校園網IPv6安全隱患及其對策

申健　朱婧

摘 要：IPv4因其存在的固有缺陷已不能滿足網絡服務和應用的普及與發展需求，由IPv4向IPv6過渡是互聯網發展的必然趨勢。IPv6協議特有的安全特點在提高網絡安全性能的同時，也帶來了新的安全問題。介紹IPv4向IPv6過渡階段應用的雙協議棧技術、隧道技術和網絡地址轉換/協議轉換技術，結合校園網的實際運行情況，分析了雙協議棧網絡可能遇到的網絡安全隱患，并給出了相應的對策。

關鍵詞：校園網；IPv4；IPv6；雙協議棧；安全隱患；對策

中圖分類號：TP393.1 文獻標識碼：A 文章編號：2095-1302（2015）04-00-03

0 引 言

互聯網的飛速發展使得各種網絡服務和應用日益豐富，人類的日常生產和生活已經越來越依賴于網絡這個交流平臺。但現有的互聯網則是基于IPv4技術使用32位地址段，最多能提供約43億個IP地址。隨著互聯網的進一步發展，以IPv4技術為基礎的現有互聯網已不能滿足需要，其原因是IPv4地址資源已經耗盡，在安全和服務質量以及對移動、智能網絡的支持上都存在嚴重不足。新一代互聯網協議IPv6的主要特點是：擁有128位地址空間，解決了IP地址不足的問題；是可匯聚、分級的地址結構，有效減少了各級路由表問題，提高服務質量，方便使用；通過移動頭（Mobility Header）和返回路徑可達過程（Return Routability Procedure）能夠更好地支持移動性[1]。

互聯網能否健康發展，安全是至關重要的因素之一。IPv6通過內置的IPSec安全協議和對網絡層數據進行加密保證了數據的完整性和機密性，使得端對端數據傳輸具有較高的安全特性[2]。但僅僅這樣并不能代表IPv6網絡的安全可靠，隨著該技術的廣泛應用，其協議本身存在的安全問題、對入侵攻擊的防護等都為進一步發展帶來了安全隱患。本文結合長安大學具體情況，分析校園網IPv6網絡在實際中遇到的安全問題，討論其解決方法。

1 IPv6的安全優勢

IPv6是網絡技術史上的一次重要升級，它從最初設計時就對安全問題進行了關注，因此和IPv4相比，IPv6在IP層擁有更高的安全性。

1.1 IPSec（Internet Protocol Security）安全性機制

IPSec是一種開放標準的框架結構，通過使用加密的安全服務以確保在Internet協議網絡層上進行保密而安全的通訊。IPSec的安全特性屬于IPv6協議的外在安全特性，作為一種協議套件它可以“無縫”地為IP提供安全保障[3]。但實質上可以說IPSec對于IPv4更像一個補丁程序，而對IPv6它已經被看做是協議整體的一部分。

IPSec的結構體系包括3部分：

（1）AH（Authentication Header）身份驗證協議，為數據包提供身份驗證功能。

（2）ESP（Encapsulated Security Payload）安全載荷協議，為數據包提供加密保證防止篡改。

（3）IKE（Internet Key Exchange）密鑰交換協議，為數據包交流安全提供保障。

這3個基本協議用來提供來源認證、數據完整性、數據機密性和訪問控制等保護形式。除此之外，還有密鑰管理協議ISAKMP（提供共享安全信息）、解釋域、算法和策略[4]等。如圖1所示，IPSec增強了數據傳輸的安全性。

1.2 IPv6特有的安全性

IPv6擁有128位的地址空間，理論上能提供2128-1個地址。與IPv4不同，IPv6的子網掩碼是64位，每一個網段約有264個地址。對于如此巨大的地址空間來說掃描整個子網需要的時間極其漫長，這就對通過自動掃描來查殺繁殖的網絡病毒造成了極大的困難。

在IPv4網絡中，每一個IPv4地址或者子網都可以分布在全世界任何一個地方，這種情況使得假冒IPv4源地址成為一件很容易的事，黑客可以使用隨機產生的地址來作為攻擊數據包的源地址。與IPv4不同，IPv6是可匯聚、分級的地址結構，即IPv6上級互聯網供應商可以對自己客戶的地址段進行匯聚，在路由器或者網關設備中對網絡流量進行過濾，只允許客戶地址范圍內的源地址通過。這樣，黑客就不能使用任意IP來假冒源地址，而且能夠使跟蹤和回溯假冒地址變得很容易[5]。

2 IPv6的安全缺陷

與IPv4相比，IPv6在數據保密性、完整性和網絡的可控性及抗攻擊性等方面都有了較大改善，一些IPv4網絡中常見的攻擊在IPv6網絡中已經失效，但使用證明其仍然存在不少安全問題。

2.1 來自非網絡層的攻擊

IPv4和IPv6都是工作在網絡層上通過IP地址屏蔽底層不同的物理網絡，并對傳輸層提供服務的協議。與IPv4相比，IPv6網絡中數據包傳輸的基本機制并沒有改變，仍然是在控制平面學習路由并通過已知的路由信息轉發數據包。因此，IPv4網絡中來自除去網絡層的其他層面中的攻擊在IPv6網絡中依然會出現。例如，通過TCP中存在的漏洞發動針對網絡路由器的“重啟式”攻擊，通過偽造MAC欺騙數據鏈路層設備[6]，以及DNS的安全性、SNMP的安全性和木馬、蠕蟲等都屬于這一類。

2.2 ICMPv6的缺陷

ICMPv6[7]即互聯網控制信息協議版本6，它包括了IPv4中的IMCP功能和ARP功能，是IPv6的重要組成部分。IPv6網絡正常工作需要ICMPv6協議，不能像IPv4網絡一般將其禁用，這就導致ICMPv6會被利用產生拒絕服務攻擊，以及偽造其他節點產生諸如超時、不可達和參數錯誤等信息，從而影響正常通信。

2.3 鄰居發現協議的漏洞

鄰居發現協議是IPv6的基礎協議，用來發現同一鏈路上的其他節點、進行地址解析和鄰居不可達檢測等。但利用鄰居發現協議，能夠通過發送錯誤的路由器宣告和錯誤的重定向消息，讓數據包流向不確定的地方，進而可能出現拒絕服務、攔截和修改數據包等現象[8]。

2.4 無狀態地址分配的隱患

雖然無狀態地址分配[9]這一技術為合法的網絡用戶使用IPv6網絡帶來了方便，但無狀態地址分配中的地址沖突檢測機制也給網絡造成了安全隱患。該協議認為任何自動配置的節點都是合法節點，新節點只要回復對臨時地址進行的鄰居請求，請求方就會認為地址已經被使用而放棄該臨時地址，這樣攻擊者就能順利地連接到本地網絡中。

2.5 移動IPv6的安全問題

移動IPv6[10]中也存在不少安全問題，例如由錯誤的綁定信息而引起的拒絕服務攻擊、劫持攻擊、中間人攻擊和假冒攻擊等。

3 校園網IPv6的安全隱患

IPv4網絡在向IPv6網絡的過渡過程中一般應用三種過渡技術，即雙協議棧技術、隧道技術和網絡地址轉換技術。

3.1 過渡技術分析

（1）雙協議棧技術指的是單個網絡節點上既有IPv4棧又有IPv6棧，能夠同時支持IPv4和IPv6兩種協議，即該節點不但能與IPv4協議節點進行通信，還能與IPv6節點進行通信。這種技術在過渡初期是必須的，它能夠解決IPv4網絡和IPv6網絡之間的兼容問題，而雙協議棧技術也是其他過渡技術的基礎[10]。

（2）隧道技術是指將一種協議的報頭封裝在另一種協議里面來進行通信。IPv6隧道就是將IPv6數據封裝在IPv4的數據報中，等達到另一端后再進行解封。對于過渡過程中出現的“IPv6孤島”，隧道技術能夠使它在“IPv4海洋”中進行通信，但不能實現IPv4節點與IPv6節點之間的通信。

（3）網絡地址轉換技術在網絡層、傳輸層和應用層上實現協議之間的轉換，能夠使純IPv4節點和純IPv6節點之間進行通信。因其地址和協議都在網絡設備上進行轉換，不需要進行升級。

3.2 校園網IPv6過渡技術應用

長安大學校園網自開始建設至今，用戶數已超過3萬，整個校園網劃分為3個子網：教學科研及辦公區子網、住宅區子網和學生區子網。學校向Cernet（中國教育和科研計算機網）申請的真實地址段總計48個C類地址段約合1.2萬個地址。但真實地址數遠遠不能滿足實際需求，僅學生區子網用戶規模就超過1.3萬，只能使用私有IPv4地址。為解決IPv4真實地址匱乏并與國際互聯網技術同步發展，自2003年開始國家啟動了中國下一代互聯網示范工程“CNGI”項目，我校是其中的示范應用單位之一。經過幾年的建設發展，已建成了獨立的IPv6子網，搭建了IPv4和IPv6雙協議棧網絡及服務器，聯通了教育網的其他高校IPv6子網，實現了教育網內部的IPv6網絡通信。具體做法是在教育網范圍內通過獨立的光纖鏈路直接對IPv6資源進行訪問，在校園網內部采用雙協議棧技術；主機和路由器同時開啟IPv4和IPv6兩種協議，同時獲取到IPv4和IPv6兩個網絡地址。這樣，每一位校園網用戶都能同時訪問校園網內外的IPv4和IPv6資源。

3.3 校園網IPv6的安全問題

雙協議棧技術讓校園網用戶能夠同時訪問IPv4和IPv6兩種網絡資源，在過渡階段達到IPv4網絡和IPv6網絡的兼容，如圖2所示。實際運行狀態下通過網絡管理人員的反饋信息分析和所進行的安全測試，結合雙協議棧技術本身的安全問題，發現并提出了校園網雙協議棧網絡可能出現的安全隱患。

（1）在規劃IPv6網絡的時候，若對地址前綴的指定以及采取依次降序或者升序來分配地址的方法，將使得IPv6的地址實際使用范圍大大縮小。其原因在于IPv6地址過長，管理員為了方便記憶經常會給服務器配置比較特殊的IPv6地址。這種做法會造成類似蠕蟲或者木馬的掃描漏洞程序能夠較為容易地發現網段中的重要服務器，并實施攻擊。

（2）雙協議棧路由器以隧道方式通過IPv4網絡傳送IPv6包，一旦IPv4設備被入侵并激活隧道，攻擊者就能夠繞過網絡過濾和防御系統，對其他節點進行攻擊。

（3）雙協議棧網絡的節點都是雙棧節點，其結合隧道技術已解決純IPv6網絡中主機與IPv4主機的互連問題。雙協議棧網絡的網關（即隧道終結點TEP）保留有主機IPv4和IPv6地址的映射表，并利用映射表進行IPv4包的封裝和解封。在TEP收到一個攜帶IPv4的IPv6數據包時，它會使用包內攜帶的IPv6和IPv4源地址和目的地址，通過動態隧道接口（DTI）創建一個IPv4 in IPv6隧道，如果在部署雙協議棧IPv6網絡的TEP時，TEP和雙協議棧服務器不在同一臺主機上，就沒辦法檢查網關建立的隧道和雙協議棧服務器的分配對應關系。當攻擊方使用相同IPv4源地址發送IPv4 in IPv6數據包，原有的隧道會被新建立的隧道所取代，這就達成了欺騙攻擊的目的[11]。

（4）雙協議棧網絡同時擁有IPv4和IPv6兩種協議，因此如果其中任意一種協議遭受到攻擊，就會影響整個網絡。

4 相關問題的對策

由于雙協議棧網絡兩種IP協議共存，處于現有網絡到新一代網絡技術的過渡時期，因此整個網絡環境復雜，對安全的需求范圍更加廣泛。為此，結合長安大學校園網IPv6在建設和實際運行中遇到的安全問題，提出相應的對策：

（1）IPv6地址規劃：在使用IPv6地址的時候，網絡管理員應該將地址段充分利用，擴大地址應用范圍。即在配置時減少服務器地址的特殊性，以此來增加掃描類病毒程序的攻擊難度，降低網絡安全隱患。

（2）接入認證：首先雙協議棧網絡用戶通過客戶端或者Web網頁等認證方式進行基于IPv4協議認證，在用戶名、密碼通過后，終端依次啟用鄰居發現協議NDP、DHCPv6來獲得IPv6接口地址、網絡前綴和DNS等參數。

（3）接入控制：在雙協議棧服務器上應用接入權限控制策略，允許IPv6隧道通過雙協議棧服務器認定終端的信息，禁止其他訪問。

（4）如果隧道終結點和雙協議棧服務器不在同一物理設備上，為防止欺騙攻擊，需要應用動態隧道通信協議，這可通過IPsec的AH協議來解決。

（5）對隧道終結點上創建的隧道和雙協議棧服務器上的分配數據進行監控，檢查與分配相對應隧道的正確性。

（6）配置支持IPv4和IPv6兩種協議的防火墻設備，隔絕類似蠕蟲或者木馬等程序的端口掃描信息，阻止外部網絡的漏洞攻擊，以此保護雙協議棧內部網絡免遭病毒或者黑客入侵。

5 結 語

IPv6作為新一代互聯網協議具備地址空間大、報文安全靈活等特點，但是由于IPv4網絡基礎龐大，從IPv4向IPv6過渡將是一個非常漫長的過程，在此期間網絡安全問題成為網絡管理者需要重點關注并予以解決的問題之一。與IPv4相比，IPv6雖然在性能和安全機制方面有較大地提升，但并不代表它就是安全的，病毒、木馬、漏洞攻擊等手段依舊會對IPv6網絡造成嚴重威脅。目前，各高校都在大力開展IPv6網絡建設，但針對IPv6網絡的安全機制還不能滿足其發展需要。本文對校園網IPv6網絡的安全隱患和安全機制進行了探討，由于針對IPv6應用的服務器和防火墻在價格和技術方面還不能滿足需求，現階段只能通過地址規劃和接入認證等方法強化網絡安全保障，而實際應用表明并未出現嚴重的安全問題。

IPv6網絡的發展是大勢所趨，IPv6網絡的安全機制研究也將是一項長期而復雜的工作。

參考文獻

[1] 李振強，趙曉宇，馬嚴.IPv6安全脆弱性研究[J].計算機應用研究，2006（11）：109-112.

[2] 時晨，申普兵，楊瑾，等.IPv6校園網環境下IPSecVPN的安全性研究[J].計算機技術與發展，2010，20（10）：167-170.

[3] 唐述科，李漢菊.IPv6鄰居發現協議的安全性分析[J].信息安全與通信保密，2006（9）：101-101.

[4] 譚海波，景鳳宣，王家瑋，等.基于校園網的IPv6安全協議分析與應用研究[J].山東大學學報（理學版），2012，47（11）：54-58.

[5] 張岳公，李大興.IPv6 下的網絡攻擊和入侵分析[J].計算機科學，2006，33（2）：100-102.

[6] US-CERT. Vulnerabilities in TCP [EB/OL]. http//www. us-certgov/cas/techalerts/TA04-111A.html，2004-04-20.

[7] RFC2463.Internet Control Message Protocol（ICMPv6） for the Internet Protocol version 6（IPv6）Specification[S].

[8] 蘇明，顏世峰.IPv6校園網入侵檢測系統設計[J].小型微型計算機系統，2009，30（3）：480-483.

[9] Tnomson S.，Narten T..IPv6 stateless address autoconfiguration.RFC2462，Internet Engineering Task Force，1998.

[10] 李航.雙協議棧技術在高校IPv4向IPv6過渡中的應用研究[J].煤炭技術，2012，31（5）：233-234.

[11] 霍然.一種基于雙協議棧轉換機制的IPv6網絡安全研究[J].遼寧師專學報（自然科學版），2008，10（4）：40-42.