IPv6安全防護(hù)分析

東帆

近日，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，加快推進(jìn)IPv6規(guī)模部署，構(gòu)建高速率、廣普及、全覆蓋以及智能化的下一代互聯(lián)網(wǎng)。

隨著計(jì)劃實(shí)施推行以及移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的大力發(fā)展，我國(guó)整個(gè)網(wǎng)絡(luò)環(huán)境將發(fā)生翻天覆地的變化，全產(chǎn)業(yè)鏈已蓄勢(shì)待發(fā)，目前IPv6根服務(wù)器架設(shè)中國(guó)開(kāi)始部署，IPv6城域網(wǎng)、政府網(wǎng)站IPv6雙?；脑?、IPv6城市公共無(wú)線(xiàn)網(wǎng)絡(luò)等均已開(kāi)始試點(diǎn)和部署，互聯(lián)網(wǎng)BAT部分內(nèi)容已支持IPv6訪(fǎng)問(wèn)，流量增長(zhǎng)迅速，新的網(wǎng)絡(luò)環(huán)境以及新興領(lǐng)域?qū)⒚媾R新的安全挑戰(zhàn)。

按照部署計(jì)劃，到2018年末，IPv6活躍用戶(hù)數(shù)達(dá)到2億，在互聯(lián)網(wǎng)用戶(hù)中的占比不低于20%，到2020年末，IPv6活躍用戶(hù)數(shù)超過(guò)5億，在互聯(lián)網(wǎng)用戶(hù)中的占比超過(guò)50%，新增網(wǎng)絡(luò)地址不再使用私有IPv4地址，到2025年末，我國(guó)IPv6網(wǎng)絡(luò)規(guī)模、用戶(hù)規(guī)模、流量規(guī)模位居世界第一位，網(wǎng)絡(luò)、應(yīng)用、終端全面支持IPv6，全面完成向下一代互聯(lián)網(wǎng)的平滑演進(jìn)升級(jí)，形成全球領(lǐng)先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系。

針對(duì)IPv6安全，計(jì)劃中重點(diǎn)要求升級(jí)安全系統(tǒng)，強(qiáng)化IPv6地址管理，增強(qiáng)IPv6安全防護(hù)，加強(qiáng)IPv6環(huán)境工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等領(lǐng)域的網(wǎng)絡(luò)安全技術(shù)、管理及機(jī)制研究，構(gòu)筑新興領(lǐng)域安全保障能力。

IPv6協(xié)議介紹

IPv6（Internet Protocol version 6，互聯(lián)網(wǎng)通信協(xié)議第6版）是數(shù)據(jù)包交換互聯(lián)網(wǎng)絡(luò)的網(wǎng)絡(luò)層協(xié)議，主要用于尋址和路由，是IETF（互聯(lián)網(wǎng)工程任務(wù)小組Internet Engineering Task Force，簡(jiǎn)稱(chēng)IETF）設(shè)計(jì)用來(lái)替代IPv4協(xié)議的，在早期協(xié)議發(fā)展階段，IPv6也叫做IPng。

IETF自1990年開(kāi)始，開(kāi)始規(guī)劃IPv4的下一代協(xié)議，除要解決IP地址短缺問(wèn)題外，還要進(jìn)行更多擴(kuò)展。1994年，IETF會(huì)議中正式提議IPv6發(fā)展計(jì)劃，并于1998年8月成為IETF的草案標(biāo)準(zhǔn)，最終IPv6在1998年底被IETF通過(guò)公布互聯(lián)網(wǎng)標(biāo)準(zhǔn)規(guī)范（RFC 2460）的方式定義正式發(fā)布。

目前隨著移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的大力發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)與人們的生活密切相關(guān)，可能身邊的每一樣電子設(shè)備都需要連入網(wǎng)絡(luò)，IP地址需求量劇增，同時(shí)IPv4地址越來(lái)越緊缺，IPv6的發(fā)展越來(lái)越迫切。

1. IPv6發(fā)展的主要原因如下：

①128位的地址空間：IPv6由128 Bits構(gòu)成，單從數(shù)量級(jí)上來(lái)說(shuō)，IPv6所擁有的地址容量是IPv4的約8×1 028倍，達(dá)到2 128個(gè)巨大的地址空間，不但解決了網(wǎng)絡(luò)地址資源數(shù)量的問(wèn)題，同時(shí)也為物聯(lián)網(wǎng)的發(fā)展提供了基礎(chǔ)。

②層次化的路由結(jié)構(gòu)，而這是當(dāng)前IPv4無(wú)法滿(mǎn)足的：

分層匯總（Public、Site、Interface）；

更為簡(jiǎn)單的ACL；

更少的路由條目。

③實(shí)現(xiàn)真正的點(diǎn)到點(diǎn)通信，而不是NAT。

④對(duì)安全傳輸?shù)膬?nèi)在支持，提供更為安全的數(shù)據(jù)傳輸。

⑤對(duì)數(shù)據(jù)報(bào)文進(jìn)行簡(jiǎn)化，提供更快的數(shù)據(jù)包處理。

⑥支持移動(dòng)IPv6，提供穩(wěn)定的移動(dòng)網(wǎng)絡(luò)服務(wù)。

⑦自動(dòng)配置、即插即用。

⑧流標(biāo)簽提供更多的服務(wù)質(zhì)量控制能力。

從報(bào)文頭結(jié)構(gòu)對(duì)比看，IPv6借鑒了IPv4的應(yīng)用經(jīng)驗(yàn)，大大簡(jiǎn)化了基本報(bào)頭結(jié)構(gòu)，僅包含8個(gè)字段，IPv6中所有非核心功能都由擴(kuò)展報(bào)頭實(shí)現(xiàn)。

2. IPv4和IPv6報(bào)文頭主要差異點(diǎn)如下：

①I(mǎi)Pv6簡(jiǎn)化報(bào)頭和數(shù)據(jù)長(zhǎng)度計(jì)算：報(bào)頭長(zhǎng)度字段已經(jīng)不在IPv6基本報(bào)頭中使用，只使用一個(gè)字段來(lái)標(biāo)示數(shù)據(jù)凈荷的總長(zhǎng)度；

②更好支持DiffServ QoS服務(wù)：IPv4報(bào)頭的服務(wù)類(lèi)型字段在IPv6中該字段被擴(kuò)展為業(yè)務(wù)流類(lèi)型和流標(biāo)簽2個(gè)獨(dú)立的字段；

③取消中間分片：IPv4報(bào)頭為數(shù)據(jù)分片提供了數(shù)據(jù)報(bào)文ID、分片標(biāo)志、分片偏移值3個(gè)字段，目前有許多針對(duì)這3個(gè)字段的攻擊手段，IPv6采用Path MTU發(fā)現(xiàn)機(jī)制，避免了中間路由器的分片處理，消除了一些安全隱患；

④取消校驗(yàn)和字段：許多IPv4后續(xù)報(bào)文頭如ICMP、UDP和TCP中均含有同時(shí)覆蓋基本報(bào)頭和數(shù)據(jù)部分的檢驗(yàn)和字段，因此IPv4報(bào)頭中校驗(yàn)和字段是多余的，此字段在IPv6基礎(chǔ)報(bào)頭中已經(jīng)取消；

⑤對(duì)選項(xiàng)功能的處理：IPv6采用擴(kuò)展報(bào)頭實(shí)現(xiàn)選項(xiàng)功能，解決了IPv4中帶有選項(xiàng)內(nèi)容的數(shù)據(jù)包不能被高效傳輸?shù)膯?wèn)題，也使得IPsec以及未來(lái)可能出現(xiàn)的新的安全協(xié)議的采用更加方便。

從報(bào)文頭結(jié)構(gòu)對(duì)比可見(jiàn)，IPv4協(xié)議報(bào)文頭結(jié)構(gòu)冗余，影響轉(zhuǎn)發(fā)效率，同時(shí)缺乏對(duì)端到端安全、QoS、移動(dòng)互聯(lián)網(wǎng)安全的有效支持，而IPv6協(xié)議重點(diǎn)針對(duì)上述幾個(gè)方面進(jìn)行了改進(jìn)，采用了更加精簡(jiǎn)有效的報(bào)文頭結(jié)構(gòu)，IPv6協(xié)議選項(xiàng)字段都放在擴(kuò)展頭中，中間轉(zhuǎn)發(fā)設(shè)備不需要處理所有擴(kuò)展報(bào)文頭，提高數(shù)據(jù)包處理速度，并且通過(guò)擴(kuò)展選項(xiàng)實(shí)現(xiàn)IPsec安全加密傳輸和對(duì)移動(dòng)互聯(lián)網(wǎng)安全的支持。

從協(xié)議族來(lái)看，IPv6協(xié)議族相對(duì)于IPv4協(xié)議族，基本部分也發(fā)生了較大的變化，如ARP協(xié)議被NDP代替，ICMPv6合并了IPv4中的ICMP，IGMP、ARP、RARP和RA等多個(gè)協(xié)議的功能。

IPv6協(xié)議設(shè)計(jì)的安全考慮

從協(xié)議的角度，IPv4協(xié)議誕生較早，前期設(shè)計(jì)幾乎沒(méi)有任何的安全考慮，因此特別是對(duì)報(bào)文地址的偽造與欺騙使得無(wú)法對(duì)網(wǎng)絡(luò)進(jìn)行很有效的監(jiān)管和控制，而在IPv6協(xié)議設(shè)計(jì)之初，引入了認(rèn)證包頭（AH）、封裝安全載荷（ESP）、安全關(guān)聯(lián)（SA）、密鑰管理協(xié)議（IKMP）等加密和認(rèn)證機(jī)制，并強(qiáng)制實(shí)現(xiàn)了IPsec協(xié)議族認(rèn)證，IPsec協(xié)議族中的報(bào)文認(rèn)證頭（AH，Authentication Header）和報(bào)文封裝安全載荷（ESP，Encapsulation Security Payload）內(nèi)嵌到協(xié)議棧中，作為IPv6的擴(kuò)展頭出現(xiàn)在IP報(bào)文中，提供完整性、保密性和源認(rèn)證保護(hù)，從協(xié)議設(shè)計(jì)上較大地提升安全性。

IPv6協(xié)議安全設(shè)計(jì)相比IPv4主要有如下增強(qiáng)：

可溯源和防攻擊：IPv6地址資源豐富，不需要部署NAT，掃描困難。

IPv6的默認(rèn)IPsec安全加密機(jī)制：IPv6協(xié)議中集成了IPsec，通過(guò)認(rèn)證報(bào)頭（AH）和封裝安全載荷報(bào)頭（ESP）2個(gè)擴(kuò)展頭實(shí)現(xiàn)加密、驗(yàn)證功能，中間轉(zhuǎn)發(fā)設(shè)備只需要對(duì)帶有IPsec擴(kuò)展包頭的報(bào)文進(jìn)行普通轉(zhuǎn)發(fā)，大大減輕轉(zhuǎn)發(fā)壓力。

NDP和SEND：采用NDP協(xié)議取代現(xiàn)有IPv4中ARP及部分ICMP控制功能如路由器發(fā)現(xiàn)、重定向等。

真實(shí)源地址檢查體系：真實(shí)源IPv6地址驗(yàn)證體系結(jié)構(gòu)（SAVA）分為接入網(wǎng)（Access Network）、區(qū)域內(nèi)（Intra-AS）和區(qū)域間（Inter-AS）源地址驗(yàn)證3個(gè)層次，從主機(jī)IP地址、IP地址前綴和自治域3個(gè)力度構(gòu)成多重監(jiān)控防御體系。

特別對(duì)于IPv4網(wǎng)絡(luò)地址而言，數(shù)量非常有限，因此很多時(shí)候是一個(gè)地址被多臺(tái)主機(jī)通過(guò)NAT等技術(shù)共用。使用IPv6之后，可以將每個(gè)地址指定給一個(gè)對(duì)象，每個(gè)地址唯一，IPv6的地址分配可采用逐級(jí)、層次化的結(jié)構(gòu)，這將使得追蹤定位、攻擊溯源得到很大的改善，用戶(hù)、報(bào)文和攻擊關(guān)聯(lián)對(duì)應(yīng)，用戶(hù)對(duì)自己的任何行為負(fù)責(zé)，并具有不可否認(rèn)性。

IPv6協(xié)議也定義了多播地址類(lèi)型，而取消了IPv4下的廣播地址，可有效避免IPv4網(wǎng)絡(luò)中利用廣播地址發(fā)起的廣播風(fēng)暴攻擊和DDoS攻擊。同時(shí)，IPv6協(xié)議規(guī)定了不允許向使用多播地址的報(bào)文回復(fù)ICMPv6差錯(cuò)消息，能有效防止ICMPv6報(bào)文造成的放大攻擊。

另外，IPsec協(xié)議族中的AH和ESP安全擴(kuò)展包頭為IPv6核心的安全機(jī)制和設(shè)計(jì)，提供了關(guān)鍵的加密和認(rèn)證機(jī)制。

AH是IPv6的一個(gè)安全擴(kuò)展包頭，在RFC4302中定義，協(xié)議號(hào)為51。IPv6的認(rèn)證主要由AH來(lái)完成。認(rèn)證包頭通過(guò)在所有數(shù)據(jù)包頭加入一個(gè)密鑰，通過(guò)AH使數(shù)據(jù)包的接收者可以驗(yàn)證數(shù)據(jù)是否真的是從它的源地址發(fā)出的，并提供密碼驗(yàn)證或完整性測(cè)試。這種認(rèn)證是IP數(shù)據(jù)包通過(guò)一定加密算法得出的編碼結(jié)果，相當(dāng)于對(duì)IP數(shù)據(jù)包進(jìn)行數(shù)字簽名，只有密鑰持有人才知道的“數(shù)字簽名”來(lái)對(duì)用戶(hù)進(jìn)行認(rèn)證，同時(shí)接收者可通過(guò)該簽名驗(yàn)證數(shù)據(jù)包的完整性。

AH的驗(yàn)證范圍與ESP有所區(qū)別，包括了整個(gè)IPv6數(shù)據(jù)包。AH位于IPv6頭和一些上層協(xié)議頭之間，如果存在擴(kuò)展包頭，則AH必須位于逐跳選項(xiàng)頭、選路擴(kuò)展頭和分段擴(kuò)展頭之后。ESP也是IPv6的一個(gè)安全擴(kuò)展包頭，在RFC4303中定義，協(xié)議號(hào)為50。其對(duì)IPv6數(shù)據(jù)包的有效載荷部分加密，不包括IPv6包頭部分，能為IP層提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重放以及數(shù)據(jù)完整性檢驗(yàn)等安全服務(wù)，其中數(shù)據(jù)機(jī)密性是ESP的主要功能，其他均為可選。ESP頭位于IPv6頭和上層協(xié)議之間，如果存在擴(kuò)展包頭，則ESP頭必須位于逐跳選項(xiàng)頭、選路擴(kuò)展頭、分段擴(kuò)展頭和認(rèn)證頭之后。由于ESP只對(duì)ESP頭之后的數(shù)據(jù)加密，所以通常將目的地選項(xiàng)頭置于ESP頭之后。ESP和AH各擴(kuò)展包頭可以單獨(dú)使用，也可以一起使用。

IPv6網(wǎng)絡(luò)安全威脅分析

IPv6相對(duì)于IPv4，除了和IPv4相同的安全威脅外，新增部分主要來(lái)自于協(xié)議族、協(xié)議報(bào)文格式、自身設(shè)計(jì)實(shí)現(xiàn)、IPv4向IPv6的演進(jìn)過(guò)程中新增或者變化引入的安全威脅。

1. IPv6與IPv4共同的安全威脅

IPv6與IPv4同為網(wǎng)絡(luò)層協(xié)議，有共同的安全威脅如下：

①未配置IPsec可實(shí)施網(wǎng)絡(luò)嗅探，可能導(dǎo)致信息泄露；

②應(yīng)用層攻擊導(dǎo)致的漏洞大多數(shù)在網(wǎng)絡(luò)層無(wú)法消除；

③設(shè)備仿冒接入網(wǎng)絡(luò)；

④未實(shí)施雙向認(rèn)證情況下可實(shí)施中間人攻擊Man-in-the-Middle Attacks（MITM）；

⑤泛洪攻擊。

2. IPv6協(xié)議族新增安全威脅

IPv6相對(duì)于IPv4在協(xié)議族上發(fā)生了較大的變化，新增安全威脅如下：

①NDP攻擊：針對(duì)ARP的攻擊如ARP欺騙、ARP泛洪等在IPv6協(xié)議中仍然存在，同時(shí)IPv6新增的NS、NA也成為新的攻擊目標(biāo)，存在DoS攻擊、中間人攻擊等安全威脅。

②新增ICMPv6協(xié)議作為IPv6重要的組成部分，存在DoS攻擊、反射攻擊等安全威脅；

③IPv6支持無(wú)狀態(tài)的地址自動(dòng)分配，該功能可能造成非授權(quán)用戶(hù)可以更容易的接入和使用網(wǎng)絡(luò)，存在仿冒攻擊安全威脅；

④IPv6網(wǎng)絡(luò)環(huán)境下由于網(wǎng)絡(luò)掃描實(shí)施難度高，但仍可通過(guò)IPv6前綴信息搜集、隧道地址猜測(cè)、虛假路由通告及DNS查詢(xún)等手段搜集到活動(dòng)主機(jī)信息，通過(guò)DNS獲取IPv6地址范圍和主機(jī)信息可能會(huì)成為黑客優(yōu)選攻擊路徑，針對(duì)DNS系統(tǒng)的攻擊會(huì)更加猖獗；

⑤IPv6組播地址仍然支持，存在通過(guò)掃描、嗅探甚至仿冒關(guān)鍵DHCP Server、Router等安全威脅。

⑥IPv6路由協(xié)議攻擊：RIPng/PIM依賴(lài)IPsec，OSPFv3協(xié)議不提供認(rèn)證功能，而是使用IPv6的安全機(jī)制來(lái)保證自身報(bào)文的合法性，未配置IPv6安全機(jī)制，OSPFv3路由器存在仿冒的安全威脅；

⑦移動(dòng)IPv6仿冒偽造攻擊：移動(dòng)IPv6節(jié)點(diǎn)能夠在不改變IP地址的情況下，在任何地方接入網(wǎng)絡(luò)都能夠直接與其他節(jié)點(diǎn)通信，在提供可移動(dòng)性及方便通信的同時(shí)，由于移動(dòng)節(jié)點(diǎn)的不固定性，也給不法分子提供了攻擊的機(jī)會(huì)，存在偽造綁定更新消息等安全威脅；

⑧MLD仿冒及泛洪攻擊。

3. IPv6協(xié)議報(bào)文格式新增安全威脅

IPv6協(xié)議相關(guān)RFC標(biāo)準(zhǔn)在不斷的發(fā)展更新，協(xié)議自身也存在漏洞，所有遵循IPv6協(xié)議的設(shè)備都會(huì)受到該漏洞的影響，新增安全威脅如下：

①協(xié)議自身存在漏洞，如IPv6協(xié)議Type0路由頭拒絕服務(wù)漏洞，該漏洞已于2007年12月由RFC 5095修補(bǔ)，禁用了IPv6擴(kuò)展頭中的Type 0路由頭；

②IPv6分片攻擊；

③IPv6擴(kuò)展頭攻擊；

④ND DAD攻擊（Duplicate Address Detection）；

⑤ND Router Advertisement仿冒、DoS、中間人攻擊。

4. IPv6自身實(shí)現(xiàn)新增安全威脅

IPv6和IPv4協(xié)議一樣，設(shè)備與應(yīng)用在實(shí)現(xiàn)對(duì)IPv6協(xié)議的支持時(shí)，不同的系統(tǒng)開(kāi)發(fā)商因軟件開(kāi)發(fā)能力的不同，在IPv6協(xié)議軟件開(kāi)發(fā)、各種算法實(shí)現(xiàn)也會(huì)引入各種可能的安全漏洞。

從下一代互聯(lián)網(wǎng)國(guó)家工程中心全球IPv6測(cè)試中心2017年11月份發(fā)布的《2017 IPv6支持度報(bào)告》來(lái)看：

目前的操作系統(tǒng)中，75%左右都默認(rèn)安裝IPv6協(xié)議棧，65%左右支持DHCPv6，50%左右支持ND RNDSS。其中手機(jī)操作系統(tǒng)支持IPv6協(xié)議已經(jīng)從實(shí)驗(yàn)室走向了應(yīng)用階段，Android 4.2、iOs 4.1、Windows Phone 6.5、Symbian 7.0開(kāi)始都已經(jīng)支持IPv6，并且默認(rèn)安裝IPv6，自以上各手機(jī)系統(tǒng)版本后推出的新版本均支持IPv6。在DHCPv6功能上，IOS支持得比較好，從V4.0開(kāi)始支持stateless DHCPv6，V4.3.1支持Stateful DHCPv6。Windows Phone支持DHCPv6 Lite，Android系統(tǒng)不支持DHCPv6。在鄰居發(fā)現(xiàn)（ND）選項(xiàng)RDNSS功能上，IOS目前已經(jīng)支持ND RDNSS，Android 5.0以上已經(jīng)支持ND RDNSS。若一個(gè)操作系統(tǒng)不支持DHCPv6和ND RDNSS，則無(wú)法在純IPv6網(wǎng)絡(luò)環(huán)境中自動(dòng)配置查詢(xún)域名服務(wù)器。

各種應(yīng)用軟件也逐漸開(kāi)始支持IPv6以應(yīng)對(duì)廣大用戶(hù)的需求。但是目前并不普遍，只有一些基礎(chǔ)應(yīng)用軟件已經(jīng)支持IPv6。

基礎(chǔ)應(yīng)用軟件中有一小部分已可以支持IPv6，其中瀏覽器軟件，如IE系列、Chrome、Firefox和Opera等都支持IPv6；下載軟件和郵件客戶(hù)端軟件，如FileZilla3、SmartFTP4以及Outlook等都支持IPv6。但是國(guó)內(nèi)自主研發(fā)的基礎(chǔ)應(yīng)用軟件，除瀏覽器外，其他諸如下載軟件、即時(shí)通訊軟件等都尚無(wú)法在IPv6環(huán)境下正常使用。

各類(lèi)軟件安全實(shí)現(xiàn)不當(dāng)都可能引入IPv6協(xié)議安全漏洞，需要做好安全編碼及質(zhì)量保障活動(dòng)。

如下為典型的IPv6協(xié)議棧實(shí)現(xiàn)方面的漏洞。

Python getaddrinfo（）remote IPv6 buffer overflow

Apache remote IPv6 buffer overflow

Postfix IPv6 unauthorized mail relay vulnerability

Openbsd remote code execution in IPv6 stack

……

5. IPv4向IPv6演進(jìn)過(guò)程中新增安全威脅

IPv4向IPv6的過(guò)渡是一個(gè)長(zhǎng)期的過(guò)程，在IPv4與IPv6共存時(shí)期，為解決兩者間互通所采取的各種措施將帶來(lái)新的安全風(fēng)險(xiǎn)。例如，隧道方式下存在的拒絕服務(wù)攻擊、中間人攻擊，NAT-PT技術(shù)下存在的拒絕服務(wù)攻擊等。

IPv4向IPv6的演進(jìn)過(guò)程中涉及到雙棧、隧道以及翻譯技術(shù)，主要安全威脅如下：

①雙棧技術(shù)：許多操作系統(tǒng)都支持雙棧，IPv6默認(rèn)是激活的，但并沒(méi)有向IPv4一樣加強(qiáng)部署IPv6的安全策略，支持自動(dòng)配置，即使在沒(méi)有部署IPv6的網(wǎng)絡(luò)中，這種雙棧主機(jī)也可能受到IPv6協(xié)議攻擊。

②隧道技術(shù)：幾乎所有的隧道機(jī)制都沒(méi)有內(nèi)置認(rèn)證、完整性和加密等安全功能，攻擊者可以隨意截取隧道報(bào)文，通過(guò)偽造外層和內(nèi)層地址偽裝成合法用戶(hù)向隧道中注入攻擊流量，存在仿冒以及篡改泛洪攻擊安全威脅。

③翻譯技術(shù)：涉及載荷轉(zhuǎn)換，無(wú)法實(shí)現(xiàn)端到端IPsec，存在受到NAT設(shè)備常見(jiàn)的地址池耗盡等DDoS攻擊安全威脅。

互聯(lián)網(wǎng)IPv6網(wǎng)絡(luò)安全保障體系及策略探討

隨著基于IPv6的下一代網(wǎng)絡(luò)中應(yīng)用的增加、速度的加快和規(guī)模的變大，IPv6網(wǎng)絡(luò)面臨著新的安全風(fēng)險(xiǎn)。

對(duì)于互聯(lián)網(wǎng)網(wǎng)絡(luò)，安全是保證網(wǎng)絡(luò)健康發(fā)展的重要因素，IPv6網(wǎng)絡(luò)安全保障體系的配套建設(shè)作為IPv6網(wǎng)絡(luò)建設(shè)的重要方面，在IPv6網(wǎng)絡(luò)設(shè)計(jì)階段對(duì)網(wǎng)絡(luò)安全需要進(jìn)行通盤(pán)考慮，提升網(wǎng)絡(luò)架構(gòu)的整體安全性。

網(wǎng)絡(luò)安全保障體系可分為靜態(tài)安全防護(hù)體系以及動(dòng)態(tài)安全運(yùn)營(yíng)體系2個(gè)層面。

靜態(tài)安全防護(hù)體系根據(jù)ITU-T X.805標(biāo)準(zhǔn)（端到端通信系統(tǒng)安全框架），網(wǎng)絡(luò)可分為基礎(chǔ)設(shè)施層、業(yè)務(wù)層和應(yīng)用層，每個(gè)網(wǎng)絡(luò)層次可以劃分為管理、控制和數(shù)據(jù)3個(gè)平面。采用多種技術(shù)手段隔離管控，并在每個(gè)平面實(shí)施相應(yīng)安全防護(hù)措施，從而使每個(gè)平面在安全方面都具備訪(fǎng)問(wèn)控制、鑒別、不可抵賴(lài)、數(shù)據(jù)保密性、通信安全、完整性、可用性和隱私性8個(gè)屬性防護(hù)能力。

動(dòng)態(tài)安全運(yùn)營(yíng)體系通過(guò)安全檢測(cè)和響應(yīng)等安全基礎(chǔ)設(shè)施和相關(guān)安全管理組織、制度和流程的配套建設(shè)，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的動(dòng)態(tài)發(fā)現(xiàn)和管理。

與IPv4相比，可以共用相同的網(wǎng)絡(luò)整體安全保障體系，但在IPv4基礎(chǔ)網(wǎng)絡(luò)的前提下需要確定升級(jí)演進(jìn)到IPv6的策略，基于IPv6的特點(diǎn)和安全威脅分析，識(shí)別IPv6安全產(chǎn)品缺失的現(xiàn)狀并補(bǔ)齊，確定改造節(jié)奏，包括LVS、DNS等各類(lèi)型服務(wù)器、網(wǎng)絡(luò)設(shè)備、DDoS設(shè)備、防火墻等，升級(jí)安全系統(tǒng)，結(jié)合業(yè)務(wù)實(shí)際利用好IPv6協(xié)議本身的安全增強(qiáng)技術(shù)手段，增強(qiáng)IPv6安全防護(hù)，同時(shí)加強(qiáng)IPv6環(huán)境各業(yè)務(wù)領(lǐng)域特別是新興領(lǐng)域物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等的網(wǎng)絡(luò)安全技術(shù)、管理及機(jī)制研究，促進(jìn)新的安全業(yè)務(wù)和應(yīng)用的開(kāi)展，形成全球領(lǐng)先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系。

IPv6網(wǎng)絡(luò)安全加固建議

雖然IPv6相對(duì)于IPv4來(lái)說(shuō)增強(qiáng)了自身的安全機(jī)制，但一個(gè)新協(xié)議的引入必然會(huì)引入新的安全問(wèn)題，對(duì)已有的網(wǎng)絡(luò)安全技術(shù)體系造成影響，因此熟悉已有業(yè)務(wù)及網(wǎng)絡(luò)、IPv6現(xiàn)狀及其安全性并針對(duì)性部署安全加固非常重要。

針對(duì)不同的IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，有不同的安全應(yīng)對(duì)技術(shù)、措施和方法，需要采取合適自身的IPv6安全解決方案及措施，構(gòu)筑IPv6網(wǎng)絡(luò)安全及IPv6環(huán)境下新興領(lǐng)域安全保障能力。

以下是典型的IPv6網(wǎng)絡(luò)安全加固建議供參考。

做好IPv6網(wǎng)絡(luò)各層各面和各安全域的隔離及訪(fǎng)問(wèn)控制，將安全影響控制到最?。?/p>

合理管控IPv6管理、控制和數(shù)據(jù)平面之間的資源互訪(fǎng)，在各安全域根據(jù)各域的特點(diǎn)輔以相應(yīng)的安全保護(hù)和控制措施，實(shí)施雙棧的情況建議在IPv4/6雙棧設(shè)備上采用嚴(yán)格的網(wǎng)絡(luò)過(guò)濾和訪(fǎng)問(wèn)控制，防范IPv4和IPv6安全問(wèn)題的相互影響；

做好管理和控制平面IPv6網(wǎng)絡(luò)接入的認(rèn)證與鑒權(quán)，制定完善的邊界防護(hù)策略，防止惡意設(shè)備及用戶(hù)的接入，結(jié)合業(yè)務(wù)實(shí)際情況有效利用IPv6協(xié)議的IPsec特性、源地址過(guò)濾技術(shù)等加強(qiáng)平面內(nèi)的安全保護(hù)；

控制平面做好新增ICMPv6協(xié)議安全防護(hù)，建議根據(jù)實(shí)際情況選擇合適的安全措施，例如配置ACL白名單，僅允許必須的ICMPv6等報(bào)文通過(guò)，接口關(guān)閉ICMPv6重定向、端口停止發(fā)送RA消息，關(guān)閉發(fā)送ICMP不可達(dá)信息，關(guān)閉源路由防止Type 0 Routing Header攻擊等；

控制平面通過(guò)IPsec、認(rèn)證以及白名單策略等做好IPv6網(wǎng)絡(luò)路由等協(xié)議安全防護(hù)；

管理平面與IPv4網(wǎng)絡(luò)類(lèi)似，通過(guò)白名單策略、禁用不使用的IPv6服務(wù)等，確保攻擊面最??；

數(shù)據(jù)平面與IPv4網(wǎng)絡(luò)類(lèi)似，配置ACL白名單策略，關(guān)閉不必要的服務(wù)、禁止源路由，部署IPv6 uRPF等；

DNS做好IPv6掃描及嗅探的安全檢測(cè)及防護(hù)；

建議嚴(yán)格限制IPv6同一片報(bào)文的分片數(shù)目，設(shè)置合理的分片緩沖超時(shí)時(shí)間；

建議配置端口的最大ND表項(xiàng)學(xué)習(xí)數(shù)量，限制擴(kuò)展頭的數(shù)量和同一類(lèi)型擴(kuò)展頭實(shí)例的數(shù)目；

IPv6網(wǎng)絡(luò)涉及各類(lèi)服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備及應(yīng)用軟件等，設(shè)計(jì)及開(kāi)發(fā)要遵從成熟的安全工程方法及規(guī)范，確保IPv6協(xié)議棧安全質(zhì)量，同時(shí)做好已知漏洞的安全檢測(cè)及修復(fù)；

IPv6協(xié)議攻擊的實(shí)施目前已有很成熟的開(kāi)源安全工具套件，例如THC-IPv6、Si6 Networks ipv6-toolkit等，IPv6網(wǎng)絡(luò)及協(xié)議上線(xiàn)運(yùn)行時(shí)，需要提前做好網(wǎng)絡(luò)中各部分IPv6協(xié)議棧健壯性測(cè)試、安全滲透測(cè)試及安全質(zhì)量評(píng)估，及時(shí)削減安全風(fēng)險(xiǎn)；

基于IPv6的特點(diǎn)和安全威脅分析，確定IPv4升級(jí)演進(jìn)到IPv6的策略，識(shí)別IPv6安全產(chǎn)品缺失的現(xiàn)狀并補(bǔ)齊，確定改造節(jié)奏，升級(jí)安全系統(tǒng)。