鄭永星

（福建師范大學密碼技術與網(wǎng)絡安全福建省重點實驗室，福建 福州 350007）

IPv6 WLAN安全網(wǎng)關設計

鄭永星

（福建師范大學密碼技術與網(wǎng)絡安全福建省重點實驗室，福建 福州 350007）

IPv6強大的尋址方案和對移動性的支持，使其在WLAN中的應用成為一種趨勢。WLAN為用戶提供了便捷接入的同時，也帶來相較于有線網(wǎng)絡更大的安全威脅，IPv6的鄰居發(fā)現(xiàn)協(xié)議和自動配置功能等這些特點使得WLAN的接入安全變得更為復雜。設計一個IPv6 WLAN環(huán)境下的安全網(wǎng)關，能夠檢測到網(wǎng)絡中潛在的漏洞和威脅，通過搭建實驗環(huán)境，并對未授權接入、DAD DOS攻擊和重定向攻擊三種安全威脅進行了仿真，實驗結果證明該安全網(wǎng)關的有效性。

網(wǎng)絡安全；IPv6；WLAN

1．引言

近幾年，研究者已提出了許多鏈路層協(xié)議對WLAN通信進行保護，如802.1x[1]、802.11i[2]和WI-FI[3]等。其中，IETF提出的基于端口的訪問控制協(xié)議IEEE 802．1x是現(xiàn)在最流行的協(xié)議，IEEE 802．1x設計了一個認證和密鑰管理框架，能夠較粗糙地保護WLAN通信安全。將IEEE 802．1x與其它具有更高安全性的協(xié)議相結合，比如IPSec[4]和AAA[5]，是很有必要的。IPv6的鄰居發(fā)現(xiàn)（ND）和自動配置功能使得鏈路層的安全存在較大的隱患，因此，一些無狀態(tài)自動配置過程中安全保護方法被提了出來，例如安全的鄰居發(fā)現(xiàn)協(xié)議（SEND）、加密的產(chǎn)生地址（CGA）和基于密鑰的地址（ABK）。在這些技術完全實現(xiàn)之前，安全地接入IPv6 WLAN仍然存在著較大的管理難題?，F(xiàn)有比較流行的網(wǎng)絡管理工具和應用程序通常使用簡單網(wǎng)絡管理協(xié)議（SNMP）[6]對IP網(wǎng)絡進行管理，利用SNMP，一個管理程序可以管理所有支持這種協(xié)議的網(wǎng)絡設備。SNMP同樣適用于IPv6，雖然已有很多設備提供了對IPv6上SNMP的支持，但相應的管理應用程序仍然有所欠缺，因此本文設計了一個IPv6 WLAN安全網(wǎng)關，對IPv6 WLAN環(huán)境下的安全接入進行管理。

2．IPv6 WLAN安全性分析

WLAN不受地理空間的限制，提供方便的接入，因此也造成了一些安全漏洞，已有一些文章提出了相應的方法來解決無線通信的安全問題，比如文獻[7]，[8]和[9]。IPv6新的特征為無線通信提出了一些新的挑戰(zhàn)，鄰居發(fā)現(xiàn)和自動配置使IPv6具有較高的靈活性，但靈活性與安全性的要求卻恰恰相反。

IPv6網(wǎng)絡主要依靠ICMPv6的一些功能來進行實施，例如NS，NA，RS和RA，通信設備使用ICMPv6的功能來學習本地的拓撲結構，包括本地主機和路由器IP地址和MAC地址之間的映射關系。IPv6 WLAN中的數(shù)據(jù)包相比于有線網(wǎng)絡更容易被攻擊者竊取，然后用來制造各種類型的攻擊，因此網(wǎng)絡應該監(jiān)視IPv6各個類型的數(shù)據(jù)包，通過使用合理的方法來分析這些數(shù)據(jù)包，檢測出異常的行為，并及時的發(fā)出警報。

在RFC3756中對網(wǎng)絡威脅和安全模型進行了定義，公用無線網(wǎng)絡中的威脅主要分為兩種：重定向攻擊和拒絕服務(DOS)攻擊。在無線網(wǎng)路中，數(shù)據(jù)包在被攔截和窺視后，可能會被重定向到一個錯誤或者不存在的地址。惡意的最后一跳路由器是比較有名的重定向攻擊，攻擊者周期性地發(fā)送RA，假冒真的最后一跳路由器聲明其生命期值為0，被欺騙的主機就會認為該路由器不再提供服務，進而選擇假的主機作為默認路由器，攻擊者就有機會截取主機的通信或者實施中間人攻擊。還有一些類似的攻擊，比如DHCP攻擊和重復地址檢測(DAD)攻擊。

3．安全網(wǎng)關設計

為了確保IPv6 WLAN的安全，本文設計一種安全網(wǎng)關的方法來確保接入網(wǎng)絡的安全性，該安全網(wǎng)關從相應的設備中收集和處理相關的信息，它為上層應用程序服務提供了一個安全的入口。安全網(wǎng)關的結構如圖1所示，它主要由六個管理單元組成：流量收集單元，流量處理單元，認證單元，行為分析單元，策略管理單元和響應單元。

圖1 安全網(wǎng)關框架

(1)流量收集單元

這個單元從路由器，接入點和DHCP服務器中收集數(shù)據(jù)流量，通信信息可以從被管理設備的日志文件、流量鏡像中收集，然后將這些收集的信息傳遞給流量處理單元。

(2)流量處理單元

這個單元處理流量收集單元所收集到的數(shù)據(jù)，例如首先按RA、RS、NS、NA、重定向消息等類型對ICMPv6進行分類，一旦確定了數(shù)據(jù)報的類型，相應的IP源地址、目的地址將被記錄下來，存儲到數(shù)據(jù)庫中。這個單元除了處理ICMPv6信息外，也對各種服務器中的MIB對象和日志文件進行處理。

(3)認證單元

這個單元在接入點的幫助下完成無線客戶端的認證過程，無線客戶端的認證請求通過接入點轉發(fā)給RADIUS服務器進行認證，通過RADIUS服務器返回的信息，接入點可以判斷無線客戶端的認證請求是否通過。將認證結果傳遞給行為分析單元進行下一步的處理。

(4)策略管理單元

根據(jù)第二部分對安全漏洞和威脅的分析，各類潛在的安全漏洞都存在著一個確定的模型。各類攻擊和異常行為的特征都事先進行分析，事先定義一個策略。策略管理單元通過提供一些閾值或者規(guī)則使行為分析單元來辨別網(wǎng)絡的異常行為。根據(jù)管理的需求，策略可以通過安全配置管理更新。

(5)行為分析單元

這是安全網(wǎng)關的核心部分，行為分析單元用流量處理單元和策略管理單元傳送過來的數(shù)據(jù)對網(wǎng)絡流量行為進行分析，當類似重定向攻擊等安全威脅被識別時，這個單元將會通知響應單元進行下一步的動作。

(6)響應單元

響應單元主要負責將異常行為或者安全配置更新通知網(wǎng)絡管理服務器，警報系統(tǒng)和安全配置管理應用程序根據(jù)從響應單元接收到的信息做出相應的動作。

六個管理單元整合到一起提供預防的安全應用服務，一方面，通過與認證服務器的合作，提供了數(shù)據(jù)鏈路層的接入控制；另一方面，通過監(jiān)視和分析IPv6數(shù)據(jù)包，能夠在IP層預防安全威脅。

4．實驗及評估

為了證明本文所設計的安全網(wǎng)關的有效性，我們構建了一個IPv6 WLAN的實驗環(huán)境，在眾多安全威脅中，我們對未授權接入、DAD DOS攻擊和重定向攻擊三種進行了仿真和評估。

4．1 實驗系統(tǒng)環(huán)境介紹

無線IPv6網(wǎng)絡環(huán)境主要由以下幾個部分組成：一個無線AP，一個RADIUS服務器，一臺DHCP服務器，一臺網(wǎng)絡管理服務器和一些主機構成，具體結構如圖2所示。

圖2 實驗環(huán)境系統(tǒng)

無線AP提供了基于MAC地址的接入控制，配備了SNMP代理和802.1x MIB。RADIUS服務器是將Radiator[10]安裝在一臺支持IPv6的XP操作系統(tǒng)主機上。使用有狀態(tài)的自動配置的DHCPv6服務器安裝在一臺Linux主機上，由于安全網(wǎng)關上流量收集單元需要，DHCP上的日志文件處于打開狀態(tài)。一臺IPv4/IPv6雙協(xié)議棧的路由器作為本地網(wǎng)絡的網(wǎng)關，為了支持地址自動配置，路由器被設置為周期性地發(fā)送路由器公告，并及時地響應路由器請求。網(wǎng)絡管理服務器是一個配備了本安全網(wǎng)關的網(wǎng)絡管理系統(tǒng)，該系統(tǒng)使用基于WEB接口的JAVA編程實現(xiàn)。系統(tǒng)持續(xù)監(jiān)視著網(wǎng)絡上的流量，并查詢AP和路由器上的SNMP代理，來獲取MIB對象實例。流量處理單元處理通信中的流量，并對ICMPv6數(shù)據(jù)報按照路由請求（RS）、路由公告（RA）、鄰居請求（NS）、鄰居公告（NA）、重定向（Redirect）和其它類型等幾種類型進行分類，然后傳遞給行為分析單元。通過檢索AP和DHCP服務器中的日志文件來判別合法和非法連接。

4．2 實驗過程

為了評估本安全網(wǎng)關的性能，網(wǎng)絡管理系統(tǒng)使用網(wǎng)絡嗅探器（Snifferpro）[11]來監(jiān)視網(wǎng)絡數(shù)據(jù)包。攻擊程序使用C語言進行編程，該攻擊程序包含三種類型的攻擊：未授權接入，DAD DOS攻擊和重定向攻擊。

(1)未授權接入

一個惡意的用戶可能持續(xù)地發(fā)送認證請求到無線AP來試圖接入Internet，AP中的SNMP代理會將請求客戶端的MAC地址作為管理對象存儲到IPv6 MIB，通過查詢MIB中的相關對象，行為分析單元能夠判別哪一個未授權MAC地址在短時間內(nèi)持續(xù)地發(fā)送接入請求。在這種情況下，響應單元將會發(fā)送一個未授權接入警告，在觀察期內(nèi)，這些未授權的接入請求包將會被AP丟棄。

(2)DAD DOS攻擊

一個攻擊者可以通過很多工具來監(jiān)視網(wǎng)絡中的流量，一旦接收到鄰居請求數(shù)據(jù)包，它可以持續(xù)地發(fā)送鄰居公告來宣稱該地址已經(jīng)被使用，那么發(fā)送鄰居請求的主機將永遠不能獲得地址。在本安全網(wǎng)關中，流量處理單元將已經(jīng)分配的地址存儲在數(shù)據(jù)庫中，數(shù)據(jù)庫也包含每個鄰居通告的時間和源MAC地址等信息。通過收集到的地址和時間信息，并根據(jù)安全策略所設定的標準，如圖3所示，行為分析單元能夠發(fā)現(xiàn)DAD DOS攻擊，并發(fā)出警報。

圖3 DAD DOS攻擊檢測過程

圖4 重定向攻擊檢測過程

(3)重定向攻擊

攻擊者首先偽裝成路由器，然后再發(fā)送Redirect報文給被攻擊節(jié)點：發(fā)往某個外網(wǎng)節(jié)點的數(shù)據(jù)包，走自己這條路由更好，那么被攻擊節(jié)點就會將數(shù)據(jù)包交由惡意節(jié)點轉發(fā)，惡意節(jié)點就可以不轉發(fā)禁止其通信，或進行一些篡改。使用本文提出的安全網(wǎng)關，流量收集單元從合法的路由器上收集前綴和配置信息，一旦路由器重新?lián)芴柡?，在?shù)據(jù)庫中要對前綴和配置信息進行更新。根據(jù)安全策略和數(shù)據(jù)庫中的設置的參數(shù)，網(wǎng)絡行為分析單元能夠通過如圖4所示的重定向攻擊檢測過程檢測到異常行為。

5．總結

本文所設計的安全網(wǎng)關通過使用SNMP，ICMP，DHCP和RADIUS等工具為進入IPv6 WLAN提供了一個安全屏障。安全網(wǎng)關中的認證單元與RADIUS服務器相合作來實現(xiàn)WLAN的接入控制，事先定義的安全策略能夠發(fā)現(xiàn)鏈路層和網(wǎng)絡層的攻擊，并發(fā)出預警，防止攻擊真正的發(fā)生。我們構建了一個IPv6 WLAN的實驗環(huán)境，將安全網(wǎng)關安裝在網(wǎng)絡管理服務器中，并對非授權接入、DAD Dos攻擊和重定向攻擊三種安全威脅進行了仿真實驗，通過成功地捕獲并報告潛在的威脅證明了該安全網(wǎng)關的有效性。最后，怎樣把安全網(wǎng)關與入侵檢測系統(tǒng)和防火墻結合起來是我們未來將要開展的工作。

[1]IEEE Std 802.1X，“Standard for Port based Network Access Control”，March 2001．

[2]IEEE Std 802.11i，“Medium Access Control(MAC)Security Enhancements”，2004 edition．

[3]Wi-Fi Alliance．WPA Specification Documentation，version 3.1 edition[EB/OL]．http：//wi-fi．org，2003．

[4]The IPSEC Working Group．Ip security protocol(ipsec)charter[EB/ OL]．http：//www．ietf．org/html．charters/ipsec-charter．html．

[5]B．Aboba，J．Wood，“Authentication，Authorization and Accounting(AAA)Transport Profile”，June 2003．

[6]J．D．Case，M．Fedor，M．L．Schoffstall，J．Davin，“Simple Network Management Protocol(SNMP)”，RFC 1157，May 1990．

[7]Miller，S．K．，“Facing the challenge of wireless security”，Computer，Volume：34，Issue：7，July 2001．

[8]Welch，D．，Lathrop，S．，“Wireless security threat taxonomy”，Information Assurance Workshop，2003．IEEE Systems，Man and Cybernetics Society，18-20 June 2003．

[9]Johnson，D．M，“Wireless security：vulnerabilities and countermeasures”，Computer Security Applications Conference，2002．Proceedings，18thAnnual，9-13 Dec．2002．

[10]Radiator Server[EB/OL]．http：//www．open．com．a(chǎn)u．

[11]SnifferPro[EB/OL]．http：//www．snifferpro．co．uk．

Design of the Security Gateway in IPv6 WLAN

Zheng Yongxing
(Fujian Key Laboratory of Cryptography and Network Security,Fujian Normal University,Fuzhou 350007,Fujian)

tract】 IPv6 will be widely used in WLAN because of its powerful addressing scheme and mobility.Along with the convenient Internet access of WLAN,it is more dangerous compared to wired network.The ND and auto configuration features of IPv6 make the access of WLAN become more complexity.We design a security gate of IPv6 WLAN to detect the underlying threat,and construct an experiment environment.Unauthorized accesses,DAD DOS attacks,and redirect attacks are simulated and evaluated to prove the effectiveness of our security gateway.

words】 network security;IPv6;WLAN

鄭永星，男，福建泉州人，碩士研究生，研究方向：網(wǎng)絡安全。

福建省教育廳產(chǎn)學研項目，項目編號：JA12063；福建省2013戰(zhàn)略性新興產(chǎn)業(yè)技術開發(fā)項目，項目編號：閩發(fā)改高技[2013]266號。