Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
社区首页 >专栏 >IPv6部署如何影响物联网设备的安全性

IPv6部署如何影响物联网设备的安全性

作者头像
双愚
发布于 2018-05-07 09:24:45
发布于 2018-05-07 09:24:45
1.7K0
举报

原文作者:Fernando Gont

原文地址:https://internetofthingsagenda.techtarget.com/feature/How-IPv6-deployment-affects-the-security-of-IoT-devices


作为IPv4协议的继承者,IPv6将提供巨大的地址空间,以支持互联网当前和未来的发展。

IPv6通常被视为物联网的关键促成技术,因为它可以轻松适应越来越多连接到互联网的智能传感器。但是,IPv6和物联网设备之间可能存在的安全交互通常被忽略,以及与物联网设备安全性相关的范例可能无意中发生变化。

在物联网(IoT)的网络(Internet)里面

大多数网络的事实上的基本安全架构包括通过网络地址转换(NAT)设备连接到公共因特网的内部网络。NAT设备不仅允许单个地址或一组地址在内部网络上的多个系统之间共享,但是,有个副作用,它强制执行一个只允许传出通信的安全策略。也就是说,允许从内部网络发起到公共互联网的传出通信,例如TCP连接,而从公共互联网发起到内部节点的通信被阻止。

许多协议和应用程序假定内部网络上的节点和内部网络本身都可以信任,而内部网络外部的任何网络和节点都不被信任。因此,大多数智能设备都采用两套不同的协议:组不安全的协议在本地网络上运行,另一组则是在互联网上运行的典型安全协议。

在本地网络上,智能设备通常采用简单的专有协议,缺乏认证,授权和保密性。在某些情况下,某些不需要验证的操作和管理功能,或者采用用户很少更改或更新的默认凭证的功能也可以通过Web界面访问。这对物联网设备的安全性不利,正如2016年10月IoT分布式拒绝服务攻击中所见。另一方面,通过互联网的操作经常使用由设备供应商提供的某种形式的云服务,通过HTTPS进行通信。

因此,这些智能设备一直认为本地网络是可信的,而外部网络 - 互联网 - 则不是。这种模式当然是有问题的,因为访问本地网络并不意味着允许操作本地智能设备。但是,至少应该强制执行界定信任和不信任网络之间的边界。对于一些简单的网络设置和场景,人们可能会摆脱这种模式。

IPv6部署对物联网设备安全的影响

如前所述,IPv6部署的主要驱动因素是其庞大的地址空间,它可以适应互联网和互联网连接设备目前和可预见的未来增长。

由于其广阔的地址空间,IPv6设备至少配备了一个唯一的全球地址,因此,NAT注定会消失。因此,NAT的过滤策略强制只允许传出通信也可能消失,这意味着内部和外部系统之间的通信可能不再受网络监管。

实际上,如果在网络边界不执行过滤策略,内部和外部网络之间的区别可能会完全消失。虽然这可能带来潜在的好处 - 例如,对于未经请求的入站通信常见的点对点应用程序,但这显然会增加攻击风险。

除非采取明确的措施,否则IPv6部署可能导致网络的所有内部节点都可以从公共互联网直接访问。例如,这意味着诸如基于IPv6的死亡ping之类的封包攻击可以很容易地用于物联网设备。另外,被设计为在本地可信网络上运行的协议可能不经意地最终在不可信的公共互联网上运行。

物联网是否真的需要IPv6?

当涉及到IPv6的物联网和,许多人认为,IPv6的需要物联网,以发挥其全部潜力。然而,分析IoT可能需要 IPv6(特别是全球寻址和任意连接)的程度是很有趣的。

在IPv4世界中,由于多种原因,使用私有地址空间可能会产生问题,例如,何时需要合并或互连使用重叠私有地址空间的网络。提供具有全局地址的所有设备可以帮助避免此类问题和其他相关问题 - 尽管唯一的本地地址空间fc00 :: / 7(提供统计唯一的本地范围地址)也可以用于类似的结果。

无论是否采用全局地址空间,问题出现在任何连接(包括未经请求的入站通信)是否可取,以及它对物联网设备安全性的影响。在IPv4世界中,由于使用NAT,未经请求的入站通信被阻塞。随着IPv6在IPv6世界中可能消失的NAT及其网络过滤策略,全球任何对任何通信都可以提高灵活性 - 尽管以增加攻击风险为代价。

是否对IPv6和物联网设备实施相同的过滤策略将取决于相关设备通信模型 ; 是否需要外部实体轮询物联网设备,或预计物联网设备是否会通知外部实体。如果是前者,则物联网网络需要接受入站的,未经请求的通信。如果是后者,传入的通信可能会被网络阻塞,而IoT设备将能够根据需要与外部系统联系。

由于物联网仍然是当前发展的一个领域,因此很难对哪种通信模式更受欢迎做出任何有教育的预测。但是,请注意,由于物联网设备目前在IPv4上运行,并且只允许出站通信,因此很有可能IPv6采用相同的范例。因此,对于基于IPv6的IoT网络,将实施与IPv4世界相同的过滤策略。

一个可能的前进方向

除了为的IoT装置的可能通信模式中,一个可能想知道如果,当从外部网络到的IoT网络通信是期望的,这样的通信应直接涉及的IoT设备,或者它是否应该经由一个中介的IoT代理来执行作为外部网络与物联网网络和设备之间的网关。很显然,这样一个网关很可能在安全方面更好,并且可能处于监视典型脆弱的物联网设备流量的良好位置。

庞大的IPv6地址空间代表了互联网目前和可预见的未来增长。除非采取具体行动,否则IPv6部署可能会通过增加攻击面而无意中阻碍物联网设备的安全。

相关的增加曝光是否合理取决于物联网设备采用的通信范例。作为一个经验法则,除非实际需要阻塞通信的原则应该被应用。

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
【译文】【第二章③】Mindshare PCI Express Technology 3.0
欢迎参与 《Mindshare PCI Express Technology 3.0 一书的中文翻译计划》
空白的贝塔
2022/02/16
1.4K0
【译文】【第二章③】Mindshare PCI Express Technology 3.0
PCIe(一)、PCIe PIO分析一
在赛灵思7系列FPGA中,使用AXIStream总线进行通信,PCIe的TLP包使用AXI总线传输,在AXI总线上数据大端对齐,即高位数据在地址的高位,在传输时AXIS总线上的数据形式:
根究FPGA
2020/06/30
3.3K0
PCIe(一)、PCIe PIO分析一
【译文】【第二章①】Mindshare PCI Express Technology 3.0
欢迎参与 《Mindshare PCI Express Technology 3.0 一书的中文翻译计划》
空白的贝塔
2022/02/16
1.9K0
【译文】【第二章①】Mindshare PCI Express Technology 3.0
PCIe系列第二讲、PCIe的OSI模型与事务层分析(上)
PCIe协议定义了三层结构,分别是:物理层、数据链路层、事务层,每个层次按照协议中规定的内容,完成相应的数据处理功能,各层都分为发送和接收两功能块。
根究FPGA
2020/06/30
2.7K0
PCIe系列第二讲、PCIe的OSI模型与事务层分析(上)
PCI Express 系列连载篇(二十)
最近有很多大侠在交流群里讨论PCI总线,PCI作为高速接口之一,在当下的FPGA产品设计研发中,地位举足轻重,应用广泛,今天给大侠带来PCI Express 系列连载,今天带来第二十篇,PCIe总线的事务层(TLP的格式(通用TLP头的Fmt字段和Type字段、TC字段、Attr字段、通用TLP头中的其他字段))。希望对各位大侠的学习有参考价值,话不多说,上货。
FPGA技术江湖
2020/12/30
1.5K0
PCIe系列第六讲、PCIe的数据链路层
本章将着重讲述TLP的数据链路层组成与操作,上一篇更新应该为第五讲,数据链路层位于事务层和物理层之间,使用容错和重传机制保证了数据传输的完整性和一致性,此外,数据链路层还需要对PCIe链路层进行监控和管理。
根究FPGA
2020/07/10
3.1K0
PCIe基础知识与例程分析
在赛灵思7系列FPGA中,使用AXIStream总线进行通信,PCIe的TLP包使用AXI总线传输,在AXI总线上数据大端对齐,即高位数据在地址的高位,在传输时AXIS总线上的数据形式:
根究FPGA
2020/06/30
4.4K0
PCIe基础知识与例程分析
PCI Express 系列连载篇(十七)
最近有很多大侠在交流群里讨论PCI总线,PCI作为高速接口之一,在当下的FPGA产品设计研发中,地位举足轻重,应用广泛,今天给大侠带来PCI Express 系列连载,今天带来第十七篇,PCIe总线概述,包括PCIe总线的基础知识(端到端的数据传递、PCIe总线使用的信号、PCIe总线的层次结构、PCIe链路的扩展)等相关内容。希望对各位大侠的学习有参考价值,话不多说,上货。
FPGA技术江湖
2020/12/30
1.8K0
基于WDF的PCI/PCIe接口卡Windows驱动程序(1)-WDF概述及开发环境搭建
原文出处:http://www.cnblogs.com/jacklu/p/4619110.html
用户7043923
2020/03/12
2.3K0
PCIe系列第七讲、PCIe的物理层
本章将着重讲述PCIe物理层组成与操作,物理层位于数据链路层之下,可产生PLP包(Physical Layer Packet)进行管理。
根究FPGA
2020/07/14
2.6K0
串行总线技术(一)-串行总线结构(以PCIe为例)
在早期的计算机系统中,多数外围设备使用并行总线结构。这些总线包括PCI和PATA(并行ATA)。当通信速率较低时,并行总线结构可以设计得非常简单和有效,可以连接大量外围设备。通过使用中央仲裁机制,可以方便地实现总线设备间的通信:然而,当速率和带宽不断增加时,并行结构的潜力不断被发掘并不再能够满足系统设计要求。
碎碎思
2021/10/18
3.5K0
串行总线技术(一)-串行总线结构(以PCIe为例)
PCI-E TLP(处理层协议)学习经验分享 III
大侠好,欢迎来到FPGA技术江湖,江湖偌大,相见即是缘分。大侠可以关注FPGA技术江湖,在“闯荡江湖”、"行侠仗义"栏里获取其他感兴趣的资源,或者一起煮酒言欢。
FPGA技术江湖
2020/12/29
1.8K0
PCI-E TLP(处理层协议)学习经验分享 III
【译文】【第一章③】Mindshare PCI Express Technology 3.0
欢迎参与 《Mindshare PCI Express Technology 3.0 一书的中文翻译计划》
空白的贝塔
2022/01/19
1.2K0
【译文】【第一章③】Mindshare PCI Express Technology 3.0
图解OSI七层模型,2024最强科普!
公众号后台有小伙伴让我讲一下OSI七层模型,这个概念以前其实讲过很多遍了,而且属于网络技术领域中最基本的概念,虽然是最基本的概念,在看的各位有谁能够说“我精通OSI”的?
网络技术联盟站
2025/01/15
1.8K0
图解OSI七层模型,2024最强科普!
重学计算机网络-OSI 模型的层
OSI 代表 开放系统互连。它由ISO(“国际标准化组织”)于1984年开发。它是一个 7 层架构,每一层都有特定的功能要执行。所有这 7 层协同工作,在全球范围内将数据从一个人传输到另一个人。
用户1418987
2023/10/16
3560
重学计算机网络-OSI 模型的层
TCP/IP第二层--数据链路层
不同的协议层对数据包有不同的称谓,在传输层叫做段(segment),在网络层叫做数据报(datagram),在链路层叫做帧(frame)。数据封装成帧后发到传输介质上,到达目的主机后每层协议再剥掉相应的首部,最后将应用层数据交给应用程序处理。
黄规速
2022/04/14
1.9K0
TCP/IP第二层--数据链路层
TCP/IP协议:网络访问层相关知识梳理
推荐文章:《Linux本地部署开源项目OpenHands基于AI的软件开发代理平台及公网访问》
小明互联网技术分享社区
2024/12/02
1710
TCP/IP协议:网络访问层相关知识梳理
第二章 TCP/IP-IOS七层模型
前言:学习OSI七层模型,了解各层上的协议  ,数据报(协议数据)单元   ,各层对应的设备
网络豆
2022/11/20
5760
OSI 模型 各层作用
OSI模型,即开放式通信系统互联参考模型,是国际标准化组织提出的一个试图是各种计算机或者通信系统在世界范围内互联为网络的标准框架。整个模型分为七层,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层。
zhangjiqun
2024/12/16
5350
OSI 模型 各层作用
【译文】【第一章①】Mindshare PCI Express Technology 3.0
欢迎参与 《Mindshare PCI Express Technology 3.0 一书的中文翻译计划》
空白的贝塔
2021/12/27
2.2K1
【译文】【第一章①】Mindshare PCI Express Technology 3.0
推荐阅读
相关推荐
【译文】【第二章③】Mindshare PCI Express Technology 3.0
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档