IPv6 網絡安全威脅的分析與研究

王 維

（大慶油田信息技術公司北京分公司，北京 100043）

1 IPv6 網絡安全現(xiàn)狀概述

國家大力推動IPv6 規(guī)?；渴穑?017 年11 月中央辦公廳和國務院辦公廳共同發(fā)布了 《推進互聯(lián)網協(xié)議第六版（IPv6）規(guī)模部署行動計劃》以來，國內IPv6 技術應用環(huán)境愈發(fā)成熟，部署規(guī)模呈數量級增長，隨之而來的是大規(guī)模部署下IPv6 的網絡安全問題，但該問題并沒有得到足夠的重視，許多人認為傳統(tǒng)的IPv4 網絡安全防護手段可以繼續(xù)保護IPv6 網絡的安全，實則不然，在面對來自網絡層的安全威脅時，現(xiàn)有IPv4 網絡的防護措施可以起到一定的作用，但是面對來自應用層的網絡安全威脅，IPv6 的網絡安全將面臨巨大的挑戰(zhàn)。雖然IPv6 協(xié)議本身增加了很多安全特性，可以抵消部分來自網絡層的安全威脅，如掃描攻擊等，但IPv6 協(xié)議本身是新的協(xié)議，黑客會針對這一新協(xié)議開發(fā)出具有針對性的攻擊方式和手段，大多數企業(yè)可能會對此一無所知，直到被攻擊才會發(fā)現(xiàn)。IPv6 網絡在面對有針對性的病毒、木馬等程序時，目前只是在等待被免疫的階段，IPv6 病毒特征庫以及防護經驗積累是個長期的過程，需要多方協(xié)同配合解決，希望各大安全廠商投入更多的精力關注IPv6 網絡安全。

目前，主流的安全廠商并不急于著手研究IPv6 網絡威脅與安全防護等問題，部分安全廠商認為應用層的病毒特征庫資源是一個逐漸積累的過程，而不去投入過多精力到相關研發(fā)上，但對于我們企業(yè)而言，安全問題是重中之重，我們有足夠多的理由在安全威脅發(fā)生之前準備好相應防護措施。

2 IPv6 網絡存在的安全威脅

與IPv4 相比，IPv6在安全性方面進行了預先設計和充分考慮，但仍然存在一些難以解決的安全風險。IPv6 作為網絡層協(xié)議，并不能解決所有的網絡安全問題，其他功能層，如由于應用層漏洞所引發(fā)的攻擊，IPv6 本身并不能解決。此外，IPv6 仍然具有部分IPv4 存在的安全風險，在IPv4 與IPv6 實施的雙棧配置等過渡期機制也可能引入安全風險，網絡中也會出現(xiàn)一些專門針對IPv6 協(xié)議形成的新安全風險，如基于IPV6 的攻擊已經開始現(xiàn)身，分布式拒絕服務攻擊、網絡穿透攻擊、IPv6 加密蠕蟲等開始出現(xiàn)于安全媒體，但卻沒有引起安全界的重視。

2.1 繼承自IPv4 的安全威脅

IPv6 中協(xié)議和報文結構雖有變化，但一些存在于IPv4 網絡中的攻擊類型仍然存在。由于IPv6 地址空間的擴大，使一部分基于掃描的安全威脅得到緩解，無論是互聯(lián)網還是內網，大規(guī)模的窮舉掃描實現(xiàn)起來非常困難，這也間接增加了病毒、蠕蟲等的擴散難度，但需要注意的是IPv6 中使用的多播地址，能夠幫助入侵者來識別和攻擊目的網絡中的一些資源。此外，由于IPv6 地址足夠使用，使得NAT 的作用不是十分明顯了，實際上NAT 技術對于保護內網主機還是有一定的安全意義的。

雖然IPv6 拋棄了ARP 協(xié)議，但對ICMP 協(xié)議卻十分依賴，屏蔽ICMP 協(xié)議是不可能的，針對ICMP 協(xié)議的攻擊就會增多，并且與IPv4 的方式相比會有很大的不同。此外，IPv6 支持多種多樣的擴展包頭，用于使網絡層具有更多功能，這些擴展包頭將會帶來更多的安全問題。

2.2 過渡機制存在的安全風險

當前，雖然我國IPv6 規(guī)模部署工作呈現(xiàn)加速發(fā)展的態(tài)勢，但實際情況是IPv4 與IPv6 網絡將長期共存，從業(yè)務需求、改造投資、工期等角度考量，IPv4 網絡過渡到IPv6 網絡是一個緩慢的過程。在從IPv4 向IPv6 過渡的過程中，“雙?！薄八淼馈薄胺g”是三種常用的過渡方案，均可能帶來新的安全威脅。

2.2.1 雙棧機制安全風險

IPv4／IPv6 雙棧技術是指在網絡節(jié)點上同時運行IPv4 與IPv6 兩種協(xié)議，在IP 網絡中形成邏輯上相互獨立的兩張網絡，即IPv4 網絡與IPv6 網絡。

在IPv4 網絡中，部分操作系統(tǒng)缺省啟動了IPv6 自動地址配置功能，使IPv4 網絡中存在隱蔽的IPv6 通道，但由于該IPv6 通道并沒有進行防護配置，攻擊者可能利用該通道實施攻擊。

過渡期同時運行IPv4 與IPv6 兩個邏輯網絡，增加了設備及系統(tǒng)的暴露面，也意味著防火墻、安全網關等防護設備需同時配置雙棧策略，導致策略管理復雜度大大增加。此外，雙棧系統(tǒng)同時運行IPv4 協(xié)議、IPv6 協(xié)議，會增加網絡節(jié)點協(xié)議處理復雜性和數據轉發(fā)負擔，使網絡節(jié)點的故障率增加，最終導致安全防護被穿透的可能性增大。

2.2.2 隧道機制安全風險

一些隧道機制存在對任何來源的數據包只進行簡單的封裝和解封操作，不做安全性驗證，最終會由于各種隧道機制的引入，導致網絡安全風險劇增。由于不對IPv4 和IPv6 地址的關系做檢查，攻擊者可利用隧道機制，將IPv6 報文封裝成IPv4報文進行傳輸，又因IPv4 網絡無法驗證源地址的真實性，攻擊者可以偽造隧道報文注入目的網絡中。此外，不對隧道封裝的內容進行檢查，通過隧道封裝攻擊報文，對于以隧道形式傳輸的IPv6 流量，很多網絡設備直接轉發(fā)或者只做簡單的檢查，攻擊者可以配置IPv4 over IPv6，將IPv4 流量封裝在IPv6 報文中，導致原來IPv4 網絡的攻擊流量經由IPv6 的“掩護”后穿越防護造成威脅。

2.2.3 翻譯機制安全風險

翻譯機制（即協(xié)議轉換）通過IPv6 與IPv4 的網絡地址與協(xié)議轉換，實現(xiàn)了IPv6 網絡與IPv4 網絡的雙向互訪，翻譯設備作為IPv6 網絡、IPv4 網絡的互聯(lián)節(jié)點易成為安全瓶頸，一旦被攻擊便可能導致網絡癱瘓。

2.3 IPv6 協(xié)議本身特有的安全威脅

IPv6 報文結構中引入的新字段，如流標簽、RH0、路由頭部等；IPv6 協(xié)議族中引入的新協(xié)議，如NDP 鄰居發(fā)現(xiàn)協(xié)議等；均可能存在漏洞，被用于發(fā)起嗅探、DoS 等攻擊。IPv6 新的應用也可能帶來安全風險。IPv6 使用IPSec，IPSec在很多網絡安全從業(yè)人員來看是把雙刃劍。IPv6 加密通道及自動配置功能，雖然讓端到端的通信更為便捷，但同時也可能更為危險。這不僅使現(xiàn)網防火墻的過濾功能變得困難，防火墻需要解析隧道信息，如果使用ESP 加密，三層以上的信息都是不可見的，使得控制難度大大增加。此外，還令傳統(tǒng)的基于特征檢測與分析的入侵檢測、內容過濾及監(jiān)控審計系統(tǒng)失效，這些問題需要安全設備，必須具備可識別出攻擊報文的新方法與安全措施來解決。

3 IPv6 網絡安全防護建議

一般情況下，網絡安全設備無法解密IPSec 加密流量，僅能基于IP 地址來控制。但從目前的情況來看，這種“內嵌”的IPSec 需要使用密鑰分發(fā)技術，總體上并不成熟，管理成本高。另外，由于網絡安全設備正常是無法解密IPSec 流量的，防火墻等網絡安全設備就無法在網絡應用層來檢測IPSec 流量，從某種意義上講，系統(tǒng)的安全性得不到完整的保證。對于一般企業(yè)應用，基于管理成本和安全性考慮，建議仍使用防火墻實現(xiàn)IPSec VPN 加解密，并在網關位置進行IPS、狀態(tài)防火墻等安全檢查，待技術成熟后再部署端到端加密。

對于應用層的攻擊，應用層防御功能一般包括協(xié)議識別、IPS、反病毒、URL 過濾等，主要檢測報文的應用層負載，幾乎不受網絡層協(xié)議IPv4／IPv6 影響，因此，大部分傳統(tǒng)IPv4 協(xié)議下的應用層安全能力在IPv6 網絡中不受影響。但有少部分IPv4網絡協(xié)議在IPv6 網絡下自身需求發(fā)生了變化，比如DNS 協(xié)議升級到DNSIPv6，那么對應的應用層安全檢測需要根據協(xié)議變化進行調整。

在現(xiàn)有安全設備上開啟IPv4／IPv6 雙棧功能后，IPv4／IPv6雙棧一般不會對安全設備的功能產生影響，主要影響設備的性能，因為IPv6 協(xié)議棧會擠占IPv4 業(yè)務的CPU 和內存等資源，導致現(xiàn)有的IPv4 業(yè)務在會話表容量、新建速率、吞吐率上出現(xiàn)不同程度的下降。建議在升級／開啟IPv4／IPv6 雙棧前評估現(xiàn)有安全設備的處理能力，必要時可以替換現(xiàn)有安全設備，避免影響現(xiàn)有IPv4 業(yè)務。

此外，還有很多IPv6 安全問題需要考慮，現(xiàn)有安全設備的性能可能不足以支撐IPv6，比如IPS 或IDS，在IPv6 的環(huán)境下的檢測性能可能會下降，要進行設備升級，這會是一筆較大的花費。業(yè)務系統(tǒng)對于IPv6 可能并沒有做好準備，IPv6 數據包的大多數處理需要在主機上完成，對于主機性能有更高的要求，也許負載均衡會被使用得越來越多。雙棧還是4to6 要仔細考慮，4to6 設備可能會帶來雙重威脅。

應對這些也是有章法可循的，加強安全監(jiān)管，特別是針對加密安全通信的監(jiān)管，阻斷不必要的加密通信，制定和設置嚴格的訪問控制策略，必要時實施白名單。

4 結論

總之，隨著時間的推移和IPv6 網絡的大面積鋪開后，IPv6網絡的安全問題暴露得越來越多。我們需要在現(xiàn)有經驗的基礎上盡可能提前做好防護，對于未知的IPv6 網絡安全問題也要有一定的心理準備和應對方案。