IPv6規(guī)模部署呼喚全新視角應對網絡安全問題

◎上海戎磐網絡科技有限公司總裁 劉旭

一、IPv6規(guī)模部署背景

2017年11月26日，中共中央辦公廳、國務院辦公廳印發(fā)了《推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，《計劃》明確了推進IPv6部署的重要意義，提出了部署的總體要求和主要目標，并從互聯(lián)網應用、網絡和應用基礎設施、網絡安全和關鍵前沿技術角度，安排了實施步驟。《計劃》同時提出，要用5-10年時間，形成下一代互聯(lián)網自主技術體系和產業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應用網絡，實現(xiàn)下一代互聯(lián)網在經濟社會各領域深度融合應用，成為全球下一代互聯(lián)網發(fā)展的重要主導力量。特別值得一提的是，《計劃》中涉及多項考核性指標，比如到2018年末活躍用戶達到2億，占比不低于20%，國內用戶排名前50的商業(yè)應用網站以及應用全面支持IPv6，到2020年用戶則達到5億，占比超過50%等。其次，在實施上，也明確了各自角色：政府引導，企業(yè)主導。在策略上，強調統(tǒng)籌規(guī)劃，重點突破，著力彌補IPv6應用短板，以應用拉動需求等。

TCP／IP協(xié)議是互聯(lián)網發(fā)展的基石，其中IP是網絡層協(xié)議，用于規(guī)范互聯(lián)網中分組信息的交換和選路。目前主體采用的IPv4協(xié)議地址長度為32位，總數(shù)約43億個IPv4地址已分配殆盡。為應對地址不足，上世紀90年代，負責互聯(lián)網國際標準制定的機構——互聯(lián)網工程任務小組（IETF）協(xié)調各方意見后，推出IPv6協(xié)議，并大力推廣。IPv6采用128位地址，將地址空間擴大到2的128次方。IPv4和IPv6的主要差異對比如圖1所示。

按照全球CDN網絡服務提供商Akamai提供的數(shù)據(jù)顯示，目前IPv6使用率最高的國家是比利時（約占46.4%），美國排名第二（約占40.04%），印度排第三（約占36.6%）。中國排在第67位，僅占本國網絡地址使用總量的0.3%。全球IPv6部署程度綜合情況如圖2所示，圖中顏色越深，表明部署應用程度越高。

值得注意的是，美國IPv6使用率今年以來提速明顯，從20%上升至40%，提升了一倍，如圖3。（數(shù)據(jù)來源：akamai.com，2017年11月30日數(shù)據(jù)統(tǒng)計）

圖1 IPv4和IPv6的主要差異對比示意圖

二、IPv6環(huán)境下網絡安全威脅分析

一直以來，許多人提出，IPv6因為不需要NAT（網絡地址映射），地址池龐大，默認的IPSec安全加密機制，因此有可溯源性，反掃描性，反竊聽及篡改等特性，安全性將極大提升。那么問題來了——在IPv6網絡環(huán)境真的能夠解決安全問題嗎？事實上，由于IPv6協(xié)議本身并非為解決網絡安全問題而生，IPv6不僅繼承了某些IPv4的安全問題，還有自己特有的安全威脅，并且在IPv4向IPv6遷移的過程中，還會產生安全威脅。

一是IPv6協(xié)議本身并沒有改變網絡分層體系結構，協(xié)議層自身的加密安全特性對應用層網絡安全影響有限。它突出表現(xiàn)在，在IPv4中常見的網絡掃描攻擊、非法訪問攻擊、竊聽攻擊、中間人攻擊、封包碎片攻擊、病毒蠕蟲攻擊、IP地址偽造以及DHCP攻擊、甚至是DDoS等泛洪攻擊在IPv6中也依然存在。為了支持IPv6，大量應用系統(tǒng)需要升級換代，由于IPv6地址和配置的復雜度更高，各系統(tǒng)廠商會因研發(fā)能力不同，引入更多高危漏洞，引發(fā)更嚴重的安全威脅。2016年，奇虎360發(fā)現(xiàn)一種DNS劫持導致商用VPN客戶端信息數(shù)據(jù)泄露的漏洞，其受到影響的服務器包括了Facebook、維基百科、雅虎等較早啟用IPv6的公司，而這種漏洞的最大特點是漏洞響應只會出現(xiàn)在主機使用IPv6發(fā)起連接的時候。

二是IPv6巨量地址空間帶來的并沒有明顯降低攻擊掃描的搜索空間。許多人都認為，IPv6巨大的地址空間使得攻擊者的掃描變的困難，但事實上，攻擊者仍然可以通過IPv6前綴信息搜集、隧道地址猜測、虛假路由通告及DNS查詢等手段搜集到活動主機信息從而發(fā)起攻擊。與IPv4類似，在目前的管理機制下，用于互聯(lián)網通訊的IPv6地址的全球路由前綴通常由上游供應商分配，本地網絡管理員將組織網絡分成多個邏輯子網，而接口ID（IID）用來確定該子網中的特定網絡接口。在選擇接口ID（IPv6地址的低階64位）時有很多選擇，包括：嵌入MAC地址、采用低字節(jié)地址、嵌入IPv4地址、使用“繁復”的地址、使用隱私或臨時地址依賴于過渡技術或共存技術等。無論采用上述那種選項，這些選項都減小了潛在的搜索空間，使IPv6主機掃描攻擊變得更容易實現(xiàn)。以采用低字節(jié)地址選項為例，低字節(jié)地址是接口ID全是0的IPv6地址，除了最后8或16位（例如2001:db8::1、2001:db8::2等）。這些地址通常是手動配置的（通常用于基礎設施），但是也可能是使用了一些動態(tài)主機配置協(xié)議版本6（DHCPv6）服務器，這些服務器會從特定地址范圍按順序分配IPv6地址。當采用低字節(jié)地址時，IPv6地址搜索空間被縮小到（最多）216個地址，這使IPv6主機掃描攻擊變得更為可行。同時，由于IPv6網絡不支持NAT，這就意味著任何一臺終端都會暴露在網絡中。由于地址池充沛，更多的設備會接入網絡，任何人、任何地點、任何設備都可以在任何時間（24小時）在線，有的人認為目標發(fā)現(xiàn)更難，而隨著設備量急劇增大，遭受網絡攻擊、實施網絡潛伏的威脅也更大。

圖2 全球IPv6部署程度綜合情況示意圖

圖3 2017年美國IPv6使用率

三是IPv6本身強制的加密特性會給現(xiàn)有基于特征檢測的網絡安全防護產品帶來技術挑戰(zhàn)。例如，IPv6的通道功能會影響現(xiàn)有的網絡訪問控制，IPv4防火墻在針對IPv6流量的細力度控制上幾乎無力，基于協(xié)議和端口的動態(tài)包過濾對于能夠靈活變化的通道也幾近失效，不當配置的企業(yè)網絡邊界控管措施在IPv6面前形同虛設。例如，Windows曾爆出的“Teredo”安全事件，Teredo自動隧道轉換，能通過IPv4網絡傳遞IPv6流量，幫助客戶端實現(xiàn)對IPv4與IPv6協(xié)議的兼容。但Teredo客戶端可以在把IPv6數(shù)據(jù)包傳遞到另一目的地的同時，繞過基于網絡的源路由控制，穿透防火墻等安全設備。此外，IPv6的加密通道及自動配置功能讓端到端的通訊更為便捷也更為危險，還令傳統(tǒng)的基于特征檢測與分析的入侵檢測、內容過濾及監(jiān)控審計系統(tǒng)失效?；贗Pv6的攻擊如分布式拒絕服務攻擊、網絡穿透攻擊、IPv6加密蠕蟲等已見諸安全媒體，但卻沒有引起安全界的重視。

四是從目前網絡威脅發(fā)展趨勢看，從對抗“黑客”向對抗“黑產”的趨勢不可逆轉。數(shù)據(jù)泄露事件越來越密集、APT攻擊越來越隱蔽，表明網絡安全今后的重點之一將是對抗“黑產”，而對于“黑產”全鏈來看，針對IPv6的攻擊方法已經很成熟。著名網絡安全服務提供商Arbor Networks監(jiān)測的數(shù)據(jù)表明，從2012年開始該公司就監(jiān)測到了首例IPv6 DDOS攻擊，同時也提出，由于IPv6的網絡終端已經發(fā)展得相當龐大，這種規(guī)模已經足夠吸引攻擊者耗費經歷獲取大量注入點以進行針對IPv6協(xié)議的攻擊。

五是從已經爆發(fā)的各類應用系統(tǒng)處理IPv6協(xié)議漏洞現(xiàn)狀看，新版本協(xié)議環(huán)境下的安全性并沒有改觀。從總體漏洞形勢看，2017年以來，CVE編號漏洞涉及IPv6的共計42個，中危以上漏洞占比超過50%，評級10分的高危漏洞1個。相關漏洞影響路由器、防火墻、網絡管理協(xié)議、VPN、操作系統(tǒng)等，按危害可以分成權限提升、遠程信息泄露、遠程執(zhí)行命令、遠程拒絕服務、遠程數(shù)據(jù)修改、不必要的服務等類別，影響范圍廣泛。而2016年涉及IPv6的CVE漏洞數(shù)是27，從數(shù)據(jù)上看，IPv6相關漏洞隨著各國部署及應用的展開也呈現(xiàn)上升趨勢。2016年，思科爆出死亡之Ping IPv6漏洞，影響范圍巨大，在大規(guī)模部署IPv6的網絡環(huán)境中甚至極易造成美國東部斷網的類似事件。2017年5月份爆出的Linux內核級IPv6協(xié)議處理漏洞（CVE-2017-9242）在處理特殊數(shù)據(jù)時能夠通過特殊調用導致系統(tǒng)崩潰，曝出apache可編程多層虛擬交換open_vswitch在處理IPv6畸形數(shù)據(jù)包時可以觸發(fā)遠程執(zhí)行功能等都表明，在新版本協(xié)議環(huán)境下，軟硬件系統(tǒng)仍面臨與舊版本相同的網絡安全問題。

三、應對IPv6環(huán)境下網絡安全威脅的建議

許多院士、專家等談到IPv6規(guī)模部署問題時明確指出，如何將我國在發(fā)展IPv6上的技術優(yōu)勢轉化為現(xiàn)實優(yōu)勢，爭取彎道超車，挑戰(zhàn)首先來源于技術層面，安全問題是關鍵。

一是要有全新視角審視看待和解決新型網絡安全問題。此次《計劃》重點在于規(guī)模部署，而在大規(guī)模IPv6網絡環(huán)境下，許多傳統(tǒng)網絡安全解決方案無法適應新的環(huán)境變化，安全問題需要重新審視，采用全新視角看待和著手解決。機器學習、人工智能、軟件基因、去中心化安管等一批新理念、新思想、新視角應運而生。廣州藍盾股份以智慧安全為理念，持續(xù)推進機器學習、AI等技術融入防火墻、態(tài)勢感知、云安全、移動信息化安全等安全產品。上海戎磐網絡按照“以‘軟件基因’全新視角，重新認識網絡安全”的使命愿景，持續(xù)開展“一庫兩平臺”（一庫：軟件基因數(shù)據(jù)庫；兩平臺：惡意樣本基因在線檢測平臺和基因檢測服務引擎平臺）的網絡安全基礎數(shù)據(jù)及應用研究，在IPv6規(guī)?；渴饤l件下以全新安全視角，為新型網絡安全防護提供引擎、數(shù)據(jù)及技術支撐，不僅能夠對惡意代碼、流量行為等實施惡意性判定，而且能夠對關聯(lián)性、歷史沿革性等屬性提供維度更加豐富的安全檢測。

二是要有統(tǒng)一標準描述定義網絡安全事件。IPv6環(huán)境下更多類型設備接入互聯(lián)網，萬物互聯(lián)，對網絡安全事件的規(guī)范化命名和描述帶來挑戰(zhàn)。以2015年攻擊烏克蘭電網的攻擊事件、2016年襲擊美國大選的DNC黑客事件、2017年的物聯(lián)網僵尸木馬的傳播事件這些全球知名威脅事件為例，不同的安全機構和廠商給出了十幾種名稱，同一種威脅被多次重復命名、甚至混淆命名等情況普遍存在，這樣的混亂命名，給威脅情報共享、應急事件處置、安全機制構建帶來了極大困難。為此，應當利用區(qū)塊鏈去中心化共識機制思想，遵循“首次發(fā)現(xiàn)，優(yōu)先命名”原則，以“軟件基因”為基礎對威脅事件進行標準化規(guī)范，統(tǒng)一威脅事件描述標準，提升網絡安全事件綜合應急響應水平。

三是要有足夠的IPv6網絡安全人才儲備。IPv6下一代互聯(lián)網具有非常重要的戰(zhàn)略意義，已成為我國拓展網絡空間競爭力的新平臺。通過下一代互聯(lián)網提升創(chuàng)新能力，加強人才培養(yǎng)，助力實現(xiàn)網絡強國戰(zhàn)略，應成為落實《計劃》的同步戰(zhàn)略選擇。應當緊急圍繞下一代網絡安全發(fā)展趨勢、標準、技術、安全管理、測評、態(tài)勢感知、脆弱性分析的特點，加大高層次創(chuàng)新型人才培養(yǎng)，營造濃厚的網絡安全人才創(chuàng)新創(chuàng)業(yè)氛圍，打造布局合理的人才結構梯次，加大IPv6人才資源開發(fā)投入，為我國下一代互聯(lián)網的發(fā)展培養(yǎng)和儲備人才打下堅實基礎。