配套运营系统的高效建设,微信支付也不例外。在前端人力极其匮乏的条件下我们另辟蹊径,大规模引入外包团队协同作业,并且在如何保证效率和质...

4426
来自专栏罗超频道

没错,号称中国第一移动产品的微信公众平台也有BUG

新版微信公众平台上线,处处体现了张小龙以及微信团队的考量和平衡。 更开放的接口,使得更多的企业和组织有机会利用微信来做好互动和服务,甚至基于微信...

4325
来自专栏漫漫全栈路

R.I.P. :传统整体式架构 VS 微服务

我咨询了十几个微服务项目。有些人表示,微服务真棒(这是未来!),而有些人很沮丧(谁发明了这个废物?)

1432
来自专栏安全领域

给道德黑客的十大建议

你是否每天都突破各种防火墙?睡觉都在想着利用漏洞?可以轻而易举入侵加密网站?为了人们的利益而做这些事?如果你对这四个问题的回答都是肯定的,你就是道德黑客——或者...

1402
来自专栏北京马哥教育

2016年度中国Oracle数据库使用现状分析报告

云和恩墨旗下智能诊断平台Bethune今日发布了【2016年度中国Oracle数据库使用现状分析报告】,该报告采样2016年度国内18个大行业、485位用户(个...

3927
来自专栏IT技术精选文摘

小程序开发指南

6868
来自专栏企鹅号快讯

图解全宇宙最神秘团体——“程序员”的日常,是辛苦还是闷骚?

大家都知道,IT行业嘛,整天整天就是泡在电脑前,尤其是程序员们——“不是在写代码,就是在去写代码的路上”。很多程序员都以写代码为乐,当爱好和工作结合在一起的时候...

2247
来自专栏BestSDK

SDKBOX手游服务接入助手,扫开所有难题成就时代神话

编辑导语 技术不在于多,在于精。SDKBOX手游服务接入方案,让你分分钟搞定几周的工作,正所谓的“一分投入,十分收益”。技术竞争时代,你慢一步,就需要几年的时间...

3089

扫码关注云+社区

领取腾讯云代金券