当前,Internet网络主要还是基于IPv4协议,但IPv6网络已经开始了广泛的部署,CNGI就是其中之一。然而IPv4网络的成熟性和安全性,还没有完全的应用到IPv6网络之中。比如现有的IPv6接入网络,仍然是开放的,用户可以随意接入,自由获得地址、更改地址,不受到任何制约和限制。因此,其接入安全性较难得到保证。
在这一点上WLAN无线网络和有线网络很大的区别是,无线用户需要进行认证,无线接入设备能够了解每一个用户的在线状态,了解其对应的MAC、密钥等信息,因此对于无线网络的IPv6用户接入安全,可以采用区别于有线的一些处理机制。作为承载包括WLAN在内H3C所有网络产品特性的统一软件平台,Comware平台既考虑了在当前的普通IPv4网络中的安全性,也考虑了在IPv6网络中的安全性。
对于用户,其上网的身份标识,在链路层为MAC地址,在网络层为IP地址,在应用层为上网账号。对于WLAN网络,其链路层安全,即MAC的正确使用可以由11i保证,但用户报文的标识——IP地址,特别是跨三层之后IP识别的有效性,将是保证用户安全的重要环节。现有无线安全技术并不保证IP层可靠,即使IPv6也不例处。而且,相当多的无线网络采用了共享密钥的方式,各IPv6用户之间实际上可以在链路层可以互访,使得具有敌意的嗅探攻击成为可能,安全性问题反而比有线网络中还要严重。
源地址伪造系列安全问题
在IPv4网络中,所有的网络都面临报文的伪造问题。传统路由器在转发IP报文时,基于报文的目的IP地址进行查表转发,不对报文源地址的真实性进行任何验证。而基于IP协议的上层协议(例如TCP,UDP等)都使用IP地址作为通讯对方的标识,只要攻击者伪造了报文源IP地址,就能够欺骗对方,从而攻击服务器等现有网络应用设备。H3C已经针对IPv4开发出了一系列的特性防止此类的攻击。
与IPv4一样,IPv6网络也面临报文的伪造问题,主要是报文源地址伪造的问题。而且,因为IPv6网络是新组建网络,很容易忽视这个问题。但攻击者已经开始“关注”它,并可能利用这些问题发起新的攻击。
