IPv6部署如何影响物联网设备的安全性

在物联网的I内

大多数网络事实上的基本安全架构由一个内部网络组成，该内部网络通过a连接到公共internet网络地址转换（NAT）设备。NAT设备不仅允许单个地址 - 或一组地址 - 要在内部网络上的多个系统之间共享，但作为副作用，也仅强制执行安全策略允许传出通信。也就是说，允许从内部网络发起到公共因特网的外出通信，例如从公共Internet发起到内部节点的通信被阻止。

许多协议和应用程序都假定内部网络上的节点和内部网络本身都可以信任，而内部网络之外的任何网络和节点都不能。因此，大多数智能设备采用两组不同的协议:一组是在本地网络上运行的不安全协议，另一组是在internet上运行的典型安全协议。

在本地网络上，智能设备通常采用简单的专有协议，缺乏身份验证、授权和机密性。在某些情况下，一些操作和管理功能不需要身份验证，或者使用身份验证默认凭证用户很少更改或更新的内容，也可以通过web界面获得。这对物联网设备的安全性是不利的，正如在the2016年10月IOT分发拒绝服务攻击。另一方面，互联网的操作经常使用设备供应商提供的某种形式的云服务，通过HTTPS执行通信。

因此，这些智能设备相信本地网络是可信的，而外部网络——互联网——则不可信。这种模式当然是有问题的，因为访问本地网络并不意味着允许操作本地智能设备。然而，至少应该在可信网络和不可信网络之间建立一个边界。对于一些简单的网络设置和场景，可以使用这个模型。

IPv6部署对物联网设备安全的影响

如前所述，IPv6部署的主要驱动因素是其庞大的地址空间，它可以容纳目前和可预见的未来互联网和互联网连接设备的增长。

由于他们庞大的地址空间，IPv6的设备使用至少一个唯一的全局地址提供，因此，NAT将消失以消失。因此，NAT的过滤策略执行仅允许传出通信也可能消失，因此网络可能不再策略内部和外部系统之间的通信。

事实上，如果没有在网络边界强制执行过滤策略，内部网络和外部网络之间的区别可能会完全消失。虽然这可能有潜在的好处，比如点对点应用在美国，主动入站通信很常见——这显然是以增加攻击暴露为代价的。

除非采取明确的措施，IPv6的部署可能会导致网络中的所有内部节点都可以直接从公共互联网访问。这将意味着，例如，包上攻击，如基于ipv6的死亡ping命令，很容易被用于物联网设备。此外，被设计成在本地可信网络上运行的协议可能会无意中在不可信的公共internet上运行。

IoT真的需要IPv6吗？

谈到IPv6和IOT，许多人认为IPv6是物联网需要充分发挥其潜力。然而，分析IPv6——尤其是全球寻址和任意对任意连接——可能达到的程度是很有趣的所需的物联网。

在IPv4世界中，私有地址空间的使用可能是有问题的，原因如上，例如需要合并或互连使用重叠的私有地址空间的网络。配置具有全局地址的所有设备都可以帮助避免此和其他相关问题 - 尽管唯一的本地地址空间，FC00 :: / 7提供统计上唯一的本地范围的地址，也可以使用类似的结果。

无论是否采用全局地址空间，都会出现任何与任何连接 - 包括未经请求的入站通信的问题 - 是可取的，以及它对IoT设备的安全性的效果。在IPv4世界中，由于使用NATS，未经请求的入站通信被阻止。在IPv6世界中可能的NAT和网络过滤策略的可能消失，全球无论是任何通信都可以实现更大的灵活性 - 尽管牺牲了增加的攻击曝光。

是否对IPv6和物联网设备强制相同的过滤策略将取决于相关设备的通信模型;是否期望外部实体轮询物联网设备，或者是否期望物联网设备通知外部实体。如果是前者，物联网网络将需要接受入站的、未经请求的通信。如果是后者，进入的通信可能会被网络阻塞，而物联网设备将能够根据需要与外部系统联系。

由于物联网仍然是当前发展的一个领域，因此很难对哪种通信模型会更受欢迎做出有根据的预测。然而，请注意，由于物联网设备目前运行在IPv4上，仅允许出站通信，因此同样的范式极有可能将被用于IPv6。因此，对于基于ipv6的物联网网络，IPv4世界的相同过滤策略将被强制执行。

可能的前进方向

除了物联网设备可能的通信模型外，人们可能会想，当外部网络到物联网网络的通信是可取的时，这种通信是否应该直接涉及物联网设备，或者是否应该通过中间物联网代理来执行作为一个网关外部网络与物联网网络和设备之间的连接。显然，这样的网关可能在安全方面具有更好的形态，并可能处于一个很好的位置来监督通常脆弱的物联网设备的流量。

巨大的IPv6地址空间代表了现在和可预见的未来互联网的增长。除非采取具体行动，否则IPv6部署可能会增加物联网设备的攻击面，从而无意中阻碍其安全性。

无论是否有效的增加的曝光都是不可能的，也取决于物联网设备采用的通信范式。作为经验的规则，封锁通信的原则，除非实际要求它应该应用。