校園網(wǎng)IPv6安全隱患及其對策

0 引 言

互聯(lián)網(wǎng)的飛速發(fā)展使得各種網(wǎng)絡服務和應用日益豐富，人 類的日常生產(chǎn)和生活已經(jīng)越來越依賴于網(wǎng)絡這個交流平臺。但 現(xiàn)有的互聯(lián)網(wǎng)則是基于 IPv4 技術使用 32 位地址段，最多能 提供約 43 億個 IP 地址。隨著互聯(lián)網(wǎng)的進一步發(fā)展，以 IPv4 技術為基礎的現(xiàn)有互聯(lián)網(wǎng)已不能滿足需要，其原因是 IPv4 地 址資源已經(jīng)耗盡，在安全和服務質(zhì)量以及對移動、智能網(wǎng)絡 的支持上都存在嚴重不足。新一代互聯(lián)網(wǎng)協(xié)議 IPv6 的主要特 點是 ：擁有 128 位地址空間，解決了 IP 地址不足的問題 ；是 可匯聚、分級的地址結構，有效減少了各級路由表問題，提高 服務質(zhì)量，方便使用；通過移動頭（Mobility Header）和返回 路徑可達過程（Return Routability Procedure）能夠更好地支 持移動性 [1]。

互聯(lián)網(wǎng)能否健康發(fā)展，安全是至關重要的因素之一。 IPv6 通過內(nèi)置的 IPSec 安全協(xié)議和對網(wǎng)絡層數(shù)據(jù)進行加密保 證了數(shù)據(jù)的完整性和機密性，使得端對端數(shù)據(jù)傳輸具有較高 的安全特性 [2]。但僅僅這樣并不能代表 IPv6 網(wǎng)絡的安全可靠， 隨著該技術的廣泛應用，其協(xié)議本身存在的安全問題、對入侵 攻擊的防護等都為進一步發(fā)展帶來了安全隱患。本文結合長 安大學具體情況，分析校園網(wǎng) IPv6 網(wǎng)絡在實際中遇到的安全 問題，討論其解決方法。

1 IPv6 的安全優(yōu)勢

 IPv6 是網(wǎng)絡技術史上的一次重要升級，它從最初設計時 就對安全問題進行了關注，因此和 IPv4 相比，IPv6 在 IP 層 擁有更高的安全性。 

1.1 IPSec（Internet Protocol Security）安全性機制

IPSec 是一種開放標準的框架結構，通過使用加密的安 全服務以確保在 Internet 協(xié)議網(wǎng)絡層上進行保密而安全的通 訊。IPSec 的安全特性屬于 IPv6 協(xié)議的外在安全特性，作為 一種協(xié)議套件它可以“無縫”地為 IP 提供安全保障 [3]。但實 質(zhì)上可以說 IPSec 對于 IPv4 更像一個補丁程序，而對 IPv6 它 已經(jīng)被看做是協(xié)議整體的一部分。 

IPSec 的結構體系包括 3 部分 ： 

（1）AH（Authentication Header）身份驗證協(xié)議，為數(shù)據(jù) 包提供身份驗證功能。 

（2）ESP（Encapsulated Security Payload）安全載荷協(xié)議， 為數(shù)據(jù)包提供加密保證防止篡改。 

（3）IKE（Internet Key Exchange）密鑰交換協(xié)議，為數(shù) 據(jù)包交流安全提供保障。 

這 3 個基本協(xié)議用來提供來源認證、數(shù)據(jù)完整性、數(shù)據(jù) 機密性和訪問控制等保護形式。除此之外，還有密鑰管理協(xié) 議 ISAKMP（提供共享安全信息）、解釋域、算法和策略 [4] 等。 如圖 1 所示，IPSec 增強了數(shù)據(jù)傳輸?shù)陌踩浴?

1.2 IPv6 特有的安全性 

IPv6 擁有 128 位的地址空間，理論上能提供 2128 －1 個 地址。與 IPv4 不同，IPv6 的子網(wǎng)掩碼是 64 位，每一個網(wǎng)段 約有 264 個地址。對于如此巨大的地址空間來說掃描整個子網(wǎng) 需要的時間極其漫長，這就對通過自動掃描來查殺繁殖的網(wǎng)絡病毒造成了極大的困難。 

在 IPv4 網(wǎng)絡中，每一個 IPv4 地址或者子網(wǎng)都可以分布 在全世界任何一個地方，這種情況使得假冒 IPv4 源地址成為 一件很容易的事，黑客可以使用隨機產(chǎn)生的地址來作為攻擊 數(shù)據(jù)包的源地址。與 IPv4 不同，IPv6 是可匯聚、分級的地址 結構，即 IPv6上級互聯(lián)網(wǎng)供應商可以對自己客戶的地址段進 行匯聚，在路由器或者網(wǎng)關設備中對網(wǎng)絡流量進行過濾，只 允許客戶地址范圍內(nèi)的源地址通過。這樣，黑客就不能使用 任意 IP 來假冒源地址，而且能夠使跟蹤和回溯假冒地址變得 很容易 [5]。

 2 IPv6 的安全缺陷 

與 IPv4 相比，IPv6 在數(shù)據(jù)保密性、完整性和網(wǎng)絡的可 控性及抗攻擊性等方面都有了較大改善，一些 IPv4 網(wǎng)絡中常 見的攻擊在 IPv6 網(wǎng)絡中已經(jīng)失效，但使用證明其仍然存在不少安全問題。

 2.1 來自非網(wǎng)絡層的攻擊

 IPv4 和 IPv6 都是工作在網(wǎng)絡層上通過 IP 地址屏蔽底 層不同的物理網(wǎng)絡，并對傳輸層提供服務的協(xié)議。與 IPv4 相 比，IPv6 網(wǎng)絡中數(shù)據(jù)包傳輸?shù)幕緳C制并沒有改變，仍然是 在控制平面學習路由并通過已知的路由信息轉發(fā)數(shù)據(jù)包。因此， IPv4 網(wǎng)絡中來自除去網(wǎng)絡層的其他層面中的攻擊在 IPv6 網(wǎng)絡 中依然會出現(xiàn)。例如，通過 TCP 中存在的漏洞發(fā)動針對網(wǎng)絡 路由器的“重啟式”攻擊，通過偽造 MAC 欺騙數(shù)據(jù)鏈路層設 備 [6]，以及 DNS 的安全性、SNMP 的安全性和木馬、蠕蟲等 都屬于這一類。

 2.2 ICMPv6 的缺陷

 ICMPv6[7] 即互聯(lián)網(wǎng)控制信息協(xié)議版本 6，它包括了 IPv4 中的 IMCP 功能 和 ARP 功能， 是 IPv6 的 重 要組 成部 分。 IPv6 網(wǎng)絡正常工作需要 ICMPv6 協(xié)議，不能像 IPv4 網(wǎng)絡一般 將其禁用，這就導致 ICMPv6 會被利用產(chǎn)生拒絕服務攻擊，以 及偽造其他節(jié)點產(chǎn)生諸如超時、不可達和參數(shù)錯誤等信息，從 而影響正常通信。

 2.3 鄰居發(fā)現(xiàn)協(xié)議的漏洞 

鄰居發(fā)現(xiàn)協(xié)議是 IPv6 的基礎協(xié)議，用來發(fā)現(xiàn)同一鏈路上 的其他節(jié)點、進行地址解析和鄰居不可達檢測等。但利用鄰居 發(fā)現(xiàn)協(xié)議，能夠通過發(fā)送錯誤的路由器宣告和錯誤的重定向 消息，讓數(shù)據(jù)包流向不確定的地方，進而可能出現(xiàn)拒絕服務、 攔截和修改數(shù)據(jù)包等現(xiàn)象 [8]。

 2.4 無狀態(tài)地址分配的隱患 

雖然無狀態(tài)地址分配 [9] 這一技術為合法的網(wǎng)絡用戶使用 IPv6 網(wǎng)絡帶來了方便，但無狀態(tài)地址分配中的地址沖突檢測 機制也給網(wǎng)絡造成了安全隱患。該協(xié)議認為任何自動配置的節(jié) 點都是合法節(jié)點，新節(jié)點只要回復對臨時地址進行的鄰居請求，請求方就會認為地址已經(jīng)被使用而放棄該臨時地址，這樣攻 擊者就能順利地連接到本地網(wǎng)絡中。 

2.5 移動 IPv6 的安全問題

 移動 IPv6[10] 中也存在不少安全問題，例如由錯誤的綁定 信息而引起的拒絕服務攻擊、劫持攻擊、中間人攻擊和假冒攻 擊等。

 3 校園網(wǎng) IPv6 的安全隱患 

IPv4 網(wǎng)絡在向 IPv6 網(wǎng)絡的過渡過程中一般應用三種過 渡技術，即雙協(xié)議棧技術、隧道技術和網(wǎng)絡地址轉換技術。 

3.1 過渡技術分析 

（1）雙協(xié)議棧技術指的是單個網(wǎng)絡節(jié)點上既有 IPv4 棧又 有 IPv6 棧，能夠同時支持 IPv4 和 IPv6 兩種協(xié)議，即該節(jié)點 不但能與 IPv4 協(xié)議節(jié)點進行通信，還能與 IPv6 節(jié)點進行通信。 這種技術在過渡初期是必須的，它能夠解決 IPv4 網(wǎng)絡和 IPv6 網(wǎng)絡之間的兼容問題，而雙協(xié)議棧技術也是其他過渡技術的 基礎 [10]。 

（2）隧道技術是指將一種協(xié)議的報頭封裝在另一種協(xié)議 里面來進行通信。IPv6 隧道就是將 IPv6 數(shù)據(jù)封裝在 IPv4 的 數(shù)據(jù)報中，等達到另一端后再進行解封。對于過渡過程中出現(xiàn) 的“IPv6 孤島”，隧道技術能夠使它在“IPv4 海洋”中進行通 信，但不能實現(xiàn) IPv4 節(jié)點與 IPv6 節(jié)點之間的通信。 

（3）網(wǎng)絡地址轉換技術在網(wǎng)絡層、傳輸層和應用層上實 現(xiàn)協(xié)議之間的轉換，能夠使純 IPv4 節(jié)點和純 IPv6 節(jié)點之間進 行通信。因其地址和協(xié)議都在網(wǎng)絡設備上進行轉換，不需要進 行升級。

 3.2 校園網(wǎng) IPv6 過渡技術應用

 長安大學校園網(wǎng)自開始建設至今，用戶數(shù)已超過 3 萬，整 個校園網(wǎng)劃分為 3 個子網(wǎng) ：教學科研及辦公區(qū)子網(wǎng)、住宅區(qū)子 網(wǎng)和學生區(qū)子網(wǎng)。學校向 Cernet（中國教育和科研計算機網(wǎng)） 申請的真實地址段總計 48 個 C 類地址段約合 1.2 萬個地址。 但真實地址數(shù)遠遠不能滿足實際需求，僅學生區(qū)子網(wǎng)用戶規(guī)模 就超過 1.3 萬，只能使用私有 IPv4 地址。為解決 IPv4 真實地 址匱乏并與國際互聯(lián)網(wǎng)技術同步發(fā)展，自 2003 年開始國家啟 動了中國下一代互聯(lián)網(wǎng)示范工程“CNGI”項目，我校是其中 的示范應用單位之一。經(jīng)過幾年的建設發(fā)展，已建成了獨立的 IPv6 子網(wǎng)，搭建了 IPv4 和 IPv6 雙協(xié)議棧網(wǎng)絡及服務器，聯(lián) 通了教育網(wǎng)的其他高校 IPv6 子網(wǎng)，實現(xiàn)了教育網(wǎng)內(nèi)部的 IPv6 網(wǎng)絡通信。具體做法是在教育網(wǎng)范圍內(nèi)通過獨立的光纖鏈路 直接對 IPv6 資源進行訪問，在校園網(wǎng)內(nèi)部采用雙協(xié)議棧技術； 主機和路由器同時開啟 IPv4 和 IPv6 兩種協(xié)議，同時獲取到 IPv4 和 IPv6 兩個網(wǎng)絡地址。這樣，每一位校園網(wǎng)用戶都能同 時訪問校園網(wǎng)內(nèi)外的 IPv4 和 IPv6 資源。

3.3 校園網(wǎng) IPv6 的安全問題

 雙協(xié)議棧技術讓校園網(wǎng)用戶能夠同時訪問 IPv4 和 IPv6 兩種網(wǎng)絡資源，在過渡階段達到 IPv4 網(wǎng)絡和 IPv6 網(wǎng)絡的兼容， 如圖 2 所示。實際運行狀態(tài)下通過網(wǎng)絡管理人員的反饋信息分 析和所進行的安全測試，結合雙協(xié)議棧技術本身的安全問題， 發(fā)現(xiàn)并提出了校園網(wǎng)雙協(xié)議棧網(wǎng)絡可能出現(xiàn)的安全隱患。

（1）在規(guī)劃 IPv6 網(wǎng)絡的時候，若對地址前綴的指定以及 采取依次降序或者升序來分配地址的方法，將使得 IPv6 的地 址實際使用范圍大大縮小。其原因在于 IPv6 地址過長，管理 員為了方便記憶經(jīng)常會給服務器配置比較特殊的 IPv6 地址。 這種做法會造成類似蠕蟲或者木馬的掃描漏洞程序能夠較為 容易地發(fā)現(xiàn)網(wǎng)段中的重要服務器，并實施攻擊。 

（2）雙協(xié)議棧路由器以隧道方式通過 IPv4 網(wǎng)絡傳送 IPv6 包，一旦 IPv4 設備被入侵并激活隧道，攻擊者就能夠繞過網(wǎng) 絡過濾和防御系統(tǒng)，對其他節(jié)點進行攻擊。 

（3）雙協(xié)議棧網(wǎng)絡的節(jié)點都是雙棧節(jié)點，其結合隧道技 術已解決純 IPv6 網(wǎng)絡中主機與 IPv4 主機的互連問題。雙協(xié)議 棧網(wǎng)絡的網(wǎng)關（即隧道終結點 TEP）保留有主機 IPv4 和 IPv6 地址的映射表，并利用映射表進行 IPv4 包的封裝和解封。在 TEP 收到一個攜帶 IPv4 的 IPv6 數(shù)據(jù)包時，它會使用包內(nèi)攜 帶的 IPv6 和 IPv4 源地址和目的地址，通過動態(tài)隧道接口（DTI） 創(chuàng)建一個 IPv4 in IPv6 隧道，如果在部署雙協(xié)議棧 IPv6 網(wǎng)絡 的 TEP 時，TEP 和雙協(xié)議棧服務器不在同一臺主機上，就沒 辦法檢查網(wǎng)關建立的隧道和雙協(xié)議棧服務器的分配對應關系。 當攻擊方使用相同 IPv4 源地址發(fā)送 IPv4 in IPv6 數(shù)據(jù)包，原 有的隧道會被新建立的隧道所取代，這就達成了欺騙攻擊的 目的 [11]。 

（4）雙協(xié)議棧網(wǎng)絡同時擁有 IPv4 和 IPv6 兩種協(xié)議，因 此如果其中任意一種協(xié)議遭受到攻擊，就會影響整個網(wǎng)絡。

 4 相關問題的對策 

由于雙協(xié)議棧網(wǎng)絡兩種 IP 協(xié)議共存，處于現(xiàn)有網(wǎng)絡到新 一代網(wǎng)絡技術的過渡時期，因此整個網(wǎng)絡環(huán)境復雜，對安全 的需求范圍更加廣泛。為此，結合長安大學校園網(wǎng) IPv6 在建 設和實際運行中遇到的安全問題，提出相應的對策 ： 

（1）IPv6 地址規(guī)劃 ：在使用 IPv6 地址的時候，網(wǎng)絡管 理員應該將地址段充分利用，擴大地址應用范圍。即在配置時減少服務器地址的特殊性，以此來增加掃描類病毒程序的 攻擊難度，降低網(wǎng)絡安全隱患。 

（2）接入認證 ：首先雙協(xié)議棧網(wǎng)絡用戶通過客戶端或者 Web 網(wǎng)頁等認證方式進行基于 IPv4 協(xié)議認證，在用戶名、密 碼通過后，終端依次啟用鄰居發(fā)現(xiàn)協(xié)議 NDP、DHCPv6 來獲 得 IPv6 接口地址、網(wǎng)絡前綴和 DNS 等參數(shù)。

（3）接入控制 ：在雙協(xié)議棧服務器上應用接入權限控制 策略，允許 IPv6 隧道通過雙協(xié)議棧服務器認定終端的信息， 禁止其他訪問。 

（4）如果隧道終結點和雙協(xié)議棧服務器不在同一物理設 備上，為防止欺騙攻擊，需要應用動態(tài)隧道通信協(xié)議，這可 通過 IPsec 的 AH 協(xié)議來解決。 

（5）對隧道終結點上創(chuàng)建的隧道和雙協(xié)議棧服務器上的 分配數(shù)據(jù)進行監(jiān)控，檢查與分配相對應隧道的正確性。 

（6）配置支持 IPv4 和 IPv6 兩種協(xié)議的防火墻設備，隔 絕類似蠕蟲或者木馬等程序的端口掃描信息，阻止外部網(wǎng)絡 的漏洞攻擊，以此保護雙協(xié)議棧內(nèi)部網(wǎng)絡免遭病毒或者黑客入 侵。

5 結 語

IPv6 作為新一代互聯(lián)網(wǎng)協(xié)議具備地址空間大、報文安全 靈活等特點，但是由于 IPv4 網(wǎng)絡基礎龐大，從 IPv4 向 IPv6 過渡將是一個非常漫長的過程，在此期間網(wǎng)絡安全問題成為 網(wǎng)絡管理者需要重點關注并予以解決的問題之一。與 IPv4 相 比，IPv6 雖然在性能和安全機制方面有較大地提升，但并不 代表它就是安全的，病毒、木馬、漏洞攻擊等手段依舊會對 IPv6 網(wǎng)絡造成嚴重威脅。目前，各高校都在大力開展 IPv6 網(wǎng) 絡建設，但針對 IPv6 網(wǎng)絡的安全機制還不能滿足其發(fā)展需要。 本文對校園網(wǎng) IPv6 網(wǎng)絡的安全隱患和安全機制進行了探討， 由于針對 IPv6 應用的服務器和防火墻在價格和技術方面還不 能滿足需求，現(xiàn)階段只能通過地址規(guī)劃和接入認證等方法強 化網(wǎng)絡安全保障，而實際應用表明并未出現(xiàn)嚴重的安全問題。

IPv6 網(wǎng)絡的發(fā)展是大勢所趨，IPv6 網(wǎng)絡的安全機制研究 也將是一項長期而復雜的工作。