校園網(wǎng)IPv6安全隱患及其對(duì)策

0 引 言

互聯(lián)網(wǎng)的飛速發(fā)展使得各種網(wǎng)絡(luò)服務(wù)和應(yīng)用日益豐富，人 類(lèi)的日常生產(chǎn)和生活已經(jīng)越來(lái)越依賴(lài)于網(wǎng)絡(luò)這個(gè)交流平臺(tái)。但 現(xiàn)有的互聯(lián)網(wǎng)則是基于 IPv4 技術(shù)使用 32 位地址段，最多能 提供約 43 億個(gè) IP 地址。隨著互聯(lián)網(wǎng)的進(jìn)一步發(fā)展，以 IPv4 技術(shù)為基礎(chǔ)的現(xiàn)有互聯(lián)網(wǎng)已不能滿(mǎn)足需要，其原因是 IPv4 地 址資源已經(jīng)耗盡，在安全和服務(wù)質(zhì)量以及對(duì)移動(dòng)、智能網(wǎng)絡(luò) 的支持上都存在嚴(yán)重不足。新一代互聯(lián)網(wǎng)協(xié)議 IPv6 的主要特 點(diǎn)是 ：擁有 128 位地址空間，解決了 IP 地址不足的問(wèn)題 ；是 可匯聚、分級(jí)的地址結(jié)構(gòu)，有效減少了各級(jí)路由表問(wèn)題，提高 服務(wù)質(zhì)量，方便使用；通過(guò)移動(dòng)頭（Mobility Header）和返回 路徑可達(dá)過(guò)程（Return Routability Procedure）能夠更好地支 持移動(dòng)性 [1]。

互聯(lián)網(wǎng)能否健康發(fā)展，安全是至關(guān)重要的因素之一。 IPv6 通過(guò)內(nèi)置的 IPSec 安全協(xié)議和對(duì)網(wǎng)絡(luò)層數(shù)據(jù)進(jìn)行加密保 證了數(shù)據(jù)的完整性和機(jī)密性，使得端對(duì)端數(shù)據(jù)傳輸具有較高 的安全特性 [2]。但僅僅這樣并不能代表 IPv6 網(wǎng)絡(luò)的安全可靠， 隨著該技術(shù)的廣泛應(yīng)用，其協(xié)議本身存在的安全問(wèn)題、對(duì)入侵 攻擊的防護(hù)等都為進(jìn)一步發(fā)展帶來(lái)了安全隱患。本文結(jié)合長(zhǎng) 安大學(xué)具體情況，分析校園網(wǎng) IPv6 網(wǎng)絡(luò)在實(shí)際中遇到的安全 問(wèn)題，討論其解決方法。

1 IPv6 的安全優(yōu)勢(shì)

 IPv6 是網(wǎng)絡(luò)技術(shù)史上的一次重要升級(jí)，它從最初設(shè)計(jì)時(shí) 就對(duì)安全問(wèn)題進(jìn)行了關(guān)注，因此和 IPv4 相比，IPv6 在 IP 層 擁有更高的安全性。 

1.1 IPSec（Internet Protocol Security）安全性機(jī)制

IPSec 是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密的安 全服務(wù)以確保在 Internet 協(xié)議網(wǎng)絡(luò)層上進(jìn)行保密而安全的通 訊。IPSec 的安全特性屬于 IPv6 協(xié)議的外在安全特性，作為 一種協(xié)議套件它可以“無(wú)縫”地為 IP 提供安全保障 [3]。但實(shí) 質(zhì)上可以說(shuō) IPSec 對(duì)于 IPv4 更像一個(gè)補(bǔ)丁程序，而對(duì) IPv6 它 已經(jīng)被看做是協(xié)議整體的一部分。 

IPSec 的結(jié)構(gòu)體系包括 3 部分 ： 

（1）AH（Authentication Header）身份驗(yàn)證協(xié)議，為數(shù)據(jù) 包提供身份驗(yàn)證功能。 

（2）ESP（Encapsulated Security Payload）安全載荷協(xié)議， 為數(shù)據(jù)包提供加密保證防止篡改。 

（3）IKE（Internet Key Exchange）密鑰交換協(xié)議，為數(shù) 據(jù)包交流安全提供保障。 

這 3 個(gè)基本協(xié)議用來(lái)提供來(lái)源認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù) 機(jī)密性和訪問(wèn)控制等保護(hù)形式。除此之外，還有密鑰管理協(xié) 議 ISAKMP（提供共享安全信息）、解釋域、算法和策略 [4] 等。 如圖 1 所示，IPSec 增強(qiáng)了數(shù)據(jù)傳輸?shù)陌踩浴?

1.2 IPv6 特有的安全性 

IPv6 擁有 128 位的地址空間，理論上能提供 2128 －1 個(gè) 地址。與 IPv4 不同，IPv6 的子網(wǎng)掩碼是 64 位，每一個(gè)網(wǎng)段 約有 264 個(gè)地址。對(duì)于如此巨大的地址空間來(lái)說(shuō)掃描整個(gè)子網(wǎng) 需要的時(shí)間極其漫長(zhǎng)，這就對(duì)通過(guò)自動(dòng)掃描來(lái)查殺繁殖的網(wǎng)絡(luò)病毒造成了極大的困難。 

在 IPv4 網(wǎng)絡(luò)中，每一個(gè) IPv4 地址或者子網(wǎng)都可以分布 在全世界任何一個(gè)地方，這種情況使得假冒 IPv4 源地址成為 一件很容易的事，黑客可以使用隨機(jī)產(chǎn)生的地址來(lái)作為攻擊 數(shù)據(jù)包的源地址。與 IPv4 不同，IPv6 是可匯聚、分級(jí)的地址 結(jié)構(gòu)，即 IPv6上級(jí)互聯(lián)網(wǎng)供應(yīng)商可以對(duì)自己客戶(hù)的地址段進(jìn) 行匯聚，在路由器或者網(wǎng)關(guān)設(shè)備中對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾，只 允許客戶(hù)地址范圍內(nèi)的源地址通過(guò)。這樣，黑客就不能使用 任意 IP 來(lái)假冒源地址，而且能夠使跟蹤和回溯假冒地址變得 很容易 [5]。

 2 IPv6 的安全缺陷 

與 IPv4 相比，IPv6 在數(shù)據(jù)保密性、完整性和網(wǎng)絡(luò)的可 控性及抗攻擊性等方面都有了較大改善，一些 IPv4 網(wǎng)絡(luò)中常 見(jiàn)的攻擊在 IPv6 網(wǎng)絡(luò)中已經(jīng)失效，但使用證明其仍然存在不少安全問(wèn)題。

 2.1 來(lái)自非網(wǎng)絡(luò)層的攻擊

 IPv4 和 IPv6 都是工作在網(wǎng)絡(luò)層上通過(guò) IP 地址屏蔽底 層不同的物理網(wǎng)絡(luò)，并對(duì)傳輸層提供服務(wù)的協(xié)議。與 IPv4 相 比，IPv6 網(wǎng)絡(luò)中數(shù)據(jù)包傳輸?shù)幕緳C(jī)制并沒(méi)有改變，仍然是 在控制平面學(xué)習(xí)路由并通過(guò)已知的路由信息轉(zhuǎn)發(fā)數(shù)據(jù)包。因此， IPv4 網(wǎng)絡(luò)中來(lái)自除去網(wǎng)絡(luò)層的其他層面中的攻擊在 IPv6 網(wǎng)絡(luò) 中依然會(huì)出現(xiàn)。例如，通過(guò) TCP 中存在的漏洞發(fā)動(dòng)針對(duì)網(wǎng)絡(luò) 路由器的“重啟式”攻擊，通過(guò)偽造 MAC 欺騙數(shù)據(jù)鏈路層設(shè) 備 [6]，以及 DNS 的安全性、SNMP 的安全性和木馬、蠕蟲(chóng)等 都屬于這一類(lèi)。

 2.2 ICMPv6 的缺陷

 ICMPv6[7] 即互聯(lián)網(wǎng)控制信息協(xié)議版本 6，它包括了 IPv4 中的 IMCP 功能 和 ARP 功能， 是 IPv6 的 重 要組 成部 分。 IPv6 網(wǎng)絡(luò)正常工作需要 ICMPv6 協(xié)議，不能像 IPv4 網(wǎng)絡(luò)一般 將其禁用，這就導(dǎo)致 ICMPv6 會(huì)被利用產(chǎn)生拒絕服務(wù)攻擊，以 及偽造其他節(jié)點(diǎn)產(chǎn)生諸如超時(shí)、不可達(dá)和參數(shù)錯(cuò)誤等信息，從 而影響正常通信。

 2.3 鄰居發(fā)現(xiàn)協(xié)議的漏洞 

鄰居發(fā)現(xiàn)協(xié)議是 IPv6 的基礎(chǔ)協(xié)議，用來(lái)發(fā)現(xiàn)同一鏈路上 的其他節(jié)點(diǎn)、進(jìn)行地址解析和鄰居不可達(dá)檢測(cè)等。但利用鄰居 發(fā)現(xiàn)協(xié)議，能夠通過(guò)發(fā)送錯(cuò)誤的路由器宣告和錯(cuò)誤的重定向 消息，讓數(shù)據(jù)包流向不確定的地方，進(jìn)而可能出現(xiàn)拒絕服務(wù)、 攔截和修改數(shù)據(jù)包等現(xiàn)象 [8]。

 2.4 無(wú)狀態(tài)地址分配的隱患 

雖然無(wú)狀態(tài)地址分配 [9] 這一技術(shù)為合法的網(wǎng)絡(luò)用戶(hù)使用 IPv6 網(wǎng)絡(luò)帶來(lái)了方便，但無(wú)狀態(tài)地址分配中的地址沖突檢測(cè) 機(jī)制也給網(wǎng)絡(luò)造成了安全隱患。該協(xié)議認(rèn)為任何自動(dòng)配置的節(jié) 點(diǎn)都是合法節(jié)點(diǎn)，新節(jié)點(diǎn)只要回復(fù)對(duì)臨時(shí)地址進(jìn)行的鄰居請(qǐng)求，請(qǐng)求方就會(huì)認(rèn)為地址已經(jīng)被使用而放棄該臨時(shí)地址，這樣攻 擊者就能順利地連接到本地網(wǎng)絡(luò)中。 

2.5 移動(dòng) IPv6 的安全問(wèn)題

 移動(dòng) IPv6[10] 中也存在不少安全問(wèn)題，例如由錯(cuò)誤的綁定 信息而引起的拒絕服務(wù)攻擊、劫持攻擊、中間人攻擊和假冒攻 擊等。

 3 校園網(wǎng) IPv6 的安全隱患 

IPv4 網(wǎng)絡(luò)在向 IPv6 網(wǎng)絡(luò)的過(guò)渡過(guò)程中一般應(yīng)用三種過(guò) 渡技術(shù)，即雙協(xié)議棧技術(shù)、隧道技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。 

3.1 過(guò)渡技術(shù)分析 

（1）雙協(xié)議棧技術(shù)指的是單個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上既有 IPv4 棧又 有 IPv6 棧，能夠同時(shí)支持 IPv4 和 IPv6 兩種協(xié)議，即該節(jié)點(diǎn) 不但能與 IPv4 協(xié)議節(jié)點(diǎn)進(jìn)行通信，還能與 IPv6 節(jié)點(diǎn)進(jìn)行通信。 這種技術(shù)在過(guò)渡初期是必須的，它能夠解決 IPv4 網(wǎng)絡(luò)和 IPv6 網(wǎng)絡(luò)之間的兼容問(wèn)題，而雙協(xié)議棧技術(shù)也是其他過(guò)渡技術(shù)的 基礎(chǔ) [10]。 

（2）隧道技術(shù)是指將一種協(xié)議的報(bào)頭封裝在另一種協(xié)議 里面來(lái)進(jìn)行通信。IPv6 隧道就是將 IPv6 數(shù)據(jù)封裝在 IPv4 的 數(shù)據(jù)報(bào)中，等達(dá)到另一端后再進(jìn)行解封。對(duì)于過(guò)渡過(guò)程中出現(xiàn) 的“IPv6 孤島”，隧道技術(shù)能夠使它在“IPv4 海洋”中進(jìn)行通 信，但不能實(shí)現(xiàn) IPv4 節(jié)點(diǎn)與 IPv6 節(jié)點(diǎn)之間的通信。 

（3）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層上實(shí) 現(xiàn)協(xié)議之間的轉(zhuǎn)換，能夠使純 IPv4 節(jié)點(diǎn)和純 IPv6 節(jié)點(diǎn)之間進(jìn) 行通信。因其地址和協(xié)議都在網(wǎng)絡(luò)設(shè)備上進(jìn)行轉(zhuǎn)換，不需要進(jìn) 行升級(jí)。

 3.2 校園網(wǎng) IPv6 過(guò)渡技術(shù)應(yīng)用

 長(zhǎng)安大學(xué)校園網(wǎng)自開(kāi)始建設(shè)至今，用戶(hù)數(shù)已超過(guò) 3 萬(wàn)，整 個(gè)校園網(wǎng)劃分為 3 個(gè)子網(wǎng) ：教學(xué)科研及辦公區(qū)子網(wǎng)、住宅區(qū)子 網(wǎng)和學(xué)生區(qū)子網(wǎng)。學(xué)校向 Cernet（中國(guó)教育和科研計(jì)算機(jī)網(wǎng)） 申請(qǐng)的真實(shí)地址段總計(jì) 48 個(gè) C 類(lèi)地址段約合 1.2 萬(wàn)個(gè)地址。 但真實(shí)地址數(shù)遠(yuǎn)遠(yuǎn)不能滿(mǎn)足實(shí)際需求，僅學(xué)生區(qū)子網(wǎng)用戶(hù)規(guī)模 就超過(guò) 1.3 萬(wàn)，只能使用私有 IPv4 地址。為解決 IPv4 真實(shí)地 址匱乏并與國(guó)際互聯(lián)網(wǎng)技術(shù)同步發(fā)展，自 2003 年開(kāi)始國(guó)家啟 動(dòng)了中國(guó)下一代互聯(lián)網(wǎng)示范工程“CNGI”項(xiàng)目，我校是其中 的示范應(yīng)用單位之一。經(jīng)過(guò)幾年的建設(shè)發(fā)展，已建成了獨(dú)立的 IPv6 子網(wǎng)，搭建了 IPv4 和 IPv6 雙協(xié)議棧網(wǎng)絡(luò)及服務(wù)器，聯(lián) 通了教育網(wǎng)的其他高校 IPv6 子網(wǎng)，實(shí)現(xiàn)了教育網(wǎng)內(nèi)部的 IPv6 網(wǎng)絡(luò)通信。具體做法是在教育網(wǎng)范圍內(nèi)通過(guò)獨(dú)立的光纖鏈路 直接對(duì) IPv6 資源進(jìn)行訪問(wèn)，在校園網(wǎng)內(nèi)部采用雙協(xié)議棧技術(shù)； 主機(jī)和路由器同時(shí)開(kāi)啟 IPv4 和 IPv6 兩種協(xié)議，同時(shí)獲取到 IPv4 和 IPv6 兩個(gè)網(wǎng)絡(luò)地址。這樣，每一位校園網(wǎng)用戶(hù)都能同 時(shí)訪問(wèn)校園網(wǎng)內(nèi)外的 IPv4 和 IPv6 資源。

3.3 校園網(wǎng) IPv6 的安全問(wèn)題

 雙協(xié)議棧技術(shù)讓校園網(wǎng)用戶(hù)能夠同時(shí)訪問(wèn) IPv4 和 IPv6 兩種網(wǎng)絡(luò)資源，在過(guò)渡階段達(dá)到 IPv4 網(wǎng)絡(luò)和 IPv6 網(wǎng)絡(luò)的兼容， 如圖 2 所示。實(shí)際運(yùn)行狀態(tài)下通過(guò)網(wǎng)絡(luò)管理人員的反饋信息分 析和所進(jìn)行的安全測(cè)試，結(jié)合雙協(xié)議棧技術(shù)本身的安全問(wèn)題， 發(fā)現(xiàn)并提出了校園網(wǎng)雙協(xié)議棧網(wǎng)絡(luò)可能出現(xiàn)的安全隱患。

（1）在規(guī)劃 IPv6 網(wǎng)絡(luò)的時(shí)候，若對(duì)地址前綴的指定以及 采取依次降序或者升序來(lái)分配地址的方法，將使得 IPv6 的地 址實(shí)際使用范圍大大縮小。其原因在于 IPv6 地址過(guò)長(zhǎng)，管理 員為了方便記憶經(jīng)常會(huì)給服務(wù)器配置比較特殊的 IPv6 地址。 這種做法會(huì)造成類(lèi)似蠕蟲(chóng)或者木馬的掃描漏洞程序能夠較為 容易地發(fā)現(xiàn)網(wǎng)段中的重要服務(wù)器，并實(shí)施攻擊。 

（2）雙協(xié)議棧路由器以隧道方式通過(guò) IPv4 網(wǎng)絡(luò)傳送 IPv6 包，一旦 IPv4 設(shè)備被入侵并激活隧道，攻擊者就能夠繞過(guò)網(wǎng) 絡(luò)過(guò)濾和防御系統(tǒng)，對(duì)其他節(jié)點(diǎn)進(jìn)行攻擊。 

（3）雙協(xié)議棧網(wǎng)絡(luò)的節(jié)點(diǎn)都是雙棧節(jié)點(diǎn)，其結(jié)合隧道技 術(shù)已解決純 IPv6 網(wǎng)絡(luò)中主機(jī)與 IPv4 主機(jī)的互連問(wèn)題。雙協(xié)議 棧網(wǎng)絡(luò)的網(wǎng)關(guān)（即隧道終結(jié)點(diǎn) TEP）保留有主機(jī) IPv4 和 IPv6 地址的映射表，并利用映射表進(jìn)行 IPv4 包的封裝和解封。在 TEP 收到一個(gè)攜帶 IPv4 的 IPv6 數(shù)據(jù)包時(shí)，它會(huì)使用包內(nèi)攜 帶的 IPv6 和 IPv4 源地址和目的地址，通過(guò)動(dòng)態(tài)隧道接口（DTI） 創(chuàng)建一個(gè) IPv4 in IPv6 隧道，如果在部署雙協(xié)議棧 IPv6 網(wǎng)絡(luò) 的 TEP 時(shí)，TEP 和雙協(xié)議棧服務(wù)器不在同一臺(tái)主機(jī)上，就沒(méi) 辦法檢查網(wǎng)關(guān)建立的隧道和雙協(xié)議棧服務(wù)器的分配對(duì)應(yīng)關(guān)系。 當(dāng)攻擊方使用相同 IPv4 源地址發(fā)送 IPv4 in IPv6 數(shù)據(jù)包，原 有的隧道會(huì)被新建立的隧道所取代，這就達(dá)成了欺騙攻擊的 目的 [11]。 

（4）雙協(xié)議棧網(wǎng)絡(luò)同時(shí)擁有 IPv4 和 IPv6 兩種協(xié)議，因 此如果其中任意一種協(xié)議遭受到攻擊，就會(huì)影響整個(gè)網(wǎng)絡(luò)。

 4 相關(guān)問(wèn)題的對(duì)策 

由于雙協(xié)議棧網(wǎng)絡(luò)兩種 IP 協(xié)議共存，處于現(xiàn)有網(wǎng)絡(luò)到新 一代網(wǎng)絡(luò)技術(shù)的過(guò)渡時(shí)期，因此整個(gè)網(wǎng)絡(luò)環(huán)境復(fù)雜，對(duì)安全 的需求范圍更加廣泛。為此，結(jié)合長(zhǎng)安大學(xué)校園網(wǎng) IPv6 在建 設(shè)和實(shí)際運(yùn)行中遇到的安全問(wèn)題，提出相應(yīng)的對(duì)策 ： 

（1）IPv6 地址規(guī)劃 ：在使用 IPv6 地址的時(shí)候，網(wǎng)絡(luò)管 理員應(yīng)該將地址段充分利用，擴(kuò)大地址應(yīng)用范圍。即在配置時(shí)減少服務(wù)器地址的特殊性，以此來(lái)增加掃描類(lèi)病毒程序的 攻擊難度，降低網(wǎng)絡(luò)安全隱患。 

（2）接入認(rèn)證 ：首先雙協(xié)議棧網(wǎng)絡(luò)用戶(hù)通過(guò)客戶(hù)端或者 Web 網(wǎng)頁(yè)等認(rèn)證方式進(jìn)行基于 IPv4 協(xié)議認(rèn)證，在用戶(hù)名、密 碼通過(guò)后，終端依次啟用鄰居發(fā)現(xiàn)協(xié)議 NDP、DHCPv6 來(lái)獲 得 IPv6 接口地址、網(wǎng)絡(luò)前綴和 DNS 等參數(shù)。

（3）接入控制 ：在雙協(xié)議棧服務(wù)器上應(yīng)用接入權(quán)限控制 策略，允許 IPv6 隧道通過(guò)雙協(xié)議棧服務(wù)器認(rèn)定終端的信息， 禁止其他訪問(wèn)。 

（4）如果隧道終結(jié)點(diǎn)和雙協(xié)議棧服務(wù)器不在同一物理設(shè) 備上，為防止欺騙攻擊，需要應(yīng)用動(dòng)態(tài)隧道通信協(xié)議，這可 通過(guò) IPsec 的 AH 協(xié)議來(lái)解決。 

（5）對(duì)隧道終結(jié)點(diǎn)上創(chuàng)建的隧道和雙協(xié)議棧服務(wù)器上的 分配數(shù)據(jù)進(jìn)行監(jiān)控，檢查與分配相對(duì)應(yīng)隧道的正確性。 

（6）配置支持 IPv4 和 IPv6 兩種協(xié)議的防火墻設(shè)備，隔 絕類(lèi)似蠕蟲(chóng)或者木馬等程序的端口掃描信息，阻止外部網(wǎng)絡(luò) 的漏洞攻擊，以此保護(hù)雙協(xié)議棧內(nèi)部網(wǎng)絡(luò)免遭病毒或者黑客入 侵。

5 結(jié) 語(yǔ)

IPv6 作為新一代互聯(lián)網(wǎng)協(xié)議具備地址空間大、報(bào)文安全 靈活等特點(diǎn)，但是由于 IPv4 網(wǎng)絡(luò)基礎(chǔ)龐大，從 IPv4 向 IPv6 過(guò)渡將是一個(gè)非常漫長(zhǎng)的過(guò)程，在此期間網(wǎng)絡(luò)安全問(wèn)題成為 網(wǎng)絡(luò)管理者需要重點(diǎn)關(guān)注并予以解決的問(wèn)題之一。與 IPv4 相 比，IPv6 雖然在性能和安全機(jī)制方面有較大地提升，但并不 代表它就是安全的，病毒、木馬、漏洞攻擊等手段依舊會(huì)對(duì) IPv6 網(wǎng)絡(luò)造成嚴(yán)重威脅。目前，各高校都在大力開(kāi)展 IPv6 網(wǎng) 絡(luò)建設(shè)，但針對(duì) IPv6 網(wǎng)絡(luò)的安全機(jī)制還不能滿(mǎn)足其發(fā)展需要。 本文對(duì)校園網(wǎng) IPv6 網(wǎng)絡(luò)的安全隱患和安全機(jī)制進(jìn)行了探討， 由于針對(duì) IPv6 應(yīng)用的服務(wù)器和防火墻在價(jià)格和技術(shù)方面還不 能滿(mǎn)足需求，現(xiàn)階段只能通過(guò)地址規(guī)劃和接入認(rèn)證等方法強(qiáng) 化網(wǎng)絡(luò)安全保障，而實(shí)際應(yīng)用表明并未出現(xiàn)嚴(yán)重的安全問(wèn)題。

IPv6 網(wǎng)絡(luò)的發(fā)展是大勢(shì)所趨，IPv6 網(wǎng)絡(luò)的安全機(jī)制研究 也將是一項(xiàng)長(zhǎng)期而復(fù)雜的工作。