校園網(wǎng)IPv6安全隱患及其對策

申健　朱婧

摘 要：IPv4因其存在的固有缺陷已不能滿足網(wǎng)絡(luò)服務(wù)和應(yīng)用的普及與發(fā)展需求，由IPv4向IPv6過渡是互聯(lián)網(wǎng)發(fā)展的必然趨勢。IPv6協(xié)議特有的安全特點(diǎn)在提高網(wǎng)絡(luò)安全性能的同時，也帶來了新的安全問題。介紹IPv4向IPv6過渡階段應(yīng)用的雙協(xié)議棧技術(shù)、隧道技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換/協(xié)議轉(zhuǎn)換技術(shù)，結(jié)合校園網(wǎng)的實(shí)際運(yùn)行情況，分析了雙協(xié)議棧網(wǎng)絡(luò)可能遇到的網(wǎng)絡(luò)安全隱患，并給出了相應(yīng)的對策。

關(guān)鍵詞：校園網(wǎng)；IPv4；IPv6；雙協(xié)議棧；安全隱患；對策

中圖分類號：TP393.1 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-1302（2015）04-00-03

0 引 言

互聯(lián)網(wǎng)的飛速發(fā)展使得各種網(wǎng)絡(luò)服務(wù)和應(yīng)用日益豐富，人類的日常生產(chǎn)和生活已經(jīng)越來越依賴于網(wǎng)絡(luò)這個交流平臺。但現(xiàn)有的互聯(lián)網(wǎng)則是基于IPv4技術(shù)使用32位地址段，最多能提供約43億個IP地址。隨著互聯(lián)網(wǎng)的進(jìn)一步發(fā)展，以IPv4技術(shù)為基礎(chǔ)的現(xiàn)有互聯(lián)網(wǎng)已不能滿足需要，其原因是IPv4地址資源已經(jīng)耗盡，在安全和服務(wù)質(zhì)量以及對移動、智能網(wǎng)絡(luò)的支持上都存在嚴(yán)重不足。新一代互聯(lián)網(wǎng)協(xié)議IPv6的主要特點(diǎn)是：擁有128位地址空間，解決了IP地址不足的問題；是可匯聚、分級的地址結(jié)構(gòu)，有效減少了各級路由表問題，提高服務(wù)質(zhì)量，方便使用；通過移動頭（Mobility Header）和返回路徑可達(dá)過程（Return Routability Procedure）能夠更好地支持移動性[1]。

互聯(lián)網(wǎng)能否健康發(fā)展，安全是至關(guān)重要的因素之一。IPv6通過內(nèi)置的IPSec安全協(xié)議和對網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行加密保證了數(shù)據(jù)的完整性和機(jī)密性，使得端對端數(shù)據(jù)傳輸具有較高的安全特性[2]。但僅僅這樣并不能代表IPv6網(wǎng)絡(luò)的安全可靠，隨著該技術(shù)的廣泛應(yīng)用，其協(xié)議本身存在的安全問題、對入侵攻擊的防護(hù)等都為進(jìn)一步發(fā)展帶來了安全隱患。本文結(jié)合長安大學(xué)具體情況，分析校園網(wǎng)IPv6網(wǎng)絡(luò)在實(shí)際中遇到的安全問題，討論其解決方法。

1 IPv6的安全優(yōu)勢

IPv6是網(wǎng)絡(luò)技術(shù)史上的一次重要升級，它從最初設(shè)計(jì)時就對安全問題進(jìn)行了關(guān)注，因此和IPv4相比，IPv6在IP層擁有更高的安全性。

1.1 IPSec（Internet Protocol Security）安全性機(jī)制

IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在Internet協(xié)議網(wǎng)絡(luò)層上進(jìn)行保密而安全的通訊。IPSec的安全特性屬于IPv6協(xié)議的外在安全特性，作為一種協(xié)議套件它可以“無縫”地為IP提供安全保障[3]。但實(shí)質(zhì)上可以說IPSec對于IPv4更像一個補(bǔ)丁程序，而對IPv6它已經(jīng)被看做是協(xié)議整體的一部分。

IPSec的結(jié)構(gòu)體系包括3部分：

（1）AH（Authentication Header）身份驗(yàn)證協(xié)議，為數(shù)據(jù)包提供身份驗(yàn)證功能。

（2）ESP（Encapsulated Security Payload）安全載荷協(xié)議，為數(shù)據(jù)包提供加密保證防止篡改。

（3）IKE（Internet Key Exchange）密鑰交換協(xié)議，為數(shù)據(jù)包交流安全提供保障。

這3個基本協(xié)議用來提供來源認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性和訪問控制等保護(hù)形式。除此之外，還有密鑰管理協(xié)議ISAKMP（提供共享安全信息）、解釋域、算法和策略[4]等。如圖1所示，IPSec增強(qiáng)了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

1.2 IPv6特有的安全性

IPv6擁有128位的地址空間，理論上能提供2128-1個地址。與IPv4不同，IPv6的子網(wǎng)掩碼是64位，每一個網(wǎng)段約有264個地址。對于如此巨大的地址空間來說掃描整個子網(wǎng)需要的時間極其漫長，這就對通過自動掃描來查殺繁殖的網(wǎng)絡(luò)病毒造成了極大的困難。

在IPv4網(wǎng)絡(luò)中，每一個IPv4地址或者子網(wǎng)都可以分布在全世界任何一個地方，這種情況使得假冒IPv4源地址成為一件很容易的事，黑客可以使用隨機(jī)產(chǎn)生的地址來作為攻擊數(shù)據(jù)包的源地址。與IPv4不同，IPv6是可匯聚、分級的地址結(jié)構(gòu)，即IPv6上級互聯(lián)網(wǎng)供應(yīng)商可以對自己客戶的地址段進(jìn)行匯聚，在路由器或者網(wǎng)關(guān)設(shè)備中對網(wǎng)絡(luò)流量進(jìn)行過濾，只允許客戶地址范圍內(nèi)的源地址通過。這樣，黑客就不能使用任意IP來假冒源地址，而且能夠使跟蹤和回溯假冒地址變得很容易[5]。

2 IPv6的安全缺陷

與IPv4相比，IPv6在數(shù)據(jù)保密性、完整性和網(wǎng)絡(luò)的可控性及抗攻擊性等方面都有了較大改善，一些IPv4網(wǎng)絡(luò)中常見的攻擊在IPv6網(wǎng)絡(luò)中已經(jīng)失效，但使用證明其仍然存在不少安全問題。

2.1 來自非網(wǎng)絡(luò)層的攻擊

IPv4和IPv6都是工作在網(wǎng)絡(luò)層上通過IP地址屏蔽底層不同的物理網(wǎng)絡(luò)，并對傳輸層提供服務(wù)的協(xié)議。與IPv4相比，IPv6網(wǎng)絡(luò)中數(shù)據(jù)包傳輸?shù)幕緳C(jī)制并沒有改變，仍然是在控制平面學(xué)習(xí)路由并通過已知的路由信息轉(zhuǎn)發(fā)數(shù)據(jù)包。因此，IPv4網(wǎng)絡(luò)中來自除去網(wǎng)絡(luò)層的其他層面中的攻擊在IPv6網(wǎng)絡(luò)中依然會出現(xiàn)。例如，通過TCP中存在的漏洞發(fā)動針對網(wǎng)絡(luò)路由器的“重啟式”攻擊，通過偽造MAC欺騙數(shù)據(jù)鏈路層設(shè)備[6]，以及DNS的安全性、SNMP的安全性和木馬、蠕蟲等都屬于這一類。

2.2 ICMPv6的缺陷

ICMPv6[7]即互聯(lián)網(wǎng)控制信息協(xié)議版本6，它包括了IPv4中的IMCP功能和ARP功能，是IPv6的重要組成部分。IPv6網(wǎng)絡(luò)正常工作需要ICMPv6協(xié)議，不能像IPv4網(wǎng)絡(luò)一般將其禁用，這就導(dǎo)致ICMPv6會被利用產(chǎn)生拒絕服務(wù)攻擊，以及偽造其他節(jié)點(diǎn)產(chǎn)生諸如超時、不可達(dá)和參數(shù)錯誤等信息，從而影響正常通信。

2.3 鄰居發(fā)現(xiàn)協(xié)議的漏洞

鄰居發(fā)現(xiàn)協(xié)議是IPv6的基礎(chǔ)協(xié)議，用來發(fā)現(xiàn)同一鏈路上的其他節(jié)點(diǎn)、進(jìn)行地址解析和鄰居不可達(dá)檢測等。但利用鄰居發(fā)現(xiàn)協(xié)議，能夠通過發(fā)送錯誤的路由器宣告和錯誤的重定向消息，讓數(shù)據(jù)包流向不確定的地方，進(jìn)而可能出現(xiàn)拒絕服務(wù)、攔截和修改數(shù)據(jù)包等現(xiàn)象[8]。

2.4 無狀態(tài)地址分配的隱患

雖然無狀態(tài)地址分配[9]這一技術(shù)為合法的網(wǎng)絡(luò)用戶使用IPv6網(wǎng)絡(luò)帶來了方便，但無狀態(tài)地址分配中的地址沖突檢測機(jī)制也給網(wǎng)絡(luò)造成了安全隱患。該協(xié)議認(rèn)為任何自動配置的節(jié)點(diǎn)都是合法節(jié)點(diǎn)，新節(jié)點(diǎn)只要回復(fù)對臨時地址進(jìn)行的鄰居請求，請求方就會認(rèn)為地址已經(jīng)被使用而放棄該臨時地址，這樣攻擊者就能順利地連接到本地網(wǎng)絡(luò)中。

2.5 移動IPv6的安全問題

移動IPv6[10]中也存在不少安全問題，例如由錯誤的綁定信息而引起的拒絕服務(wù)攻擊、劫持攻擊、中間人攻擊和假冒攻擊等。

3 校園網(wǎng)IPv6的安全隱患

IPv4網(wǎng)絡(luò)在向IPv6網(wǎng)絡(luò)的過渡過程中一般應(yīng)用三種過渡技術(shù)，即雙協(xié)議棧技術(shù)、隧道技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。

3.1 過渡技術(shù)分析

（1）雙協(xié)議棧技術(shù)指的是單個網(wǎng)絡(luò)節(jié)點(diǎn)上既有IPv4棧又有IPv6棧，能夠同時支持IPv4和IPv6兩種協(xié)議，即該節(jié)點(diǎn)不但能與IPv4協(xié)議節(jié)點(diǎn)進(jìn)行通信，還能與IPv6節(jié)點(diǎn)進(jìn)行通信。這種技術(shù)在過渡初期是必須的，它能夠解決IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間的兼容問題，而雙協(xié)議棧技術(shù)也是其他過渡技術(shù)的基礎(chǔ)[10]。

（2）隧道技術(shù)是指將一種協(xié)議的報頭封裝在另一種協(xié)議里面來進(jìn)行通信。IPv6隧道就是將IPv6數(shù)據(jù)封裝在IPv4的數(shù)據(jù)報中，等達(dá)到另一端后再進(jìn)行解封。對于過渡過程中出現(xiàn)的“IPv6孤島”，隧道技術(shù)能夠使它在“IPv4海洋”中進(jìn)行通信，但不能實(shí)現(xiàn)IPv4節(jié)點(diǎn)與IPv6節(jié)點(diǎn)之間的通信。

（3）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層上實(shí)現(xiàn)協(xié)議之間的轉(zhuǎn)換，能夠使純IPv4節(jié)點(diǎn)和純IPv6節(jié)點(diǎn)之間進(jìn)行通信。因其地址和協(xié)議都在網(wǎng)絡(luò)設(shè)備上進(jìn)行轉(zhuǎn)換，不需要進(jìn)行升級。

3.2 校園網(wǎng)IPv6過渡技術(shù)應(yīng)用

長安大學(xué)校園網(wǎng)自開始建設(shè)至今，用戶數(shù)已超過3萬，整個校園網(wǎng)劃分為3個子網(wǎng)：教學(xué)科研及辦公區(qū)子網(wǎng)、住宅區(qū)子網(wǎng)和學(xué)生區(qū)子網(wǎng)。學(xué)校向Cernet（中國教育和科研計(jì)算機(jī)網(wǎng)）申請的真實(shí)地址段總計(jì)48個C類地址段約合1.2萬個地址。但真實(shí)地址數(shù)遠(yuǎn)遠(yuǎn)不能滿足實(shí)際需求，僅學(xué)生區(qū)子網(wǎng)用戶規(guī)模就超過1.3萬，只能使用私有IPv4地址。為解決IPv4真實(shí)地址匱乏并與國際互聯(lián)網(wǎng)技術(shù)同步發(fā)展，自2003年開始國家啟動了中國下一代互聯(lián)網(wǎng)示范工程“CNGI”項(xiàng)目，我校是其中的示范應(yīng)用單位之一。經(jīng)過幾年的建設(shè)發(fā)展，已建成了獨(dú)立的IPv6子網(wǎng)，搭建了IPv4和IPv6雙協(xié)議棧網(wǎng)絡(luò)及服務(wù)器，聯(lián)通了教育網(wǎng)的其他高校IPv6子網(wǎng)，實(shí)現(xiàn)了教育網(wǎng)內(nèi)部的IPv6網(wǎng)絡(luò)通信。具體做法是在教育網(wǎng)范圍內(nèi)通過獨(dú)立的光纖鏈路直接對IPv6資源進(jìn)行訪問，在校園網(wǎng)內(nèi)部采用雙協(xié)議棧技術(shù)；主機(jī)和路由器同時開啟IPv4和IPv6兩種協(xié)議，同時獲取到IPv4和IPv6兩個網(wǎng)絡(luò)地址。這樣，每一位校園網(wǎng)用戶都能同時訪問校園網(wǎng)內(nèi)外的IPv4和IPv6資源。

3.3 校園網(wǎng)IPv6的安全問題

雙協(xié)議棧技術(shù)讓校園網(wǎng)用戶能夠同時訪問IPv4和IPv6兩種網(wǎng)絡(luò)資源，在過渡階段達(dá)到IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)的兼容，如圖2所示。實(shí)際運(yùn)行狀態(tài)下通過網(wǎng)絡(luò)管理人員的反饋信息分析和所進(jìn)行的安全測試，結(jié)合雙協(xié)議棧技術(shù)本身的安全問題，發(fā)現(xiàn)并提出了校園網(wǎng)雙協(xié)議棧網(wǎng)絡(luò)可能出現(xiàn)的安全隱患。

（1）在規(guī)劃IPv6網(wǎng)絡(luò)的時候，若對地址前綴的指定以及采取依次降序或者升序來分配地址的方法，將使得IPv6的地址實(shí)際使用范圍大大縮小。其原因在于IPv6地址過長，管理員為了方便記憶經(jīng)常會給服務(wù)器配置比較特殊的IPv6地址。這種做法會造成類似蠕蟲或者木馬的掃描漏洞程序能夠較為容易地發(fā)現(xiàn)網(wǎng)段中的重要服務(wù)器，并實(shí)施攻擊。

（2）雙協(xié)議棧路由器以隧道方式通過IPv4網(wǎng)絡(luò)傳送IPv6包，一旦IPv4設(shè)備被入侵并激活隧道，攻擊者就能夠繞過網(wǎng)絡(luò)過濾和防御系統(tǒng)，對其他節(jié)點(diǎn)進(jìn)行攻擊。

（3）雙協(xié)議棧網(wǎng)絡(luò)的節(jié)點(diǎn)都是雙棧節(jié)點(diǎn)，其結(jié)合隧道技術(shù)已解決純IPv6網(wǎng)絡(luò)中主機(jī)與IPv4主機(jī)的互連問題。雙協(xié)議棧網(wǎng)絡(luò)的網(wǎng)關(guān)（即隧道終結(jié)點(diǎn)TEP）保留有主機(jī)IPv4和IPv6地址的映射表，并利用映射表進(jìn)行IPv4包的封裝和解封。在TEP收到一個攜帶IPv4的IPv6數(shù)據(jù)包時，它會使用包內(nèi)攜帶的IPv6和IPv4源地址和目的地址，通過動態(tài)隧道接口（DTI）創(chuàng)建一個IPv4 in IPv6隧道，如果在部署雙協(xié)議棧IPv6網(wǎng)絡(luò)的TEP時，TEP和雙協(xié)議棧服務(wù)器不在同一臺主機(jī)上，就沒辦法檢查網(wǎng)關(guān)建立的隧道和雙協(xié)議棧服務(wù)器的分配對應(yīng)關(guān)系。當(dāng)攻擊方使用相同IPv4源地址發(fā)送IPv4 in IPv6數(shù)據(jù)包，原有的隧道會被新建立的隧道所取代，這就達(dá)成了欺騙攻擊的目的[11]。

（4）雙協(xié)議棧網(wǎng)絡(luò)同時擁有IPv4和IPv6兩種協(xié)議，因此如果其中任意一種協(xié)議遭受到攻擊，就會影響整個網(wǎng)絡(luò)。

4 相關(guān)問題的對策

由于雙協(xié)議棧網(wǎng)絡(luò)兩種IP協(xié)議共存，處于現(xiàn)有網(wǎng)絡(luò)到新一代網(wǎng)絡(luò)技術(shù)的過渡時期，因此整個網(wǎng)絡(luò)環(huán)境復(fù)雜，對安全的需求范圍更加廣泛。為此，結(jié)合長安大學(xué)校園網(wǎng)IPv6在建設(shè)和實(shí)際運(yùn)行中遇到的安全問題，提出相應(yīng)的對策：

（1）IPv6地址規(guī)劃：在使用IPv6地址的時候，網(wǎng)絡(luò)管理員應(yīng)該將地址段充分利用，擴(kuò)大地址應(yīng)用范圍。即在配置時減少服務(wù)器地址的特殊性，以此來增加掃描類病毒程序的攻擊難度，降低網(wǎng)絡(luò)安全隱患。

（2）接入認(rèn)證：首先雙協(xié)議棧網(wǎng)絡(luò)用戶通過客戶端或者Web網(wǎng)頁等認(rèn)證方式進(jìn)行基于IPv4協(xié)議認(rèn)證，在用戶名、密碼通過后，終端依次啟用鄰居發(fā)現(xiàn)協(xié)議NDP、DHCPv6來獲得IPv6接口地址、網(wǎng)絡(luò)前綴和DNS等參數(shù)。

（3）接入控制：在雙協(xié)議棧服務(wù)器上應(yīng)用接入權(quán)限控制策略，允許IPv6隧道通過雙協(xié)議棧服務(wù)器認(rèn)定終端的信息，禁止其他訪問。

（4）如果隧道終結(jié)點(diǎn)和雙協(xié)議棧服務(wù)器不在同一物理設(shè)備上，為防止欺騙攻擊，需要應(yīng)用動態(tài)隧道通信協(xié)議，這可通過IPsec的AH協(xié)議來解決。

（5）對隧道終結(jié)點(diǎn)上創(chuàng)建的隧道和雙協(xié)議棧服務(wù)器上的分配數(shù)據(jù)進(jìn)行監(jiān)控，檢查與分配相對應(yīng)隧道的正確性。

（6）配置支持IPv4和IPv6兩種協(xié)議的防火墻設(shè)備，隔絕類似蠕蟲或者木馬等程序的端口掃描信息，阻止外部網(wǎng)絡(luò)的漏洞攻擊，以此保護(hù)雙協(xié)議棧內(nèi)部網(wǎng)絡(luò)免遭病毒或者黑客入侵。

5 結(jié) 語

IPv6作為新一代互聯(lián)網(wǎng)協(xié)議具備地址空間大、報文安全靈活等特點(diǎn)，但是由于IPv4網(wǎng)絡(luò)基礎(chǔ)龐大，從IPv4向IPv6過渡將是一個非常漫長的過程，在此期間網(wǎng)絡(luò)安全問題成為網(wǎng)絡(luò)管理者需要重點(diǎn)關(guān)注并予以解決的問題之一。與IPv4相比，IPv6雖然在性能和安全機(jī)制方面有較大地提升，但并不代表它就是安全的，病毒、木馬、漏洞攻擊等手段依舊會對IPv6網(wǎng)絡(luò)造成嚴(yán)重威脅。目前，各高校都在大力開展IPv6網(wǎng)絡(luò)建設(shè)，但針對IPv6網(wǎng)絡(luò)的安全機(jī)制還不能滿足其發(fā)展需要。本文對校園網(wǎng)IPv6網(wǎng)絡(luò)的安全隱患和安全機(jī)制進(jìn)行了探討，由于針對IPv6應(yīng)用的服務(wù)器和防火墻在價格和技術(shù)方面還不能滿足需求，現(xiàn)階段只能通過地址規(guī)劃和接入認(rèn)證等方法強(qiáng)化網(wǎng)絡(luò)安全保障，而實(shí)際應(yīng)用表明并未出現(xiàn)嚴(yán)重的安全問題。

IPv6網(wǎng)絡(luò)的發(fā)展是大勢所趨，IPv6網(wǎng)絡(luò)的安全機(jī)制研究也將是一項(xiàng)長期而復(fù)雜的工作。

參考文獻(xiàn)

[1] 李振強(qiáng)，趙曉宇，馬嚴(yán).IPv6安全脆弱性研究[J].計(jì)算機(jī)應(yīng)用研究，2006（11）：109-112.

[2] 時晨，申普兵，楊瑾，等.IPv6校園網(wǎng)環(huán)境下IPSecVPN的安全性研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（10）：167-170.

[3] 唐述科，李漢菊.IPv6鄰居發(fā)現(xiàn)協(xié)議的安全性分析[J].信息安全與通信保密，2006（9）：101-101.

[4] 譚海波，景鳳宣，王家瑋，等.基于校園網(wǎng)的IPv6安全協(xié)議分析與應(yīng)用研究[J].山東大學(xué)學(xué)報（理學(xué)版），2012，47（11）：54-58.

[5] 張?jiān)拦畲笈d.IPv6 下的網(wǎng)絡(luò)攻擊和入侵分析[J].計(jì)算機(jī)科學(xué)，2006，33（2）：100-102.

[6] US-CERT. Vulnerabilities in TCP [EB/OL]. http//www. us-certgov/cas/techalerts/TA04-111A.html，2004-04-20.

[7] RFC2463.Internet Control Message Protocol（ICMPv6） for the Internet Protocol version 6（IPv6）Specification[S].

[8] 蘇明，顏世峰.IPv6校園網(wǎng)入侵檢測系統(tǒng)設(shè)計(jì)[J].小型微型計(jì)算機(jī)系統(tǒng)，2009，30（3）：480-483.

[9] Tnomson S.，Narten T..IPv6 stateless address autoconfiguration.RFC2462，Internet Engineering Task Force，1998.

[10] 李航.雙協(xié)議棧技術(shù)在高校IPv4向IPv6過渡中的應(yīng)用研究[J].煤炭技術(shù)，2012，31（5）：233-234.

[11] 霍然.一種基于雙協(xié)議棧轉(zhuǎn)換機(jī)制的IPv6網(wǎng)絡(luò)安全研究[J].遼寧師專學(xué)報（自然科學(xué)版），2008，10（4）：40-42.