IPv6網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)點(diǎn)與應(yīng)對(duì)建議

寧夏回族自治區(qū)生態(tài)環(huán)境信息與應(yīng)急中心 許國(guó)棟

近年來(lái)，隨著新基建的發(fā)展，特別是5G、物聯(lián)網(wǎng)、云服務(wù)、數(shù)據(jù)中心等增量大規(guī)模建設(shè)的需求，這些“新增量”可以完全基于IPv6、甚至純IPv6進(jìn)行部署來(lái)提質(zhì)、降本、增效。因此，在構(gòu)建IPv6網(wǎng)絡(luò)過(guò)程中如何保障網(wǎng)絡(luò)整體的安全性和穩(wěn)定性，最大限度做好網(wǎng)絡(luò)安全防護(hù)和風(fēng)險(xiǎn)應(yīng)對(duì)就顯得至關(guān)重要。基于此，本文對(duì)IPv6網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行了研究并提出了幾點(diǎn)安全應(yīng)對(duì)建議。

“互聯(lián)網(wǎng)之父”文頓·瑟夫博士曾表示：“IPv4是實(shí)驗(yàn)網(wǎng)絡(luò)，IPv6網(wǎng)絡(luò)是未來(lái)發(fā)展的必由之路?！?，IPv6網(wǎng)絡(luò)是全球公認(rèn)的下一代互聯(lián)網(wǎng)商業(yè)應(yīng)用解決方案。當(dāng)前，IPv6網(wǎng)絡(luò)協(xié)議技術(shù)水平正在高速發(fā)展，性能也在持續(xù)不斷提高，截至2022年7月，IPv6互聯(lián)網(wǎng)活躍用戶(hù)量達(dá)到6.93億，占互聯(lián)網(wǎng)網(wǎng)民總數(shù)的67.1%，用戶(hù)群體日趨龐大。在各個(gè)行業(yè)領(lǐng)域中，信息化基礎(chǔ)設(shè)施建設(shè)明顯增速，新基建的快速發(fā)展有效推動(dòng)了IPv6的建設(shè)進(jìn)程，事實(shí)上，IPv6可以理解就是當(dāng)前和未來(lái)一段時(shí)間新基建的建設(shè)和發(fā)展基礎(chǔ)。那么，一旦IPv6安全出現(xiàn)了問(wèn)題，新基建的安全和穩(wěn)定發(fā)展也就岌岌可危。因此，針對(duì)IPv6網(wǎng)絡(luò)協(xié)議經(jīng)常出現(xiàn)的安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行分析和預(yù)防，形成一種科學(xué)合理的安全防范體系和應(yīng)對(duì)措施，避免對(duì)網(wǎng)絡(luò)的整體運(yùn)行性能和實(shí)施效果造成影響，從而達(dá)到增強(qiáng)IPv6網(wǎng)絡(luò)安全防護(hù)的目的[1]。

1 IPv6網(wǎng)絡(luò)協(xié)議

2011年底，IPv4地址已經(jīng)基本售罄，IPv6開(kāi)始大規(guī)模啟用，相比IPv4的地址空間，IPv6整體有了極大地提升，與此同時(shí)，它還具備網(wǎng)絡(luò)前綴，能夠?qū)ψ泳W(wǎng)開(kāi)展標(biāo)定，這在一定程度上拓展了它的子網(wǎng)地址，可以進(jìn)一步彌補(bǔ)IPv4網(wǎng)絡(luò)地址較少的不足，換句話說(shuō)，IPv6可以理解為有近似無(wú)窮個(gè)地址空間，根本不需要像IPv4一樣借助NAT來(lái)擴(kuò)展地址空間，同時(shí)，龐大的地址空間能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)絲質(zhì)的按層次劃分，減少路由表的規(guī)模大小。報(bào)文結(jié)構(gòu)相對(duì)IPv4來(lái)說(shuō)也進(jìn)行了優(yōu)化， IPv6包頭包含兩部分內(nèi)容，一部分是固定的報(bào)文內(nèi)容；另一部分是擴(kuò)展的報(bào)文內(nèi)容。針對(duì)各種各樣的協(xié)議，IPv6均能夠很好地完成分區(qū)，同時(shí)還能開(kāi)展獨(dú)立存儲(chǔ)，這樣就可以盡快對(duì)它的協(xié)議頭開(kāi)展處理，配置靈活方便，使得數(shù)據(jù)包的處理效率更高，支持的業(yè)務(wù)類(lèi)型更豐富。就IPv6網(wǎng)絡(luò)來(lái)看，IPsec協(xié)議的使用能夠?qū)崿F(xiàn)端到端的安全，在各個(gè)端口之間可以有效確保其安全性，也是比IPv4網(wǎng)絡(luò)的安全性高。另外，IPv6還強(qiáng)化了移動(dòng)終端的移動(dòng)特性，降低了網(wǎng)絡(luò)部署的操作難度，實(shí)現(xiàn)了IP地址的自動(dòng)配置。IPv6相對(duì)于IPv4的優(yōu)勢(shì)簡(jiǎn)要介紹如表1所示。

表1 IPv6協(xié)議和IPv4協(xié)議的幾點(diǎn)比較Tab.1 Comparison between IPv6 protocol and IPv4 protocol

IPv6網(wǎng)絡(luò)協(xié)議的不斷深入發(fā)展為提高網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全創(chuàng)新機(jī)制提供了新方式、新思路、新方向，在網(wǎng)絡(luò)地址精準(zhǔn)管理、數(shù)據(jù)傳輸加密、事后追蹤溯源上均有很好的安全保障。但不可忽視的是，IPv6網(wǎng)絡(luò)傳輸?shù)谋举|(zhì)并沒(méi)有變化，所以在實(shí)際應(yīng)用上仍會(huì)有一系列的安全問(wèn)題產(chǎn)生，需要引起高度重視。如IPv6網(wǎng)絡(luò)全新協(xié)議本身，目前一些地方構(gòu)建的IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過(guò)渡階段演進(jìn)技術(shù)上，以及在IPv6網(wǎng)絡(luò)協(xié)議應(yīng)用管理方面和設(shè)備功能支撐層面等均存在一定的安全風(fēng)險(xiǎn)。

2 IPv6網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

2.1 IPv6網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn)點(diǎn)

當(dāng)前在用的IPv6網(wǎng)絡(luò)協(xié)議，在最早設(shè)計(jì)時(shí)已經(jīng)強(qiáng)化了對(duì)安全層面的考慮，但是依舊無(wú)法考慮和規(guī)避所有的安全風(fēng)險(xiǎn)問(wèn)題。首先是超大的地址數(shù)量雖然解決了地址短缺的問(wèn)題，但是海量的地址空間給安全檢測(cè)工作帶來(lái)了巨大的難題，進(jìn)行大規(guī)模的地址查詢(xún)難度較大且十分復(fù)雜；其次是靈活的擴(kuò)展報(bào)文內(nèi)容和全新的流標(biāo)簽，提升了數(shù)據(jù)包的處理效率和提供了個(gè)性化的網(wǎng)絡(luò)服務(wù)，但同時(shí)也成為了攻擊和入侵的切入點(diǎn)，在實(shí)際運(yùn)行中會(huì)受到NDP攻擊、路由重定向攻擊等安全風(fēng)險(xiǎn)，導(dǎo)致出現(xiàn)攔截和篡改數(shù)據(jù)包的情況發(fā)生。

2.2 IPv4和IPv6共存網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)點(diǎn)

IPv4和IPv6網(wǎng)絡(luò)協(xié)議并不兼容，兩者無(wú)法直接相互通信，目前構(gòu)建的網(wǎng)絡(luò)協(xié)議中采用了IPv4向IPv6過(guò)渡的演進(jìn)技術(shù)，在IPv4向IPv6過(guò)渡時(shí)，產(chǎn)生的漏洞可以被攻擊者利用并繞開(kāi)安全監(jiān)測(cè)來(lái)開(kāi)展攻擊行為，常見(jiàn)的3種過(guò)渡協(xié)議有雙棧協(xié)議、隧道機(jī)制協(xié)議、翻譯機(jī)制協(xié)議。在雙棧環(huán)境下，IPv6和IPv4兩個(gè)邏輯通道，其中一個(gè)出現(xiàn)漏洞引發(fā)的攻擊均會(huì)導(dǎo)致支持雙棧網(wǎng)絡(luò)節(jié)點(diǎn)的方式，對(duì)其邏輯上的兩張網(wǎng)絡(luò)之間相互傳播處理，從而對(duì)網(wǎng)絡(luò)造成直接影響；在隧道機(jī)制環(huán)境下，因現(xiàn)有網(wǎng)絡(luò)很多無(wú)法實(shí)現(xiàn)整體升級(jí)，必須利用客戶(hù)端或路由器的方式進(jìn)行自動(dòng)化隧道的構(gòu)建來(lái)實(shí)現(xiàn)對(duì)IPv6的接入，而這種隧道出口路由器就成為了攻擊者的攻擊目標(biāo)，一旦其隧道節(jié)點(diǎn)受到攻擊就會(huì)導(dǎo)致整體網(wǎng)絡(luò)的安全性受到嚴(yán)重影響；在翻譯機(jī)制環(huán)境下，最常見(jiàn)的是DDos攻擊威脅，通過(guò)制造大量的NAT轉(zhuǎn)換請(qǐng)求，導(dǎo)致翻譯節(jié)點(diǎn)無(wú)法實(shí)現(xiàn)對(duì)用戶(hù)的正常分配，就會(huì)對(duì)整體網(wǎng)絡(luò)的安全性帶來(lái)極大的威脅[2]。

2.3 IPv6網(wǎng)絡(luò)在產(chǎn)業(yè)和管理方面的風(fēng)險(xiǎn)點(diǎn)

當(dāng)前構(gòu)建的網(wǎng)絡(luò)中，IPv4用戶(hù)和設(shè)備數(shù)量龐大，大部分應(yīng)用仍處在IPv4網(wǎng)絡(luò)環(huán)境中，IPv6網(wǎng)絡(luò)僅占目前整個(gè)龐大網(wǎng)絡(luò)的極小部分，在局部范圍形成小范圍“孤島”網(wǎng)絡(luò)，而且大多數(shù)網(wǎng)絡(luò)設(shè)備只能支持IPv4協(xié)議，雖然也有極少數(shù)支持IPv6協(xié)議的設(shè)備在用，但其具備的安全防護(hù)能力也十分有限，根本無(wú)法有效應(yīng)對(duì)，一旦IPv6大規(guī)模推廣應(yīng)用將會(huì)衍生出來(lái)一系列安全隱患問(wèn)題。另外，IPv6的海量地址可以滿(mǎn)足全球所有終端的單播地址使用，無(wú)需借助NAT來(lái)轉(zhuǎn)換，但同時(shí)也失去了NAT的保護(hù)機(jī)制，且大量的地址空間在分配和管理上難度極大。在IPv6網(wǎng)絡(luò)的實(shí)際管理過(guò)程中，由于管理機(jī)制和管理模式不完善，無(wú)法做到管理措施的合理應(yīng)用，還有因缺少管理經(jīng)驗(yàn)導(dǎo)致無(wú)法擬定科學(xué)合理的安全管理制度。

3 部署IPv6的安全應(yīng)對(duì)措施

在加快IPv6網(wǎng)絡(luò)部署的工作中，如何有效建立基于IPv6網(wǎng)絡(luò)協(xié)議下的安全風(fēng)險(xiǎn)防御體系，在后續(xù)網(wǎng)絡(luò)規(guī)劃以及建設(shè)的過(guò)程中，保障各方面的安全性與穩(wěn)定性[3]。

3.1 在管理和行業(yè)層面的安全保障

對(duì)IPv6網(wǎng)絡(luò)協(xié)議管理，應(yīng)采用科學(xué)、合理的方式，強(qiáng)化整體網(wǎng)絡(luò)的安全性。首先，對(duì)IPv6網(wǎng)絡(luò)協(xié)議應(yīng)在政府層面上制定政策制度和各項(xiàng)技術(shù)規(guī)范標(biāo)準(zhǔn)，并做好對(duì)IPv6網(wǎng)絡(luò)協(xié)議部署過(guò)程中的安全管理和實(shí)時(shí)監(jiān)督。其次，行業(yè)內(nèi)需要大力研制與更新支持IPv6的安全網(wǎng)絡(luò)設(shè)備[4]，推進(jìn)通信行業(yè)的全部?jī)?nèi)容資源對(duì)IPv6的支持。提高網(wǎng)絡(luò)協(xié)議部署者的職業(yè)素質(zhì)和專(zhuān)業(yè)素養(yǎng)，使他們能夠熟練地掌握整個(gè)網(wǎng)絡(luò)的安全技術(shù)，防止在網(wǎng)絡(luò)部署中出現(xiàn)安全隱患，及時(shí)發(fā)現(xiàn)并進(jìn)行相應(yīng)的風(fēng)險(xiǎn)防范和控制，以免對(duì)網(wǎng)絡(luò)的安全性產(chǎn)生影響。最后，建立健全網(wǎng)絡(luò)協(xié)議安全管理體系，對(duì)存在的安全問(wèn)題進(jìn)行嚴(yán)厲的處罰，從而提高IPv6網(wǎng)絡(luò)協(xié)議的實(shí)際使用效率。另外，為了保證IPv6網(wǎng)絡(luò)協(xié)議在實(shí)際使用中的安全性和穩(wěn)定性，不容忽視的一點(diǎn)是，需要投入大量的人力物力對(duì)IPv6相關(guān)的設(shè)備、網(wǎng)絡(luò)、技術(shù)進(jìn)行全面有效的測(cè)試，并根據(jù)其特點(diǎn)，有針對(duì)性的制訂相應(yīng)的測(cè)試計(jì)劃并逐項(xiàng)落實(shí)。在現(xiàn)階段的基建網(wǎng)絡(luò)建設(shè)中需要進(jìn)行更加精密的劃分，保證安全訪問(wèn)控制策略配置的精確度能夠達(dá)到更高。

3.2 在系統(tǒng)安全層面的構(gòu)建措施

（1）設(shè)備更新。目前使用的網(wǎng)絡(luò)安全保護(hù)技術(shù)對(duì)IPv6的某些功能還存在著安全隱患，所以在實(shí)際應(yīng)用中，必須對(duì)部分設(shè)備進(jìn)行整體的安全保護(hù)和調(diào)整，從而達(dá)到較好的處理效果[5]。（2）功能要求。在使用防火墻的過(guò)程中，應(yīng)該結(jié)合工作需求采用可行的過(guò)渡技術(shù)，集成到應(yīng)用層網(wǎng)關(guān)中，來(lái)滿(mǎn)足IPv6的解析、識(shí)別以及病毒的檢測(cè)分析，實(shí)現(xiàn)一種科學(xué)、合理的IPv4和IPv6共存的雙棧應(yīng)用場(chǎng)景。（3）性能要求。在IPv6報(bào)文結(jié)構(gòu)中，需要有效地處理不同的IPv6協(xié)議頭信息，針對(duì)包含多個(gè)擴(kuò)展頭信息的數(shù)據(jù)包需要更加細(xì)致謹(jǐn)慎的處理，特別是在出現(xiàn)異常的擴(kuò)展頭數(shù)據(jù)包之后需要對(duì)其提供更高的性能方面的要求。（4）策略要求。對(duì)構(gòu)建出的安全防護(hù)設(shè)備進(jìn)行雙棧配置，并且要對(duì)不同的邏輯通道進(jìn)行必要的安全需求分析和控制，換句話說(shuō)，在對(duì)安全策略的把握上需要有一致性的檢查能力。（5）安全網(wǎng)絡(luò)檢測(cè)。要求在利用安全檢測(cè)工具進(jìn)行網(wǎng)絡(luò)檢測(cè)時(shí)，需要首先準(zhǔn)確了解實(shí)際在用的調(diào)度策略，展開(kāi)深入的研究并進(jìn)行進(jìn)一步的優(yōu)化處理；其次，在使用相關(guān)專(zhuān)項(xiàng)檢測(cè)工具時(shí)，仍然需要重點(diǎn)對(duì)IPv6地址進(jìn)行相應(yīng)的檢測(cè)分析。（6）安全網(wǎng)絡(luò)監(jiān)測(cè)。需要做好現(xiàn)階段一些在用的防病毒、惡意軟件等安全問(wèn)題的處理方式、措施與IPv6之間如何建立一種全面緊密的關(guān)聯(lián)性，進(jìn)而收集統(tǒng)計(jì)各種風(fēng)險(xiǎn)問(wèn)題，形成一個(gè)盡可能全面覆蓋的安全威脅規(guī)則庫(kù)，通過(guò)分析和總結(jié)，便于在之后的安全排查和隱患處理方面，可以更好更塊的找出有針對(duì)性的、科學(xué)合理的各類(lèi)網(wǎng)絡(luò)安全檢測(cè)與防護(hù)技術(shù)。

3.3 防控安全攻擊措施

當(dāng)前的IPv6網(wǎng)絡(luò)在使用中存在著安全漏洞，這將極大地影響到整個(gè)系統(tǒng)的安全。因此，要根據(jù)網(wǎng)絡(luò)攻擊的不同特征，采取相應(yīng)的預(yù)防和控制策略。

（1）加強(qiáng)對(duì)網(wǎng)絡(luò)自身的保護(hù)，并通過(guò)適當(dāng)?shù)倪吔绫Ｗo(hù)技術(shù)對(duì)網(wǎng)絡(luò)協(xié)議的安全漏洞進(jìn)行及時(shí)的修復(fù)。針對(duì)IP地址數(shù)目龐大的特點(diǎn)，提出了一種針對(duì)大規(guī)模IP地址的安全攻擊防護(hù)策略。同時(shí)，IPv6的DNS系統(tǒng)還可以根據(jù)特定的網(wǎng)絡(luò)操作要求加強(qiáng)DNS的安全保護(hù)，并對(duì)其進(jìn)行合理的冗余備份和安全攻擊處理，從而保證IPv6網(wǎng)絡(luò)中的新問(wèn)題和新挑戰(zhàn)。

（2）IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)雙棧的情況下，還需進(jìn)行防火墻系統(tǒng)和安全攻擊防范設(shè)備的升級(jí)處理，按照防火墻具體的性能和位置特點(diǎn)，結(jié)合安全防護(hù)設(shè)備的性能和位置，在出口路由器的外部或者出口路由器和內(nèi)部網(wǎng)絡(luò)之間設(shè)置防火墻，這樣在一定程度上能夠預(yù)防出現(xiàn)安全攻擊的風(fēng)險(xiǎn)[6]。

（3）部分入侵者會(huì)通過(guò)網(wǎng)絡(luò)協(xié)議自身的缺陷來(lái)攻擊網(wǎng)絡(luò)協(xié)議。為了防止這種攻擊，必須對(duì)網(wǎng)絡(luò)協(xié)議的部署、IP地址擴(kuò)展頭的數(shù)目進(jìn)行嚴(yán)格的控制，以最大限度的減少分組的數(shù)目，并防止這種攻擊[7]。

4 結(jié)語(yǔ)

綜上所述，在新信息基礎(chǔ)設(shè)施建設(shè)中部署IPv6網(wǎng)絡(luò)協(xié)議之后，安全性會(huì)得到了極大地提高，但仍需要針對(duì)IPv6可能出現(xiàn)的各類(lèi)安全問(wèn)題，有針對(duì)性的在安全管理、產(chǎn)品、技術(shù)、培訓(xùn)等方面加強(qiáng)來(lái)進(jìn)行有效防范，用以提升IPv6網(wǎng)絡(luò)的整體安全性和穩(wěn)定性。

引用

[1]高秋燕.基于高校的IPv6網(wǎng)絡(luò)安全研究與實(shí)現(xiàn)[J.信息系統(tǒng)工程,2021(2):55-56.

[2]邢帆.高校數(shù)據(jù)與網(wǎng)絡(luò)虛擬化研討——IPv6工作組技術(shù)沙龍北京外國(guó)語(yǔ)大學(xué)站[J].中國(guó)信息化,2017(7):12-13.

[3]孫雅娟,林紅.關(guān)于高校IPv6校園網(wǎng)絡(luò)中ND協(xié)議安全的研究[J].華北電力大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2011(S2):321-324.

[4]徐震,韓言妮.IPv6網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)與應(yīng)對(duì)分析[J].華北電力大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2018(7):51-53.

[5]翟昱,買(mǎi)爾旦·肉孜.關(guān)于 IPv6 網(wǎng)絡(luò)帶來(lái)的安全風(fēng)險(xiǎn)與應(yīng)對(duì)措施[J].數(shù)字通信世界,2021,22(8):153-154.

[6]張思源.基于IPv6的智能家居系統(tǒng)設(shè)計(jì)[J].數(shù)字技術(shù)與應(yīng)用,2014(3):134-137.

[7]徐華.IPv6 網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)分析[J].科技風(fēng),2019,14(28):248-258.