IPv6網(wǎng)絡(luò)到底安不安全

當(dāng)前，“線上”網(wǎng)絡(luò)和“線下”生活正在深度融合，虛擬網(wǎng)絡(luò)世界和現(xiàn)實(shí)社會生活相互交織。人們在互聯(lián)網(wǎng)上變成了“透明人”，個(gè)人的一舉一動都被互聯(lián)網(wǎng)“記錄在案”，試想一下如果這些信息被非法使用，是不是很恐怖？

另外，網(wǎng)絡(luò)在金融、交通、通信、軍事等各個(gè)領(lǐng)域的作用越來越重要，已成為一個(gè)國家正常運(yùn)轉(zhuǎn)的“神經(jīng)系統(tǒng)”。

我們知道國家正在大力推動IPv6網(wǎng)絡(luò)的部署，其中有一個(gè)很重要的出發(fā)點(diǎn)，就是希望借助IPv6在安全性上的改進(jìn)，促進(jìn)網(wǎng)絡(luò)空間的安全治理，扭轉(zhuǎn)當(dāng)前網(wǎng)絡(luò)安全的嚴(yán)峻形勢。

IPv6在技術(shù)上有哪些改進(jìn)？

IPv6作為下一代互聯(lián)網(wǎng)的關(guān)鍵性技術(shù)，正逐步取代IPv4成為支撐互聯(lián)網(wǎng)運(yùn)轉(zhuǎn)的核心協(xié)議，IPv6重點(diǎn)解決了IPv4兩方面的問題。

地址空間問題

與IPv4相比，IPv6把IP地址數(shù)量從2的32次方擴(kuò)展到了2的128次方，足以滿足任何未來可預(yù)計(jì)的地址空間分配。這正是IPv6被選作新一代網(wǎng)絡(luò)承載協(xié)議并逐漸商用部署的根本驅(qū)動力。

網(wǎng)絡(luò)安全問題

IPv4因?yàn)榈刂焚Y源有限，在很多時(shí)候一個(gè)公網(wǎng)地址需要通過地址翻譯（NAT）方式被多臺主機(jī)共用。因此也就破壞了端到端通信的透明性，為網(wǎng)絡(luò)安全事件的溯源帶來了困難。

IPv6地址資源豐富，可采用逐級、層次化的結(jié)構(gòu)進(jìn)行地址分配，為每個(gè)責(zé)任體分配一個(gè)獨(dú)一無二的IPv6地址，使得追蹤定位，查詢溯源得到了很大的改善。

可以說，IPv6技術(shù)是實(shí)施網(wǎng)絡(luò)空間安全治理的基礎(chǔ)性技術(shù)。

IPv6在安全性上有哪些提高？

1 ---可溯源和防攻擊

IPv6的地址空間巨大，理論上不會再有IPv6地址短缺困境，也不需要廣泛使用NAT設(shè)備節(jié)省IPv6公網(wǎng)地址。IPv6終端之間可以直接建立點(diǎn)到點(diǎn)的連接，無需地址轉(zhuǎn)換，因此IPv6地址非常容易溯源。

IPv6地址分為64位的網(wǎng)絡(luò)前綴和64位的接口地址。一個(gè)64位的前綴地址支持64位的主機(jī)數(shù)量，攻擊者無法掃描一個(gè)IPv6網(wǎng)段內(nèi)所有可能的主機(jī)。假設(shè)攻擊者以每秒掃描100萬個(gè)主機(jī)的速度掃描，大約50萬年左右才能遍歷一個(gè)64位前綴內(nèi)所有的主機(jī)地址。64位的主機(jī)地址使得網(wǎng)絡(luò)掃描的難度和代價(jià)都大大增加，從而進(jìn)一步防范了攻擊。

2 ---支持IPSec安全加密機(jī)制

IPv6協(xié)議中默認(rèn)集成了IPSec安全功能，通過擴(kuò)展認(rèn)證報(bào)頭（AH）和封裝安全載荷報(bào)頭（ESP）實(shí)現(xiàn)加密和驗(yàn)證功能。

AH協(xié)議實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證功能，ESP在上述功能基礎(chǔ)上增加安全加密功能。集成了IPSec的IPv6協(xié)議真正實(shí)現(xiàn)了端到端的安全，中間轉(zhuǎn)發(fā)設(shè)備只需要對帶有IPSec擴(kuò)展包頭的報(bào)文進(jìn)行普通轉(zhuǎn)發(fā)，而不對IPSec擴(kuò)展包頭進(jìn)行處理，大大減輕轉(zhuǎn)發(fā)壓力。

3 ---NDP和SEND的安全增強(qiáng)

在IPv6協(xié)議中，采用鄰居發(fā)現(xiàn)協(xié)議（NDP）取代現(xiàn)有IPv4中的ARP及部分ICMP控制功能。NDP協(xié)議通過在節(jié)點(diǎn)之間交換ICMPv6信息報(bào)文和差錯(cuò)報(bào)文實(shí)現(xiàn)鏈路層地址及路由發(fā)現(xiàn)、地址自動配置等功能，并且通過維護(hù)鄰居可達(dá)狀態(tài)來加強(qiáng)通信的健壯性。

NDP協(xié)議獨(dú)立于傳輸介質(zhì)，可以更方便地進(jìn)行功能擴(kuò)展?，F(xiàn)有的IPv6協(xié)議層加密認(rèn)證機(jī)制可以實(shí)現(xiàn)對NDP協(xié)議的保護(hù)。IPv6的安全鄰居發(fā)現(xiàn)協(xié)議（SEND）協(xié)議是NDP的一個(gè)安全擴(kuò)展，SEND的目的是提供一種備用機(jī)制，通過獨(dú)立于IPSec的另一種加密方式保護(hù)NDP，保證了傳輸?shù)陌踩浴?/p>

4 ---真實(shí)源地址驗(yàn)證體系

真實(shí)源IPv6地址驗(yàn)證體系結(jié)構(gòu)（SAVA）分為接入網(wǎng)（Access Network）、區(qū)域內(nèi)（Intra-AS）和區(qū)域間（Inter-AS）源地址驗(yàn)證三個(gè)層次，從主機(jī)IP 地址、IP 地址前綴和自治域三個(gè)粒度構(gòu)成多重監(jiān)控防御體系。該體系不但可以有效阻止仿冒源地址類攻擊，還能夠通過監(jiān)控流量來實(shí)現(xiàn)基于真實(shí)源地址的計(jì)費(fèi)和網(wǎng)管。

因此，IPv6不止IP地址接近無限，還在網(wǎng)絡(luò)安全性方面更勝一籌。

IPv6依然存在風(fēng)險(xiǎn)？

與IPv4相比，IPv6在安全性方面進(jìn)行了預(yù)先設(shè)計(jì)和充分考慮，但仍然存在一些難以解決的安全風(fēng)險(xiǎn)。

IPv6作為網(wǎng)絡(luò)層協(xié)議，并不能解決所有的網(wǎng)絡(luò)安全問題。其他功能層（如由于應(yīng)用層漏洞）所引發(fā)的攻擊，IPv6本身并不能解決。

IPv6仍然沿襲了部分IPv4存在的安全風(fēng)險(xiǎn)，在IPv4與IPv6實(shí)施的雙棧配置等過渡期機(jī)制也可能引入安全風(fēng)險(xiǎn)。

網(wǎng)絡(luò)中也會出現(xiàn)一些專門針對IPv6協(xié)議形成的新安全風(fēng)險(xiǎn)。

繼承自IPv4的安全威脅

1

IPv6中協(xié)議和報(bào)文結(jié)構(gòu)雖有變化，但一些存在于IPv4網(wǎng)絡(luò)中的攻擊類型仍然存在。

過渡機(jī)制存在的安全風(fēng)險(xiǎn)

2

當(dāng)前我國IPv6規(guī)模部署工作呈現(xiàn)加速發(fā)展態(tài)勢，在從IPv4向IPv6過渡的過程中，“雙棧”、“隧道”、“翻譯”是三種采用的方案，均可能引入新的安全威脅。

雙棧機(jī)制安全風(fēng)險(xiǎn)

IPv4/IPv6雙棧技術(shù)是指在網(wǎng)絡(luò)節(jié)點(diǎn)上同時(shí)運(yùn)行IPv4和IPv6兩種協(xié)議，在IP網(wǎng)絡(luò)中形成邏輯上相互獨(dú)立的兩張網(wǎng)絡(luò)：IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)。

過渡期間同時(shí)運(yùn)行著IPv4、IPv6兩個(gè)邏輯網(wǎng)絡(luò)，增加了設(shè)備及系統(tǒng)的暴露面，也意味著防火墻、安全網(wǎng)關(guān)等防護(hù)設(shè)備需同時(shí)配置雙棧策略，導(dǎo)致策略管理復(fù)雜度加倍，防護(hù)被穿透的機(jī)會加倍。

在IPv4網(wǎng)絡(luò)中，部分操作系統(tǒng)缺省啟動了IPv6自動地址配置功能，使得IPv4網(wǎng)絡(luò)中存在隱蔽的IPv6通道，但由于該IPv6通道并沒有進(jìn)行防護(hù)配置，攻擊者可能利用IPv6通道實(shí)施攻擊。

雙棧系統(tǒng)同時(shí)運(yùn)行IPv4協(xié)議、IPv6協(xié)議，會增加網(wǎng)絡(luò)節(jié)點(diǎn)協(xié)議處理復(fù)雜性和數(shù)據(jù)轉(zhuǎn)發(fā)負(fù)擔(dān)，導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)的故障率增加。

隧道機(jī)制安全風(fēng)險(xiǎn)

一些隧道機(jī)制對任何來源的數(shù)據(jù)包只進(jìn)行簡單的封裝和解封，所以各種隧道機(jī)制的引入，為網(wǎng)絡(luò)環(huán)境增添了安全隱患。

不對IPv4和IPv6地址的關(guān)系做檢查。攻擊者利用隧道機(jī)制，可將IPv6報(bào)文封裝成IPv4報(bào)文進(jìn)行傳輸，由于IPv4網(wǎng)絡(luò)無法驗(yàn)證源地址的真實(shí)性，攻擊者可以偽造隧道報(bào)文注入到目的網(wǎng)絡(luò)中。

不對隧道封裝的內(nèi)容進(jìn)行檢查，通過隧道封裝攻擊報(bào)文。對于以隧道形式傳輸?shù)腎Pv6流量，很多網(wǎng)絡(luò)設(shè)備直接轉(zhuǎn)發(fā)或者只做簡單的檢查。攻擊者可以配置IPv4 over IPv6，將IPv4流量封裝在IPv6報(bào)文中，導(dǎo)致原來IPv4網(wǎng)絡(luò)的攻擊流量經(jīng)由IPv6的“掩護(hù)”后穿越防護(hù)造成威脅。

翻譯機(jī)制安全風(fēng)險(xiǎn)

翻譯機(jī)制（即協(xié)議轉(zhuǎn)換）通過IPv6與IPv4的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)了IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)的雙向互訪。翻譯設(shè)備作為IPv6網(wǎng)絡(luò)與IPv4網(wǎng)路的互連節(jié)點(diǎn)，易成為安全瓶頸，一旦被攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓。

IPv6特有的安全威脅

3

IPv6報(bào)文結(jié)構(gòu)中引入的新字段（如流標(biāo)簽、RH0、路由頭等）、IPv6協(xié)議族中引入的新協(xié)議（如NDP鄰居發(fā)現(xiàn)協(xié)議等）可能存在漏洞，被用于發(fā)起嗅探、DoS等攻擊。

IPv6新的應(yīng)用也可能帶來安全風(fēng)險(xiǎn)。IPv6使用IPSec，使得防火墻過濾變得困難，防火墻需要解析隧道信息。如果使用ESP加密，三層以上的信息都是不可見的，控制難度大大增加，需要安全設(shè)備能夠識別出攻擊報(bào)文新方法和措施。

寫在最后

IPv6并不能解決所有的網(wǎng)絡(luò)安全問題。

但是因?yàn)镮Pv6協(xié)議提供可靠的地址驗(yàn)證與溯源機(jī)制，可以在上述攻擊發(fā)生后及時(shí)溯源處置，實(shí)現(xiàn)高效的信息安全治理。

擁有網(wǎng)絡(luò)安全意識是保證網(wǎng)絡(luò)安全的前提，因此在IPv6部署時(shí)就需要樹立良好的安全防范意識。部署時(shí)充分利用IPv6自身的安全特性的同時(shí)，設(shè)定合理的安全部署策略。

IPv6是革命性的，IPv6允許我們?yōu)槲磥頍o處不在的萬物互聯(lián)做好準(zhǔn)備。但是，同其他的技術(shù)創(chuàng)新一樣，我們也需要從安全的角度認(rèn)真關(guān)注IPv6。