◆張煉樞 張賀勛 陳遠平 吳澤江 張志偉

（北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 廣東 510630）

1 IPv6背景

IPv4是第4個版本的互聯(lián)網(wǎng)通信協(xié)議，該協(xié)議設(shè)計的地址空間共有約43億個地址，這在當(dāng)年已經(jīng)是一個海量的地址空間，未曾有人預(yù)測到今天有如此多的設(shè)備接入互聯(lián)網(wǎng)。

根據(jù)思科公司的研究預(yù)測，將在2020年有超過260億設(shè)備聯(lián)網(wǎng)，IPv4網(wǎng)絡(luò)無法滿足IP數(shù)量要求，這對互聯(lián)網(wǎng)的應(yīng)用和發(fā)展非常不利。

在 IPv6網(wǎng)絡(luò)下，每個聯(lián)網(wǎng)設(shè)備都得到全球唯一地址，可在網(wǎng)絡(luò)中路由，意味著我們接入IPv6網(wǎng)絡(luò)的電腦、智能手機，都是直接暴露在互聯(lián)網(wǎng)的，只要攻擊者得到設(shè)備的 IP地址，就可對設(shè)備發(fā)起訪問和攻擊。那么，IPv6協(xié)議新引入的安全特性，是如何保護我們設(shè)備，是否會帶來新的安全風(fēng)險呢？

2 IPv6協(xié)議安全特性

2.1 巨大地址空間提供一定隱秘性

IPv6采用128位的地址長度，后64位是接口標識，也就是說一個標準子網(wǎng)中的IP數(shù)量是IPv4全網(wǎng)的2^32倍。

假設(shè)，使用高性能設(shè)備（100萬每秒）掃描一個子網(wǎng)，需要50萬年才能掃完，這導(dǎo)致掃描幾乎是無意義的。設(shè)備聯(lián)網(wǎng)后，處于一個巨量的地址空間里，有一定的隱秘性。

2.2 隱私擴展功能保護固定地址

在 RFC4941中定義了一種隱私擴展功能，啟用該功能后，對外訪問時將使用臨時生成的地址，舊的臨時地址會被丟棄。這保護了全球唯一地址不被惡意收集。

臨時地址具有短生命周期的特點，攻擊者要在很短的時候內(nèi)獲得IP地址并且實施入侵/攻擊的難度和代價都是巨大，這又進一步提高了隱秘性，保護終端安全。

（1）集成IPSec提高通信安全

IPSec（Internet Protocol Security）用于加密通信，并提供認證功能，保障端對端通信安全。與IPv4相比，IPv6協(xié)議中IPSec協(xié)議是必選內(nèi)容，加上無NAT的屏障，更利于推廣使用。

IPSec核心部分是認證報頭（AH）和封閉安裝載荷報頭（ESP），其中AH報頭帶數(shù)據(jù)包哈希值，如果數(shù)據(jù)包被惡意修改，會導(dǎo)致校驗失?。怀薃H提供的完整性保障，IPSec通過ESP提供了認證和加密的功能，認證和加密可以同時使用，也可以僅使用其中的一種，但不能兩種都不用。

（2）鄰居發(fā)現(xiàn)協(xié)議（NDP）取代地址解析協(xié)議（ARP）

地址解析協(xié)議（arp）默認網(wǎng)絡(luò)是可信的，缺乏認證手段，所以很容易發(fā)生ARP欺騙、廣播風(fēng)暴等問題。

IPv6協(xié)議中，沒有了ARP協(xié)議，使用鄰居發(fā)現(xiàn)協(xié)議（NDP），也取代了部分ICMP控制功能，沒有了廣播的概念，而是用了組播和任意播。NDP包含了鄰居請求（NS）、鄰居公告（NA）、路由器請求（RS）、路由器公告（RA）和 Redirect報文。其中NS和NA報文用來解釋目標IPv6地址的鏈路層地址，過程中并不需要局域網(wǎng)里所有主機都響應(yīng)，避免了廣播風(fēng)暴的形成。

（3）真實源地址驗證加強溯源審計

真實源地址驗證機制（SAVA），是IPv6網(wǎng)絡(luò)中的一種透明服務(wù)，作用于網(wǎng)絡(luò)層，分別在接入網(wǎng)、自治系統(tǒng)（Autonomous System）內(nèi)和自治系統(tǒng)間進行源地址驗證，確保轉(zhuǎn)發(fā)的每個分組的源 IP地址是經(jīng)授權(quán)的、全球唯一和可追溯的，可以防范一些通過偽造源地址的分布式拒絕服務(wù)攻擊，審計人員更容易通過流量分析追蹤和定位攻擊者，安全人員更容易設(shè)計網(wǎng)絡(luò)安全策略和加強網(wǎng)絡(luò)管理。

3 IPv6面臨新的安全威脅

IPv6協(xié)議改變了IP報頭和尋址方式，引入了新的安全特性，提高網(wǎng)絡(luò)層安全性和增強自身安全，但對其他功能層的安全能力沒有影響，以及新技術(shù)也引入了新的安全問題。

3.1 NDP和SEND的安全問題

NDP是默認為鏈路是可信、安全可靠的，即假定收到的數(shù)據(jù)都是正常的，從不考慮實際應(yīng)用中會存在惡意構(gòu)造的數(shù)據(jù)和攻擊行為，所以，IPv6仍然存在針對與ARP一樣的問題，容易受到欺騙攻擊、泛洪攻擊等。同時，隨著時間推移，這些協(xié)議可能會被暴露新的安全問題：

（1）攻擊者可以發(fā)出達到一定量的NS/RS報文，網(wǎng)關(guān)收到這些報文并大量更新本地表，導(dǎo)致溢出。

（2）攻擊者可以構(gòu)造虛假的 RS/NS/NA報文，讓網(wǎng)關(guān)更新鄰居節(jié)點的MAC地址，這會造成受害主機的MAC地址與網(wǎng)關(guān)本地受害主機的MAC地址不一致，受害主機無法收到網(wǎng)關(guān)的數(shù)據(jù)包從而無法正常通信。

（3）攻擊者構(gòu)造和發(fā)送虛假的 RA報文，報文中配置了非法的網(wǎng)絡(luò)信息，受害者接收該報文和配置本地網(wǎng)絡(luò)信息，從而造成了欺騙攻擊。

國際互聯(lián)網(wǎng)工程任務(wù)組發(fā)現(xiàn)NDP存在的安全問題，提出應(yīng)用地址加密生成技術(shù)和RSA加密算法的SEND方案，解決了IP偽造問題，但該方案并沒有機制建立鏈接層地址和 IPv6地址的綁定關(guān)系，攻擊者可以通過在不安全的鏈路層發(fā)送NA報文，把鏈接層原地址設(shè)置成受害者的，而使用攻擊者的IP進行CGA合成，目標鏈路層地址擴展對應(yīng)受害者的，大量發(fā)送這樣的報文就會造成Dos攻擊。

3.2 DNS服務(wù)器面臨更多的攻擊

2001：0002：0003：0004：0005：0006：0007：0008 是一個合法的 IPv6地址，如此長的地址難以記憶，使得網(wǎng)絡(luò)訪問行為更加依賴DNS。擁有大量DNS解析記錄的DNS服務(wù)器，是個非常有價值的資源，其安全將面臨更大考驗。

3.3 安全設(shè)備支持度較低

據(jù)《2018 IPv6支持度報告》顯示，在獲得認證的設(shè)備類型中，網(wǎng)絡(luò)設(shè)備對IPv6的支持度稍好，終端設(shè)備次之，安全設(shè)備的支持度相對較差。

若企業(yè)部署了IPv6網(wǎng)絡(luò)，但各安全設(shè)備未能起到保護作用，內(nèi)部資產(chǎn)、服務(wù)和數(shù)據(jù)暴露于互聯(lián)網(wǎng)，那可能是災(zāi)難性的。

3.4 地址暴露

設(shè)備在IPv6網(wǎng)絡(luò)中有一定的隱秘性，但若是IPv6地址被泄露，不法分子可直接訪問設(shè)備。除了通過防火墻設(shè)定精細的過濾規(guī)則，還需要注意在以下地方可能存在地址泄露的可能性：

（1）明文保存的網(wǎng)絡(luò)配置；

（2）明文保存的應(yīng)用程序日志；

（3）本地DNS動態(tài)條目；

（4）應(yīng)用層Payload中嵌入的IPv6地址；

（5）其他機器和設(shè)備的NDP緩存；

（6）DNS服務(wù)器查詢?nèi)罩荆?/p>

（7）NetFlow導(dǎo)出日志；

（8）Web和應(yīng)用服務(wù)器、IPv6測試網(wǎng)站和CDN提供商的訪問日志；

（9）代理服務(wù)器訪問日志；

（10）合法或非法嗅探用戶流量。

4 緩解措施

4.1 理解和配置防火墻策略

IPv4的IP頭部和TCP頭部是固定的，而IPv6中它們不是固定的，會與路由選項、AH等關(guān)部串聯(lián)，防火墻需要解析每個頭部，才能有效識別合法的數(shù)據(jù)包并做出相應(yīng)的操作。故，需要安全人員理解 IPv6協(xié)議以及組織業(yè)務(wù)特點，才能更好地過濾非法和不必要的數(shù)據(jù)包，保護網(wǎng)絡(luò)和數(shù)據(jù)安全。

4.2 過渡期間的安全策略

在實現(xiàn)全面 IPv6前，防火墻及各種安全設(shè)備很多工作在雙棧模式下，對IPv4和IPv6都要配置安全策略，否則會導(dǎo)致重要系統(tǒng)和數(shù)據(jù)暴露，帶來風(fēng)險，并且在策略變更時，需在兩種協(xié)議下同步實施變更并確保經(jīng)過測試有效。另外，可通過配置 RA Trust、DHCP Trust、NDP表項最大數(shù)量，來提高NDP安全性。

4.3 增加入網(wǎng)認證措施

有效的網(wǎng)絡(luò)接入認證措施，可以大幅降低非法節(jié)點發(fā)起NDP欺騙攻擊可能性。例如采用802.1X技術(shù)驗證用戶身份，審計系統(tǒng)記錄用戶的身份、接入位置、MAC地址、IP地址，對于高敏感的網(wǎng)絡(luò)中增加流量分析系統(tǒng)，確保各種敏感操作均在審計范圍內(nèi)。

5 結(jié)論

新技術(shù)、新特性的引入，可以解決已知安全問題，但同時也可能帶來新的安全隱患，網(wǎng)絡(luò)安全的目標和本質(zhì)不變，需要保持良好的安全意識和實施有效的雙棧安全策略，從而保護公共設(shè)施、重要系統(tǒng)和數(shù)據(jù)安全。

從個人用戶角度看，需要普及IPv6的新知識、新特點，有意識地保護自己的全球唯一地址，安裝并使用本地防火墻；從運營商角度看，應(yīng)落實有效的真實源地址檢查機制，建立完善的網(wǎng)絡(luò)監(jiān)測、審計和應(yīng)急機制；從安全設(shè)備廠商來看，應(yīng)加強對IPv6新特性的支持，確保設(shè)備可靠、穩(wěn)定地運行。