王 維

（大慶油田信息技術(shù)公司北京分公司，北京 100043）

1 IPv6 網(wǎng)絡(luò)安全現(xiàn)狀概述

國家大力推動IPv6 規(guī)?；渴?，自2017 年11 月中央辦公廳和國務(wù)院辦公廳共同發(fā)布了 《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》以來，國內(nèi)IPv6 技術(shù)應(yīng)用環(huán)境愈發(fā)成熟，部署規(guī)模呈數(shù)量級增長，隨之而來的是大規(guī)模部署下IPv6 的網(wǎng)絡(luò)安全問題，但該問題并沒有得到足夠的重視，許多人認(rèn)為傳統(tǒng)的IPv4 網(wǎng)絡(luò)安全防護(hù)手段可以繼續(xù)保護(hù)IPv6 網(wǎng)絡(luò)的安全，實(shí)則不然，在面對來自網(wǎng)絡(luò)層的安全威脅時，現(xiàn)有IPv4 網(wǎng)絡(luò)的防護(hù)措施可以起到一定的作用，但是面對來自應(yīng)用層的網(wǎng)絡(luò)安全威脅，IPv6 的網(wǎng)絡(luò)安全將面臨巨大的挑戰(zhàn)。雖然IPv6 協(xié)議本身增加了很多安全特性，可以抵消部分來自網(wǎng)絡(luò)層的安全威脅，如掃描攻擊等，但I(xiàn)Pv6 協(xié)議本身是新的協(xié)議，黑客會針對這一新協(xié)議開發(fā)出具有針對性的攻擊方式和手段，大多數(shù)企業(yè)可能會對此一無所知，直到被攻擊才會發(fā)現(xiàn)。IPv6 網(wǎng)絡(luò)在面對有針對性的病毒、木馬等程序時，目前只是在等待被免疫的階段，IPv6 病毒特征庫以及防護(hù)經(jīng)驗(yàn)積累是個長期的過程，需要多方協(xié)同配合解決，希望各大安全廠商投入更多的精力關(guān)注IPv6 網(wǎng)絡(luò)安全。

目前，主流的安全廠商并不急于著手研究IPv6 網(wǎng)絡(luò)威脅與安全防護(hù)等問題，部分安全廠商認(rèn)為應(yīng)用層的病毒特征庫資源是一個逐漸積累的過程，而不去投入過多精力到相關(guān)研發(fā)上，但對于我們企業(yè)而言，安全問題是重中之重，我們有足夠多的理由在安全威脅發(fā)生之前準(zhǔn)備好相應(yīng)防護(hù)措施。

2 IPv6 網(wǎng)絡(luò)存在的安全威脅

與IPv4 相比，IPv6在安全性方面進(jìn)行了預(yù)先設(shè)計和充分考慮，但仍然存在一些難以解決的安全風(fēng)險。IPv6 作為網(wǎng)絡(luò)層協(xié)議，并不能解決所有的網(wǎng)絡(luò)安全問題，其他功能層，如由于應(yīng)用層漏洞所引發(fā)的攻擊，IPv6 本身并不能解決。此外，IPv6 仍然具有部分IPv4 存在的安全風(fēng)險，在IPv4 與IPv6 實(shí)施的雙棧配置等過渡期機(jī)制也可能引入安全風(fēng)險，網(wǎng)絡(luò)中也會出現(xiàn)一些專門針對IPv6 協(xié)議形成的新安全風(fēng)險，如基于IPV6 的攻擊已經(jīng)開始現(xiàn)身，分布式拒絕服務(wù)攻擊、網(wǎng)絡(luò)穿透攻擊、IPv6 加密蠕蟲等開始出現(xiàn)于安全媒體，但卻沒有引起安全界的重視。

2.1 繼承自IPv4 的安全威脅

IPv6 中協(xié)議和報文結(jié)構(gòu)雖有變化，但一些存在于IPv4 網(wǎng)絡(luò)中的攻擊類型仍然存在。由于IPv6 地址空間的擴(kuò)大，使一部分基于掃描的安全威脅得到緩解，無論是互聯(lián)網(wǎng)還是內(nèi)網(wǎng)，大規(guī)模的窮舉掃描實(shí)現(xiàn)起來非常困難，這也間接增加了病毒、蠕蟲等的擴(kuò)散難度，但需要注意的是IPv6 中使用的多播地址，能夠幫助入侵者來識別和攻擊目的網(wǎng)絡(luò)中的一些資源。此外，由于IPv6 地址足夠使用，使得NAT 的作用不是十分明顯了，實(shí)際上NAT 技術(shù)對于保護(hù)內(nèi)網(wǎng)主機(jī)還是有一定的安全意義的。

雖然IPv6 拋棄了ARP 協(xié)議，但對ICMP 協(xié)議卻十分依賴，屏蔽ICMP 協(xié)議是不可能的，針對ICMP 協(xié)議的攻擊就會增多，并且與IPv4 的方式相比會有很大的不同。此外，IPv6 支持多種多樣的擴(kuò)展包頭，用于使網(wǎng)絡(luò)層具有更多功能，這些擴(kuò)展包頭將會帶來更多的安全問題。

2.2 過渡機(jī)制存在的安全風(fēng)險

當(dāng)前，雖然我國IPv6 規(guī)模部署工作呈現(xiàn)加速發(fā)展的態(tài)勢，但實(shí)際情況是IPv4 與IPv6 網(wǎng)絡(luò)將長期共存，從業(yè)務(wù)需求、改造投資、工期等角度考量，IPv4 網(wǎng)絡(luò)過渡到IPv6 網(wǎng)絡(luò)是一個緩慢的過程。在從IPv4 向IPv6 過渡的過程中，“雙?！薄八淼馈薄胺g”是三種常用的過渡方案，均可能帶來新的安全威脅。

2.2.1 雙棧機(jī)制安全風(fēng)險

IPv4／IPv6 雙棧技術(shù)是指在網(wǎng)絡(luò)節(jié)點(diǎn)上同時運(yùn)行IPv4 與IPv6 兩種協(xié)議，在IP 網(wǎng)絡(luò)中形成邏輯上相互獨(dú)立的兩張網(wǎng)絡(luò)，即IPv4 網(wǎng)絡(luò)與IPv6 網(wǎng)絡(luò)。

在IPv4 網(wǎng)絡(luò)中，部分操作系統(tǒng)缺省啟動了IPv6 自動地址配置功能，使IPv4 網(wǎng)絡(luò)中存在隱蔽的IPv6 通道，但由于該IPv6 通道并沒有進(jìn)行防護(hù)配置，攻擊者可能利用該通道實(shí)施攻擊。

過渡期同時運(yùn)行IPv4 與IPv6 兩個邏輯網(wǎng)絡(luò)，增加了設(shè)備及系統(tǒng)的暴露面，也意味著防火墻、安全網(wǎng)關(guān)等防護(hù)設(shè)備需同時配置雙棧策略，導(dǎo)致策略管理復(fù)雜度大大增加。此外，雙棧系統(tǒng)同時運(yùn)行IPv4 協(xié)議、IPv6 協(xié)議，會增加網(wǎng)絡(luò)節(jié)點(diǎn)協(xié)議處理復(fù)雜性和數(shù)據(jù)轉(zhuǎn)發(fā)負(fù)擔(dān)，使網(wǎng)絡(luò)節(jié)點(diǎn)的故障率增加，最終導(dǎo)致安全防護(hù)被穿透的可能性增大。

2.2.2 隧道機(jī)制安全風(fēng)險

一些隧道機(jī)制存在對任何來源的數(shù)據(jù)包只進(jìn)行簡單的封裝和解封操作，不做安全性驗(yàn)證，最終會由于各種隧道機(jī)制的引入，導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險劇增。由于不對IPv4 和IPv6 地址的關(guān)系做檢查，攻擊者可利用隧道機(jī)制，將IPv6 報文封裝成IPv4報文進(jìn)行傳輸，又因IPv4 網(wǎng)絡(luò)無法驗(yàn)證源地址的真實(shí)性，攻擊者可以偽造隧道報文注入目的網(wǎng)絡(luò)中。此外，不對隧道封裝的內(nèi)容進(jìn)行檢查，通過隧道封裝攻擊報文，對于以隧道形式傳輸?shù)腎Pv6 流量，很多網(wǎng)絡(luò)設(shè)備直接轉(zhuǎn)發(fā)或者只做簡單的檢查，攻擊者可以配置IPv4 over IPv6，將IPv4 流量封裝在IPv6 報文中，導(dǎo)致原來IPv4 網(wǎng)絡(luò)的攻擊流量經(jīng)由IPv6 的“掩護(hù)”后穿越防護(hù)造成威脅。

2.2.3 翻譯機(jī)制安全風(fēng)險

翻譯機(jī)制（即協(xié)議轉(zhuǎn)換）通過IPv6 與IPv4 的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)了IPv6 網(wǎng)絡(luò)與IPv4 網(wǎng)絡(luò)的雙向互訪，翻譯設(shè)備作為IPv6 網(wǎng)絡(luò)、IPv4 網(wǎng)絡(luò)的互聯(lián)節(jié)點(diǎn)易成為安全瓶頸，一旦被攻擊便可能導(dǎo)致網(wǎng)絡(luò)癱瘓。

2.3 IPv6 協(xié)議本身特有的安全威脅

IPv6 報文結(jié)構(gòu)中引入的新字段，如流標(biāo)簽、RH0、路由頭部等；IPv6 協(xié)議族中引入的新協(xié)議，如NDP 鄰居發(fā)現(xiàn)協(xié)議等；均可能存在漏洞，被用于發(fā)起嗅探、DoS 等攻擊。IPv6 新的應(yīng)用也可能帶來安全風(fēng)險。IPv6 使用IPSec，IPSec在很多網(wǎng)絡(luò)安全從業(yè)人員來看是把雙刃劍。IPv6 加密通道及自動配置功能，雖然讓端到端的通信更為便捷，但同時也可能更為危險。這不僅使現(xiàn)網(wǎng)防火墻的過濾功能變得困難，防火墻需要解析隧道信息，如果使用ESP 加密，三層以上的信息都是不可見的，使得控制難度大大增加。此外，還令傳統(tǒng)的基于特征檢測與分析的入侵檢測、內(nèi)容過濾及監(jiān)控審計系統(tǒng)失效，這些問題需要安全設(shè)備，必須具備可識別出攻擊報文的新方法與安全措施來解決。

3 IPv6 網(wǎng)絡(luò)安全防護(hù)建議

一般情況下，網(wǎng)絡(luò)安全設(shè)備無法解密IPSec 加密流量，僅能基于IP 地址來控制。但從目前的情況來看，這種“內(nèi)嵌”的IPSec 需要使用密鑰分發(fā)技術(shù)，總體上并不成熟，管理成本高。另外，由于網(wǎng)絡(luò)安全設(shè)備正常是無法解密IPSec 流量的，防火墻等網(wǎng)絡(luò)安全設(shè)備就無法在網(wǎng)絡(luò)應(yīng)用層來檢測IPSec 流量，從某種意義上講，系統(tǒng)的安全性得不到完整的保證。對于一般企業(yè)應(yīng)用，基于管理成本和安全性考慮，建議仍使用防火墻實(shí)現(xiàn)IPSec VPN 加解密，并在網(wǎng)關(guān)位置進(jìn)行IPS、狀態(tài)防火墻等安全檢查，待技術(shù)成熟后再部署端到端加密。

對于應(yīng)用層的攻擊，應(yīng)用層防御功能一般包括協(xié)議識別、IPS、反病毒、URL 過濾等，主要檢測報文的應(yīng)用層負(fù)載，幾乎不受網(wǎng)絡(luò)層協(xié)議IPv4／IPv6 影響，因此，大部分傳統(tǒng)IPv4 協(xié)議下的應(yīng)用層安全能力在IPv6 網(wǎng)絡(luò)中不受影響。但有少部分IPv4網(wǎng)絡(luò)協(xié)議在IPv6 網(wǎng)絡(luò)下自身需求發(fā)生了變化，比如DNS 協(xié)議升級到DNSIPv6，那么對應(yīng)的應(yīng)用層安全檢測需要根據(jù)協(xié)議變化進(jìn)行調(diào)整。

在現(xiàn)有安全設(shè)備上開啟IPv4／IPv6 雙棧功能后，IPv4／IPv6雙棧一般不會對安全設(shè)備的功能產(chǎn)生影響，主要影響設(shè)備的性能，因?yàn)镮Pv6 協(xié)議棧會擠占IPv4 業(yè)務(wù)的CPU 和內(nèi)存等資源，導(dǎo)致現(xiàn)有的IPv4 業(yè)務(wù)在會話表容量、新建速率、吞吐率上出現(xiàn)不同程度的下降。建議在升級／開啟IPv4／IPv6 雙棧前評估現(xiàn)有安全設(shè)備的處理能力，必要時可以替換現(xiàn)有安全設(shè)備，避免影響現(xiàn)有IPv4 業(yè)務(wù)。

此外，還有很多IPv6 安全問題需要考慮，現(xiàn)有安全設(shè)備的性能可能不足以支撐IPv6，比如IPS 或IDS，在IPv6 的環(huán)境下的檢測性能可能會下降，要進(jìn)行設(shè)備升級，這會是一筆較大的花費(fèi)。業(yè)務(wù)系統(tǒng)對于IPv6 可能并沒有做好準(zhǔn)備，IPv6 數(shù)據(jù)包的大多數(shù)處理需要在主機(jī)上完成，對于主機(jī)性能有更高的要求，也許負(fù)載均衡會被使用得越來越多。雙棧還是4to6 要仔細(xì)考慮，4to6 設(shè)備可能會帶來雙重威脅。

應(yīng)對這些也是有章法可循的，加強(qiáng)安全監(jiān)管，特別是針對加密安全通信的監(jiān)管，阻斷不必要的加密通信，制定和設(shè)置嚴(yán)格的訪問控制策略，必要時實(shí)施白名單。

4 結(jié)論

總之，隨著時間的推移和IPv6 網(wǎng)絡(luò)的大面積鋪開后，IPv6網(wǎng)絡(luò)的安全問題暴露得越來越多。我們需要在現(xiàn)有經(jīng)驗(yàn)的基礎(chǔ)上盡可能提前做好防護(hù)，對于未知的IPv6 網(wǎng)絡(luò)安全問題也要有一定的心理準(zhǔn)備和應(yīng)對方案。