IPv6的安全特性與風(fēng)險(xiǎn)研究

◆張煉樞 張賀勛 陳遠(yuǎn)平 吳澤江 張志偉

（北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 廣東 510630）

1 IPv6背景

IPv4是第4個(gè)版本的互聯(lián)網(wǎng)通信協(xié)議，該協(xié)議設(shè)計(jì)的地址空間共有約43億個(gè)地址，這在當(dāng)年已經(jīng)是一個(gè)海量的地址空間，未曾有人預(yù)測(cè)到今天有如此多的設(shè)備接入互聯(lián)網(wǎng)。

根據(jù)思科公司的研究預(yù)測(cè)，將在2020年有超過260億設(shè)備聯(lián)網(wǎng)，IPv4網(wǎng)絡(luò)無法滿足IP數(shù)量要求，這對(duì)互聯(lián)網(wǎng)的應(yīng)用和發(fā)展非常不利。

在 IPv6網(wǎng)絡(luò)下，每個(gè)聯(lián)網(wǎng)設(shè)備都得到全球唯一地址，可在網(wǎng)絡(luò)中路由，意味著我們接入IPv6網(wǎng)絡(luò)的電腦、智能手機(jī)，都是直接暴露在互聯(lián)網(wǎng)的，只要攻擊者得到設(shè)備的 IP地址，就可對(duì)設(shè)備發(fā)起訪問和攻擊。那么，IPv6協(xié)議新引入的安全特性，是如何保護(hù)我們?cè)O(shè)備，是否會(huì)帶來新的安全風(fēng)險(xiǎn)呢？

2 IPv6協(xié)議安全特性

2.1 巨大地址空間提供一定隱秘性

IPv6采用128位的地址長(zhǎng)度，后64位是接口標(biāo)識(shí)，也就是說一個(gè)標(biāo)準(zhǔn)子網(wǎng)中的IP數(shù)量是IPv4全網(wǎng)的2^32倍。

假設(shè)，使用高性能設(shè)備（100萬每秒）掃描一個(gè)子網(wǎng)，需要50萬年才能掃完，這導(dǎo)致掃描幾乎是無意義的。設(shè)備聯(lián)網(wǎng)后，處于一個(gè)巨量的地址空間里，有一定的隱秘性。

2.2 隱私擴(kuò)展功能保護(hù)固定地址

在 RFC4941中定義了一種隱私擴(kuò)展功能，啟用該功能后，對(duì)外訪問時(shí)將使用臨時(shí)生成的地址，舊的臨時(shí)地址會(huì)被丟棄。這保護(hù)了全球唯一地址不被惡意收集。

臨時(shí)地址具有短生命周期的特點(diǎn)，攻擊者要在很短的時(shí)候內(nèi)獲得IP地址并且實(shí)施入侵/攻擊的難度和代價(jià)都是巨大，這又進(jìn)一步提高了隱秘性，保護(hù)終端安全。

（1）集成IPSec提高通信安全

IPSec（Internet Protocol Security）用于加密通信，并提供認(rèn)證功能，保障端對(duì)端通信安全。與IPv4相比，IPv6協(xié)議中IPSec協(xié)議是必選內(nèi)容，加上無NAT的屏障，更利于推廣使用。

IPSec核心部分是認(rèn)證報(bào)頭（AH）和封閉安裝載荷報(bào)頭（ESP），其中AH報(bào)頭帶數(shù)據(jù)包哈希值，如果數(shù)據(jù)包被惡意修改，會(huì)導(dǎo)致校驗(yàn)失?。怀薃H提供的完整性保障，IPSec通過ESP提供了認(rèn)證和加密的功能，認(rèn)證和加密可以同時(shí)使用，也可以僅使用其中的一種，但不能兩種都不用。

（2）鄰居發(fā)現(xiàn)協(xié)議（NDP）取代地址解析協(xié)議（ARP）

地址解析協(xié)議（arp）默認(rèn)網(wǎng)絡(luò)是可信的，缺乏認(rèn)證手段，所以很容易發(fā)生ARP欺騙、廣播風(fēng)暴等問題。

IPv6協(xié)議中，沒有了ARP協(xié)議，使用鄰居發(fā)現(xiàn)協(xié)議（NDP），也取代了部分ICMP控制功能，沒有了廣播的概念，而是用了組播和任意播。NDP包含了鄰居請(qǐng)求（NS）、鄰居公告（NA）、路由器請(qǐng)求（RS）、路由器公告（RA）和 Redirect報(bào)文。其中NS和NA報(bào)文用來解釋目標(biāo)IPv6地址的鏈路層地址，過程中并不需要局域網(wǎng)里所有主機(jī)都響應(yīng)，避免了廣播風(fēng)暴的形成。

（3）真實(shí)源地址驗(yàn)證加強(qiáng)溯源審計(jì)

真實(shí)源地址驗(yàn)證機(jī)制（SAVA），是IPv6網(wǎng)絡(luò)中的一種透明服務(wù)，作用于網(wǎng)絡(luò)層，分別在接入網(wǎng)、自治系統(tǒng)（Autonomous System）內(nèi)和自治系統(tǒng)間進(jìn)行源地址驗(yàn)證，確保轉(zhuǎn)發(fā)的每個(gè)分組的源 IP地址是經(jīng)授權(quán)的、全球唯一和可追溯的，可以防范一些通過偽造源地址的分布式拒絕服務(wù)攻擊，審計(jì)人員更容易通過流量分析追蹤和定位攻擊者，安全人員更容易設(shè)計(jì)網(wǎng)絡(luò)安全策略和加強(qiáng)網(wǎng)絡(luò)管理。

3 IPv6面臨新的安全威脅

IPv6協(xié)議改變了IP報(bào)頭和尋址方式，引入了新的安全特性，提高網(wǎng)絡(luò)層安全性和增強(qiáng)自身安全，但對(duì)其他功能層的安全能力沒有影響，以及新技術(shù)也引入了新的安全問題。

3.1 NDP和SEND的安全問題

NDP是默認(rèn)為鏈路是可信、安全可靠的，即假定收到的數(shù)據(jù)都是正常的，從不考慮實(shí)際應(yīng)用中會(huì)存在惡意構(gòu)造的數(shù)據(jù)和攻擊行為，所以，IPv6仍然存在針對(duì)與ARP一樣的問題，容易受到欺騙攻擊、泛洪攻擊等。同時(shí)，隨著時(shí)間推移，這些協(xié)議可能會(huì)被暴露新的安全問題：

（1）攻擊者可以發(fā)出達(dá)到一定量的NS/RS報(bào)文，網(wǎng)關(guān)收到這些報(bào)文并大量更新本地表，導(dǎo)致溢出。

（2）攻擊者可以構(gòu)造虛假的 RS/NS/NA報(bào)文，讓網(wǎng)關(guān)更新鄰居節(jié)點(diǎn)的MAC地址，這會(huì)造成受害主機(jī)的MAC地址與網(wǎng)關(guān)本地受害主機(jī)的MAC地址不一致，受害主機(jī)無法收到網(wǎng)關(guān)的數(shù)據(jù)包從而無法正常通信。

（3）攻擊者構(gòu)造和發(fā)送虛假的 RA報(bào)文，報(bào)文中配置了非法的網(wǎng)絡(luò)信息，受害者接收該報(bào)文和配置本地網(wǎng)絡(luò)信息，從而造成了欺騙攻擊。

國(guó)際互聯(lián)網(wǎng)工程任務(wù)組發(fā)現(xiàn)NDP存在的安全問題，提出應(yīng)用地址加密生成技術(shù)和RSA加密算法的SEND方案，解決了IP偽造問題，但該方案并沒有機(jī)制建立鏈接層地址和 IPv6地址的綁定關(guān)系，攻擊者可以通過在不安全的鏈路層發(fā)送NA報(bào)文，把鏈接層原地址設(shè)置成受害者的，而使用攻擊者的IP進(jìn)行CGA合成，目標(biāo)鏈路層地址擴(kuò)展對(duì)應(yīng)受害者的，大量發(fā)送這樣的報(bào)文就會(huì)造成Dos攻擊。

3.2 DNS服務(wù)器面臨更多的攻擊

2001：0002：0003：0004：0005：0006：0007：0008 是一個(gè)合法的 IPv6地址，如此長(zhǎng)的地址難以記憶，使得網(wǎng)絡(luò)訪問行為更加依賴DNS。擁有大量DNS解析記錄的DNS服務(wù)器，是個(gè)非常有價(jià)值的資源，其安全將面臨更大考驗(yàn)。

3.3 安全設(shè)備支持度較低

據(jù)《2018 IPv6支持度報(bào)告》顯示，在獲得認(rèn)證的設(shè)備類型中，網(wǎng)絡(luò)設(shè)備對(duì)IPv6的支持度稍好，終端設(shè)備次之，安全設(shè)備的支持度相對(duì)較差。

若企業(yè)部署了IPv6網(wǎng)絡(luò)，但各安全設(shè)備未能起到保護(hù)作用，內(nèi)部資產(chǎn)、服務(wù)和數(shù)據(jù)暴露于互聯(lián)網(wǎng)，那可能是災(zāi)難性的。

3.4 地址暴露

設(shè)備在IPv6網(wǎng)絡(luò)中有一定的隱秘性，但若是IPv6地址被泄露，不法分子可直接訪問設(shè)備。除了通過防火墻設(shè)定精細(xì)的過濾規(guī)則，還需要注意在以下地方可能存在地址泄露的可能性：

（1）明文保存的網(wǎng)絡(luò)配置；

（2）明文保存的應(yīng)用程序日志；

（3）本地DNS動(dòng)態(tài)條目；

（4）應(yīng)用層Payload中嵌入的IPv6地址；

（5）其他機(jī)器和設(shè)備的NDP緩存；

（6）DNS服務(wù)器查詢?nèi)罩荆?/p>

（7）NetFlow導(dǎo)出日志；

（8）Web和應(yīng)用服務(wù)器、IPv6測(cè)試網(wǎng)站和CDN提供商的訪問日志；

（9）代理服務(wù)器訪問日志；

（10）合法或非法嗅探用戶流量。

4 緩解措施

4.1 理解和配置防火墻策略

IPv4的IP頭部和TCP頭部是固定的，而IPv6中它們不是固定的，會(huì)與路由選項(xiàng)、AH等關(guān)部串聯(lián)，防火墻需要解析每個(gè)頭部，才能有效識(shí)別合法的數(shù)據(jù)包并做出相應(yīng)的操作。故，需要安全人員理解 IPv6協(xié)議以及組織業(yè)務(wù)特點(diǎn)，才能更好地過濾非法和不必要的數(shù)據(jù)包，保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全。

4.2 過渡期間的安全策略

在實(shí)現(xiàn)全面 IPv6前，防火墻及各種安全設(shè)備很多工作在雙棧模式下，對(duì)IPv4和IPv6都要配置安全策略，否則會(huì)導(dǎo)致重要系統(tǒng)和數(shù)據(jù)暴露，帶來風(fēng)險(xiǎn)，并且在策略變更時(shí)，需在兩種協(xié)議下同步實(shí)施變更并確保經(jīng)過測(cè)試有效。另外，可通過配置 RA Trust、DHCP Trust、NDP表項(xiàng)最大數(shù)量，來提高NDP安全性。

4.3 增加入網(wǎng)認(rèn)證措施

有效的網(wǎng)絡(luò)接入認(rèn)證措施，可以大幅降低非法節(jié)點(diǎn)發(fā)起NDP欺騙攻擊可能性。例如采用802.1X技術(shù)驗(yàn)證用戶身份，審計(jì)系統(tǒng)記錄用戶的身份、接入位置、MAC地址、IP地址，對(duì)于高敏感的網(wǎng)絡(luò)中增加流量分析系統(tǒng)，確保各種敏感操作均在審計(jì)范圍內(nèi)。

5 結(jié)論

新技術(shù)、新特性的引入，可以解決已知安全問題，但同時(shí)也可能帶來新的安全隱患，網(wǎng)絡(luò)安全的目標(biāo)和本質(zhì)不變，需要保持良好的安全意識(shí)和實(shí)施有效的雙棧安全策略，從而保護(hù)公共設(shè)施、重要系統(tǒng)和數(shù)據(jù)安全。

從個(gè)人用戶角度看，需要普及IPv6的新知識(shí)、新特點(diǎn)，有意識(shí)地保護(hù)自己的全球唯一地址，安裝并使用本地防火墻；從運(yùn)營(yíng)商角度看，應(yīng)落實(shí)有效的真實(shí)源地址檢查機(jī)制，建立完善的網(wǎng)絡(luò)監(jiān)測(cè)、審計(jì)和應(yīng)急機(jī)制；從安全設(shè)備廠商來看，應(yīng)加強(qiáng)對(duì)IPv6新特性的支持，確保設(shè)備可靠、穩(wěn)定地運(yùn)行。