周曉陽(yáng)　胡曉慶

摘 要：IPv6協(xié)議從設(shè)計(jì)上解決了IPv4協(xié)議存在的各種問(wèn)題，為保證協(xié)議的順利過(guò)渡，IPv6也引入雙協(xié)議棧、隧道和地址翻譯等新機(jī)制，但新的技術(shù)必將帶來(lái)新的問(wèn)題。文章從協(xié)議自身安全機(jī)制問(wèn)題、實(shí)現(xiàn)過(guò)程中的不足和產(chǎn)生的新問(wèn)題三方面分類(lèi)研究了IPv6自身的安全脆弱性，重點(diǎn)分析了協(xié)議過(guò)渡時(shí)期IPv6采用的三種新機(jī)制的安全措施及其安全問(wèn)題。

關(guān)鍵詞：IPv6協(xié)議；安全性；過(guò)渡技術(shù)；分析

1 引言

當(dāng)下我們使用IPv4作為網(wǎng)際互聯(lián)的通信協(xié)議，IPv4能提供232個(gè)IP地址。但是隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展以及網(wǎng)絡(luò)規(guī)模的不斷壯大，IPv4協(xié)議的不足逐漸顯現(xiàn)出來(lái)：有限的地址空間、質(zhì)量服務(wù)不到位、協(xié)議配置復(fù)雜、對(duì)移動(dòng)性支持不足等。特別是近年來(lái)移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展和移動(dòng)網(wǎng)絡(luò)終端數(shù)量的不斷增長(zhǎng)，致使IP地址資源已不足以支撐現(xiàn)今的網(wǎng)絡(luò)規(guī)模。[1]

IPv6協(xié)議便是在著力解決IPv4協(xié)議各種問(wèn)題的大環(huán)境下誕生。IPv6協(xié)議具有128位的海量地址空間、更好的支持QoS、地址配置相對(duì)簡(jiǎn)單、更好的安全性配置、更好的移動(dòng)性支持等，可以有效解決IPv4面臨的各種問(wèn)題。但是在實(shí)際部署過(guò)程中，由于技術(shù)能力和基礎(chǔ)設(shè)施的不足，導(dǎo)致IPv6設(shè)計(jì)者所預(yù)置的安全機(jī)制不能充分發(fā)揮作用，IPv6協(xié)議自身及其過(guò)渡過(guò)程中暴露出很多安全問(wèn)題，值得深入研究。

2 IPv6協(xié)議自身的脆弱性

2.1 協(xié)議安全機(jī)制的問(wèn)題

IPv6自身的安全機(jī)制包括IPsec、AH以及ESP，這些安全機(jī)制被設(shè)計(jì)者強(qiáng)制使用，使IPv6網(wǎng)絡(luò)具有更高安全性。這些安全機(jī)制部署在網(wǎng)絡(luò)層，其基本原理是對(duì)網(wǎng)絡(luò)層數(shù)據(jù)包進(jìn)行加密，并對(duì)IP報(bào)文進(jìn)行強(qiáng)制校驗(yàn)。這些機(jī)制直接解決了IPv4環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)明文傳輸?shù)陌踩珕?wèn)題，從通信渠道上杜絕了數(shù)據(jù)竊聽(tīng)、信息篡改、信息欺騙等攻擊方式，有效地增強(qiáng)了IP層的通信安全。[2]

但是，很多工作在網(wǎng)絡(luò)層的安全設(shè)備需要對(duì)網(wǎng)絡(luò)層數(shù)據(jù)包進(jìn)行抓包分析。比如防火墻、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、安全審計(jì)系統(tǒng)、認(rèn)證系統(tǒng)、流量監(jiān)控系統(tǒng)等，這些安全設(shè)備抓取流經(jīng)網(wǎng)絡(luò)層的數(shù)據(jù)包，按照一定的算法進(jìn)行統(tǒng)計(jì)分析，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)和會(huì)話安全的保護(hù)，主動(dòng)分析探測(cè)攻擊行為。當(dāng)IPv6強(qiáng)制將數(shù)據(jù)加密以后，這些安全設(shè)備將無(wú)法對(duì)流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行充分的采樣分析，導(dǎo)致大多數(shù)網(wǎng)絡(luò)安全設(shè)備被置空，攻擊行為不能及時(shí)被發(fā)現(xiàn)，從而影響整體的安全效果。

2.2 IPv6實(shí)現(xiàn)過(guò)程中的漏洞

IPv6協(xié)議在實(shí)現(xiàn)過(guò)程中工作量十分巨大，協(xié)議機(jī)制和算法的實(shí)現(xiàn)、系統(tǒng)及應(yīng)用的實(shí)現(xiàn)，都需要大量的軟件開(kāi)發(fā)支持，這種人為的工作在巨量的工程中必然會(huì)出現(xiàn)這樣那樣的問(wèn)題，有時(shí)可能會(huì)出現(xiàn)嚴(yán)重的安全漏洞。已知的類(lèi)似漏洞有很多，比如Solaris8在進(jìn)行一些IPv6畸形報(bào)文處理時(shí)會(huì)導(dǎo)致內(nèi)核崩潰，被攻擊者利用而產(chǎn)生拒絕服務(wù)攻擊；甚至連FreeBSD的某些版本都存在IPv6協(xié)議棧漏洞，導(dǎo)致內(nèi)存泄露。軟件實(shí)現(xiàn)過(guò)程中產(chǎn)生的人為錯(cuò)誤是不可避免的，這種錯(cuò)誤出現(xiàn)在通信協(xié)議棧中，其破壞和影響更是不可預(yù)料。

2.3 IPv6新技術(shù)的安全問(wèn)題

在設(shè)計(jì)時(shí)，為了解決IPv4存在的安全威脅以及適應(yīng)未來(lái)的網(wǎng)絡(luò)環(huán)境，IPv6的大量協(xié)議機(jī)制和協(xié)議組成發(fā)生了變化。比如IPv6拋棄了地址解析（ARP）協(xié)議，而采用新的鄰居發(fā)現(xiàn)（ND）協(xié)議進(jìn)行IP和MAC地址的解析。IPv6除了支持有狀態(tài)的自動(dòng)地址配置（DHCPv6）外，還支持配合有重復(fù)地址檢測(cè)技術(shù)的無(wú)狀態(tài)自動(dòng)地址配置。這些IPv6中采用的新協(xié)議和新技術(shù)還不完善，使得IPv6網(wǎng)絡(luò)可能面臨新的安全問(wèn)題，比如利用重復(fù)地址檢測(cè)漏洞進(jìn)行攻擊。

3 協(xié)議過(guò)渡時(shí)期安全問(wèn)題

IPv4作為基礎(chǔ)協(xié)議伴隨著互聯(lián)網(wǎng)的發(fā)展，現(xiàn)今需要向IPv6過(guò)渡，這個(gè)龐大的硬件設(shè)備和軟件系統(tǒng)過(guò)渡任務(wù)是十分艱巨的，需要付出足夠的經(jīng)濟(jì)代價(jià)。很多國(guó)家，比如印度、巴西甚至英國(guó)，都因?yàn)闊o(wú)法承擔(dān)過(guò)渡過(guò)程中的經(jīng)費(fèi)而使本國(guó)IPv6商用停滯不前。為了確保平滑過(guò)渡，互聯(lián)網(wǎng)任務(wù)工程組（IETF）提出三種過(guò)渡技術(shù)，分別是雙協(xié)議棧、隧道和協(xié)議翻譯技術(shù)。但這三種新的技術(shù)在確保平穩(wěn)過(guò)渡的同時(shí)也帶來(lái)了新的安全威脅。[3]

3.1 雙協(xié)議棧技術(shù)的安全問(wèn)題

從IPv4過(guò)渡到IPv6的過(guò)程不可能在短時(shí)間內(nèi)完成，必將持續(xù)很長(zhǎng)的一段時(shí)間，在這期間兩種版本的協(xié)議處于共存的狀態(tài)。雙協(xié)議棧技術(shù)是協(xié)議過(guò)渡的基礎(chǔ)，IPv4和IPv6兩種協(xié)議棧和兩種網(wǎng)絡(luò)將同時(shí)存在，所有的網(wǎng)絡(luò)設(shè)備則必須要同時(shí)支持兩種協(xié)議棧。在這樣的條件下，不但互聯(lián)網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)將變得更加復(fù)雜，對(duì)于單一的網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，我們還必須同時(shí)兼顧IPv4和IPv6的安全性。這種新的安全隱患是對(duì)網(wǎng)絡(luò)防護(hù)技術(shù)和安全設(shè)備的挑戰(zhàn)。

比如，現(xiàn)在流行的操作系統(tǒng)基本默認(rèn)支持雙協(xié)議棧，在沒(méi)有部署IPv6的IPv4網(wǎng)絡(luò)中，操作系統(tǒng)若是默認(rèn)啟動(dòng)IPv6地址自動(dòng)配置功能，IPv4網(wǎng)絡(luò)中將存在IPv6鏈路，攻擊者就可以利用此IPv6鏈路發(fā)起各種攻擊，從而規(guī)避了IPv4網(wǎng)絡(luò)在結(jié)構(gòu)設(shè)置上的防護(hù)。

3.2 隧道技術(shù)的安全問(wèn)題

隧道技術(shù)包括配置隧道和自動(dòng)隧道兩種，自動(dòng)隧道又可分為6to4和4to6兩種。配置隧道首先對(duì)隧道兩端進(jìn)行合法性認(rèn)證，然后建立互相的信任關(guān)系，最后可以在整個(gè)隧道中設(shè)置安全策略。自動(dòng)隧道免去了很多的人工配置，使用相對(duì)簡(jiǎn)單，但也更加容易的受到攻擊。已知的隧道機(jī)制安全問(wèn)主要包括以下幾點(diǎn)：

一是隧道的兩端在網(wǎng)絡(luò)層之上，這使得原來(lái)部署在網(wǎng)絡(luò)層上的安全設(shè)備無(wú)法起到應(yīng)有的作用。比如隧道中的數(shù)據(jù)直接繞過(guò)安全設(shè)備的訪問(wèn)控制列表，而直接到達(dá)隧道另一端，這樣一來(lái)安全設(shè)備就成了空架子而達(dá)不到過(guò)濾的目的。

二是隧道技術(shù)引發(fā)很多安全問(wèn)題。在配置有站內(nèi)隧道自動(dòng)尋址協(xié)議（ISATAP）的網(wǎng)絡(luò)中，攻擊者可以通過(guò)地址欺騙的手段，將大量TYPE=41的虛假數(shù)據(jù)注入網(wǎng)絡(luò)鏈路中，從而影響隧道的通信安全性；類(lèi)似6to4的隧道機(jī)制使用特殊的地址前綴，這些前綴數(shù)值范圍固定，攻擊者可以通過(guò)窮舉的方法來(lái)猜測(cè)隧道地址。

三是隧道管理終端的安全風(fēng)險(xiǎn)。一些隧道為了管理方便，在NAT設(shè)備上開(kāi)啟遠(yuǎn)程訪問(wèn)端口，攻擊者一旦發(fā)現(xiàn)這個(gè)管理端口，那么隧道便直接變成了攻擊者實(shí)施攻擊的捷徑。另外，若是隧道的配置遭受攻擊者的篡改，或者管理服務(wù)器本身被拒絕服務(wù)攻擊，那么隧道的安全性和可用性將大打折扣。

3.3 協(xié)議翻譯的安全問(wèn)題

協(xié)議翻譯技術(shù)NAT-PT使IPv6節(jié)點(diǎn)和IPv4節(jié)點(diǎn)能夠?qū)崿F(xiàn)互通，但它破壞了端到端的網(wǎng)絡(luò)層安全特性，使得協(xié)議頂層設(shè)計(jì)的安全機(jī)制空置，一旦部署NAT-PT的節(jié)點(diǎn)遭受拒絕服務(wù)攻擊，IPv4-IPv6通信將會(huì)中斷，會(huì)話完整性和通信安全性遭到破壞，后果非常嚴(yán)重。[4]

4 結(jié)論

IPv6提供了龐大的地址空間，對(duì)服務(wù)質(zhì)量、移動(dòng)性支持等方面也有了顯著的提升，但是向IPv6過(guò)渡是一個(gè)漫長(zhǎng)的過(guò)程。雖然IETF提供了雙棧、隧道和翻譯過(guò)渡機(jī)制，并采用了IPsec等安全配置，但新的技術(shù)在解決問(wèn)題的同時(shí)也帶來(lái)了新的安全隱患。IPv6協(xié)議機(jī)制及其在過(guò)渡過(guò)程中，存在攻擊者可以利用的漏洞和脆弱點(diǎn)。如何進(jìn)行規(guī)避和補(bǔ)救，確保IPv6的順利過(guò)渡，也給安全工作者提出了挑戰(zhàn)。

[參考文獻(xiàn)]

[1]區(qū)羽.全球IPv6技術(shù)發(fā)展現(xiàn)狀及應(yīng)用前景[J].世界電信，2003，3期.

[2]Qing Li[美]，等.IPv6詳解卷1[M].北京：人民郵電出版社，2009.

[3]IETF.RFC3964.Security Considerations for 6to4[S].

[4]IETF.RFC2401.Security Architecture for the internet Protocol[S].