ＩＰｖ６安全技術分析

摘要：介紹了Ipv6協議的安全特性，在此基礎上，分析了IPv6可能面臨的安全威脅，在Ipv4到Ipv6的過渡階段存在的特有的體系結構及安全問題。對相應的安全問題，詳細闡述了問題的來源和特性，并提出了利用現有技術手段來解決網絡安全問題的技術方案。

關鍵詞：IPv6；安全；攻擊；IPSec；防火墻

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)32-1082-02

IPv6 Security Technologies Analysis

WANG Yi-wu， REN Yu， CHEN Jun

(Education Technology Center of ChengDu Medical College， Chengdu 610083， China)

Abstract: Introduce the security features of the Ipv6， on the basis of this， Analysis the security threats the IPv6 may face to， as well as the unique architecture and security issues on the transitional stage of Ipv4 to Ipv6.To the corresponding security issues， elaborated the origin and characteristics， Proposed the technical program how to solve the network security problem with the existing technological method.

Key words: IPv6; security; attack; IPSec; firewall

1 引言

伴隨著CNGI_CERNET2工程的展開，IPv6已經率先步入各高等院校，IPv6超大的地址空間、清晰的路由結構、對視頻點播及移動主機良好的支持等特性讓我們領略到了下一代互聯網的優越性，IPv6從地址空間和自身協議完善方面都能對網絡安全起到促進作用，它支持各種安全選項，包括審計功能、數據完整性檢查、保密性驗證等。但是，在IPv6環境中，特別是現在IPv4到IPv6的過渡階段，技術能力不夠，部分協議規范尚在制定之中，必要的網絡安全設備仍需完善，所以對IPv6網絡安全的研究尤為必要。

2 IPv6的安全特性

IPSec是IPv6協議的重要組成部分，也是IPv4的一個可選擴展協議。它可以“無縫”地為IP提供安全特性，包括訪問控制、無連接的完整性、數據源認證、拒絕重發包(部分序列完整性形式)、保密性和有限傳輸流保密性等。

2.1 協議安全

在協議安全方面，IPv6全面支持認證頭（AH）認證和封裝安全有效負荷(ESP)信息安全封裝擴展頭．AH認證支持hmac—rod5—96 1hmac—sha—l一96認證加密算法，ESP封裝支持DES—CBC、3DES—CBC、RC5、CAST_128等加密算法。

2.2 網絡安全

2.2.2 端到端的安全保證

IPv6最大的優勢至于保證端到端的安全，可以滿足用戶對端到端安全和移動性的要求。每建立一個連接，都會對兩端主機的報文進行IPSec封裝，中間路由器實現對有IPSec擴展頭的IPv6報文進行透傳，通過對通信端的驗證和對數據的加密保護，使得敏感數據可以在IPv6上安全地傳遞。

2.2.3 對內部網絡的保密

因為IPSec作為IPv6的擴展報頭不能被中間路由器解析而只能被目的節點解析處理，因此IPSec網關可以通過IPSec隧道的方式實現，也可以通過IPv6擴展頭中提供的路由頭和逐跳選項頭結合應用層網關技術來實現。

2.2.4 通過安全隧道構建安全的VPN

利用IPSec構建VPN，可以實現強大的安全性、支持遠程辦公和移動辦公、減輕在集線器站點的擁擠等功能。在路由器之間建立IPSec的安全隧道，構成安全的VPN是最常用的安全網絡組建方式。IPSec網關的路由器實際上就是IPSec隧道的終點和起點。

2.2.5 通過隧道嵌套實現網絡安全

通過隧道嵌套的方式可以獲得多重的安全保護，當配置了IPSec的主機通過安全隧道接入到配置了IPSec網關的路由器，并且該路由器作為外部隧道的終結點將外部隧道封裝剝除時，嵌套的內部安全隧道就構成了對內部網絡的安全隔離。

3 IPv6所面臨的安全問題

3.1 網絡偵查

在IPv6中，地址分為兩部分：一部分是64位的子網標識符，另一部分是64位的接口標識符，本地網絡的最小地址數是264 。超大地址空間和清晰的分層次地址結構可以有效地防止攻擊者對整個IPv6網絡進行系統的偵查。雖然傳統的掃描和探測技術不再適用，但是由于IPv6的地址是128位的，不容易記憶，網絡管理員通常會對一些關鍵設備使用容易記憶的IPv6地址（如2001:da8:6002:3::1、2001:250:3::1等），猜到這類地址的可能性會很大。另外，IPv6引入的組播和任播使攻擊者會更容易發現網絡中的關鍵系統。如路由器、NTP Server等，這些設備上維護了諸如：鄰居緩存、目的緩存、前綴列表、默認路由器列表等數據結構，攻擊者可以利用鄰居或簡單的報文截獲來發現這些信息并實施攻擊。比如攻擊者可以宣告錯誤的網絡前綴、路由信息等，從而使網絡不能正常工作，將網絡流量導向錯誤的地方。

針對這種情況，對于系統上的關鍵主機，網絡管理員應使用標準的，不易被猜測到的IPv6地址，增加黑客猜測IPv6網絡地址的難度；在防火墻上過濾掉不需要的網絡服務，減少被掃描到漏洞服務的機會；有選擇性地過濾ICMP報文。

3.2 ICMPv6和IP分片

IPv6明確規定了對部分類型的ICMPv6報文不要過濾，包括“報文太大、參數問題、路由懇求、鄰居懇求、偵聽報文等”如果消息頭和內容沒有IPSec保護，攻擊者可以很容易冒充合法節點，不停產生錯誤IP包（目的不可達、超時、參數錯誤等），在網絡上發起拒絕服務攻擊。

針對IP分片攻擊技術， RFC2460中規定，傳輸的中間裝置如路由器和交換機在IPv6中不允許接受以它們為目標地址的IPv6分片報文。也就是說，向這些網絡中間裝置發送IPv6分片報文的攻擊是沒有用的。而且，RFC2460中還規定，不允許重疊現象的發生，當發生了重疊現象，IPv6會把這些碎片報文丟棄。同時，在RFC2460中規定，IPv6最小的MTU是1280個字節，小于1280的分片是不合法的(除最后一片)；這有助于防止碎片攻擊。

3.3 隧道技術

隧道技術是將Ipv6的數據包封裝入Ipv4中，將隧道入口和出口的Ipv4地址作為Ipv4分組的源地址和目的地址，從而實現Ipv6數據包的傳輸。

在這種情況下，非法用戶可以使用IPv6訪問采用了IPv4和IPv6的網絡資源，攻擊者還可以通過安裝了雙棧的IPv6的主機，建立由IPv6到IPv4的隧道，繞過防火墻對IPv4進行攻擊。

在隧道技術中，將一種協議封裝在另外一種協議的數據包種，這使得過濾分組的安全機制失效，所以要安全使用隧道技術，必須對現有的網關、防火墻等安全設施進行改進。

3.4 地址配置方式

IPv6支持有狀態和無狀態的兩種地址自動配置方式。有狀態地址自動配置是通過DHCPv6實現的，目前該標準還在制訂中；無狀態地址自動配置是獲得地址的關鍵。網絡節點為獲得他的全局路由前綴，向目的地址FF02::2（所有路由器多播地址）發出路由器請求RS（Router Solicitation）消息。路由器收到網絡節點的RS消息后，向該節點回送路由器宣告RA（Router Advertisement）消息，來告知網絡上所有IPv6主機的節點前綴、生命周期等參數。節點根據此公告報文來配置路由表。

這種無狀態地址自動配置協議極大地提高了網絡使用的方便性和易管理性，但也存在著安全缺陷。此種地址分發方式允許任何接入網絡的節點都分配地址，包括非法節點的連接，所以無狀態配置方式下網絡的安全性將受到很大影響。Ipv6的鄰節點發現協議使用ICMPv6來實現相鄰節點的交互管理，取代了Ipv4中使用的基于廣播的地址解析協議ARP、ICMPv4路由器發現和ICMPv4重定向報文。鄰節點發現協議容易受到多種攻擊。通過偽造鄰節點發現報文，攻擊者可以在網絡上發布錯誤的節點前綴、路由信息，從而達到虛假路由的目的。攻擊者還可以通過虛假的路由消息，讓源節點將消息發往自己，以竊取數據破壞機密性，或者誤導大量節點發送數據到某個目標節點使其資源耗盡，破壞可用性。

3.5 病毒、互聯網蠕蟲

病毒和互聯網蠕蟲是現在最讓人頭疼的網絡攻擊行為，基于應用層的病毒和互聯網蠕蟲對底層的傳輸方法是IPv4還是IPv6并不敏感，所以他們的存在是肯定的，但這種傳播方式由于IPv6巨大的地址空間，傳播將非常困難。病毒和蠕蟲檢測系統仍然是必需的。

3.6 源地址偽裝

攻擊者修改他們的源IP地址和目的地址端口，使他們發出的報文看似發自于另一臺主機或另一個應用程序，這種欺騙攻擊依然十分流行。IPv6 地址具有全球聚集屬性，分層次地址結構使對客戶的IPv6地址段易于總結， 有利于跟蹤和回溯。加上RFC2827 推薦的過濾策略后，不合法的報文將被丟棄，從而達不到攻擊的目的。不過目前這種過濾還不是一種標準行為，它需要管理者去實現。

4 結論

IPv6的出現雖然主要是為了解決IPv4地址空間有限的問題。但同時也為提高網絡安全性能從協議基礎上提供了支持，IPSec的實施，并沒有使其他安全防御體系成為冗余。保障網絡安全，單靠一兩項技術并不夠，還需要配合多種手段。對于整個安全體系來說，IPSec、防火墻、IDS應該是共同存在，構成一個防御體系。其安全效果勝于任何一個的單獨使用。

參考文獻：

[1] Hagen S.IPv6精髓[M].技橋，譯.北京:清華大學出版社，2004:92-118.

[2] 郭改義.IPSec的安全體系及應用[J].商場現代化，2006(5):l-3.

[3] 張肖翠，胡迎新.利用IPSec技術構建企業虛擬專用網[J].微計算機信息，2006(5):120-121.

[4] 程琛睿，馬嚴.IPSec與IPv6的網絡安全[J].現代電信科技，2006(2):21-23.

[5] 胡道元，閔京華. 網絡安全[M].北京:清華大學出版社，2004:l88-2l1.

[6] 周遜.IPv6一下一代互聯網的核心[M].北京:電子工業出版社，2003:207-230.

[7] 李振強，趙曉宇.IPv6技術揭秘[M].北京:人民郵電出版社，2006:255-234.

[8] 褚玲瑜，齊文娟.IPv6的安全問題探討[J].微計算機信息，2006，22(1):10-12.