高校IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及其應(yīng)對策略研究

◆朱慧

（三江學(xué)院計(jì)算機(jī)科學(xué)與工程學(xué)院 江蘇 210012）

當(dāng)前我國的IPv6 網(wǎng)絡(luò)正處于蓬勃發(fā)展當(dāng)中，IPv6 互聯(lián)網(wǎng)活躍用戶總數(shù)已達(dá)4.86 億（截至2021 年1 月），全國IPv6 互聯(lián)網(wǎng)活躍用戶總占比達(dá)49.1%。中央部委、省級政府、央企、中央媒體網(wǎng)站等基本網(wǎng)站已支持 IPv6 業(yè)務(wù)訪問，Top100 的互聯(lián)網(wǎng)門戶及金融央企支持IPv6 比例則在65%以上。在教育領(lǐng)域，高校互聯(lián)網(wǎng)也已通過教育網(wǎng)CNGI-CERNET2 快速向IPv6 時(shí)代演進(jìn)，目前國內(nèi)雙一流大學(xué)支持IPv6 訪問的比例已達(dá)90.51%，隨著高校IPv6 網(wǎng)絡(luò)投入規(guī)模應(yīng)用，相應(yīng)的網(wǎng)絡(luò)安全漏洞須引起足夠的重視，雖然IPv6 本身已經(jīng)具備一定的安全防范機(jī)制，但是若不能做好風(fēng)險(xiǎn)防控和預(yù)警，則會(huì)讓校園網(wǎng)面臨嚴(yán)重的網(wǎng)絡(luò)安全挑戰(zhàn)。

1 IPv6 在校園網(wǎng)部署的安全風(fēng)險(xiǎn)

1.1 系統(tǒng)安全風(fēng)險(xiǎn)

（1）繼承自IPv4 的安全威脅

IPv6 協(xié)議在安全性上雖然做了改進(jìn)，但其數(shù)據(jù)報(bào)的傳輸機(jī)制并沒有本質(zhì)改變，因此在IPv4 網(wǎng)絡(luò)中普遍存在著針對應(yīng)用層、傳輸層的惡意攻擊手段：例如DDoS、CC、SQL 注入、網(wǎng)站后門、路由選擇攻擊等也同樣時(shí)刻威脅著IPv6 的網(wǎng)絡(luò)服務(wù)。

（2）IPv6 協(xié)議本身的安全威脅

新增的流標(biāo)簽字段、擴(kuò)展報(bào)頭的選擇使用以及用來替代ARP 的鄰居發(fā)現(xiàn)協(xié)議均存在安全隱患，易被用來發(fā)起嗅探攻擊。因此擴(kuò)展報(bào)頭攻擊、NDP 協(xié)議攻擊、路由重定向攻擊、ICMPv6 的攻擊等等將是和IPv6 協(xié)議相關(guān)的主要攻擊方式[1]。截至 2021 年2 月，在CVE 漏洞庫中與IPv6 相關(guān)的漏洞共491 個(gè)，涉及華為、思科等數(shù)通硬件產(chǎn)品、Linux、Windows 等操作系統(tǒng)的各個(gè)發(fā)行版本，以及Wireshark等網(wǎng)絡(luò)維護(hù)應(yīng)用程序等。

（3）校園網(wǎng)IPv4/ IPv6 過渡階段安全風(fēng)險(xiǎn)

高校在過渡階段選擇和采用何種過渡技術(shù)，應(yīng)結(jié)合自身網(wǎng)絡(luò)的實(shí)際情況，如網(wǎng)絡(luò)規(guī)模、升級難易、成本考量等。不過在校園網(wǎng)IPv4/IPv6長期共存階段，不論是采用雙棧、隧道、還是翻譯技術(shù)，都會(huì)引發(fā)新的安全挑戰(zhàn)。

①雙棧機(jī)制風(fēng)險(xiǎn)

雙棧環(huán)境下，在校園網(wǎng)內(nèi)同時(shí)并行著 IPv4/IPv6 兩個(gè)邏輯通道，因?yàn)槠渲幸粋€(gè)協(xié)議的漏洞引發(fā)的攻擊，可能會(huì)通過支持雙棧的網(wǎng)絡(luò)節(jié)點(diǎn)，在邏輯上的兩張網(wǎng)絡(luò)中相互傳播，進(jìn)而影響整個(gè)校園網(wǎng)的正常運(yùn)行。如圖1 所示，攻擊者可利用 IPv6 協(xié)議棧漏洞，針對雙棧網(wǎng)關(guān)發(fā)起 DDoS 攻擊，導(dǎo)致 IPv4、IPv6 網(wǎng)絡(luò)均受影響。此外，雙棧意味著校園網(wǎng)出口、數(shù)據(jù)中心防火墻、流控等防護(hù)設(shè)備要配置雙棧策略，網(wǎng)絡(luò)管理更加復(fù)雜，被攻擊的概率也會(huì)相應(yīng)增加[2]。

圖1 雙棧機(jī)制風(fēng)險(xiǎn)

②隧道機(jī)制風(fēng)險(xiǎn)

校園網(wǎng)不能整體升級至雙棧的情況下，可通過在客戶端和路由器之間建立自動(dòng)隧道（如ISATAP，6to4 等）來完成IPv6 網(wǎng)絡(luò)的接入，此時(shí)用來新建隧道的出口路由器易成為攻擊節(jié)點(diǎn)，與雙棧環(huán)境類似，攻擊者可利用 IPv6 協(xié)議棧漏洞，發(fā)起對隧道節(jié)點(diǎn)的攻擊，進(jìn)而影響校內(nèi)IPv4 網(wǎng)絡(luò)，如圖2 所示。

圖2 隧道機(jī)制風(fēng)險(xiǎn)

③翻譯機(jī)制風(fēng)險(xiǎn)

校園網(wǎng)通過翻譯機(jī)制（例如NAT64/IVI）實(shí)現(xiàn)IPv4 與IPv6 網(wǎng)絡(luò)的互通，也會(huì)面臨常見的DDoS 攻擊的風(fēng)險(xiǎn)。如圖3 所示，通過偽造大量 IPv6 地址發(fā)起地址轉(zhuǎn)換請求，攻擊將導(dǎo)致映射IPv4 地址池快速被消耗，翻譯節(jié)點(diǎn)無法為校園網(wǎng)用戶正常分配轉(zhuǎn)換地址，進(jìn)而影響整網(wǎng)運(yùn)行。

圖3 翻譯機(jī)制風(fēng)險(xiǎn)

1.2 網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)

（1）網(wǎng)絡(luò)層安全防護(hù)風(fēng)險(xiǎn)

校園網(wǎng)的特點(diǎn)是用戶量大，有線、無線終端類型多樣。在IPv6網(wǎng)絡(luò)環(huán)境下所有終端均可使用全球單播地址，不需要NAT，也就缺失了NAT 轉(zhuǎn)換形成的防護(hù)。因此校園網(wǎng)出口防火墻、數(shù)據(jù)中心防火墻或其他安全防護(hù)設(shè)備的安全域劃分應(yīng)更精細(xì)，訪問控制策略配置要更準(zhǔn)確。另外，在過渡階段IPv6/IPv4 混合的網(wǎng)絡(luò)當(dāng)中，安全設(shè)備要求同時(shí)配置雙棧，對設(shè)備的性能的要求更高，同時(shí)也增加了出現(xiàn)單點(diǎn)故障的概率。

（2）應(yīng)用層安全防護(hù)風(fēng)險(xiǎn)

應(yīng)用層安全防護(hù)設(shè)備（例如數(shù)據(jù)中心和校園網(wǎng)出口的Web 應(yīng)用防護(hù)系統(tǒng)、IDS/IPS 等）的IPv6 地址格式配置、針對IPv6 報(bào)文的解析能力在網(wǎng)絡(luò)規(guī)模部署后還有待檢驗(yàn)。網(wǎng)絡(luò)流量控制、分析系統(tǒng)如流控、探針等也可能存在類似問題，這些能力的不足可能導(dǎo)致針對IPv6流量的SQL 注入、XSS 攻擊以及Web 應(yīng)用遠(yuǎn)程代碼執(zhí)行攻擊等。

類似的風(fēng)險(xiǎn)也會(huì)出現(xiàn)在DNS 相關(guān)產(chǎn)品上。目前校園網(wǎng)的域名解析多為遞歸和轉(zhuǎn)發(fā)兩種并存，權(quán)威域名一般發(fā)布在遞歸DNS 上。由于DNS 日志中保存了大量域名請求記錄，包含了大量校園網(wǎng)真實(shí)的IPv6 地址，所以一旦遞歸DNS 服務(wù)器被入侵，非法用戶將竊取海量的真實(shí)用戶地址，以期進(jìn)行精準(zhǔn)的地址掃描。若其長期潛伏竊取，則帶來的風(fēng)險(xiǎn)可能要遠(yuǎn)大于DDoS 攻擊和DNS 緩存投毒。

（3）業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)

在 IPv6 環(huán)境下，攻擊者針對高校的攻擊，往往是面向 Web 服務(wù)和數(shù)據(jù)庫服務(wù)，企圖獲取服務(wù)器權(quán)限和進(jìn)行遠(yuǎn)程命令執(zhí)行，危害高校的 Web 服務(wù)安全和數(shù)據(jù)安全[3]。Webshell 后門訪問控制、遠(yuǎn)程 SQL 注入攻擊、Webshell 腳本文件上傳攻擊、PHP 代碼執(zhí)行漏洞等是主要的攻擊方式。因此，不管是引入雙棧還是七層反向代理，數(shù)字化校園、站群等業(yè)務(wù)平臺(tái)及應(yīng)用系統(tǒng)依然面臨嚴(yán)峻的安全挑戰(zhàn)。

2 校園網(wǎng)部署IPV6 的安全應(yīng)對策略

在校園網(wǎng)各層面全面向IPv6 過渡之時(shí)，構(gòu)建基于IPv6 的安全風(fēng)險(xiǎn)防御體系，并將安防措施應(yīng)用于 IPv6 網(wǎng)絡(luò)規(guī)劃、建設(shè)、運(yùn)行各階段顯得尤為重要。為保障 IPv6 全面部署安全，需從系統(tǒng)安全、業(yè)務(wù)安全、管理安全等多方面入手構(gòu)建安全防范體系。

2.1 系統(tǒng)安全

（1）安全設(shè)備升級

現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)設(shè)備（如防火墻、IDS/IPS、WAF 等）在IPv6 相關(guān)功能上仍缺乏充分的檢驗(yàn)和驗(yàn)證。IPv6 規(guī)模部署后，網(wǎng)絡(luò)安全防護(hù)設(shè)備需從以下三個(gè)方面進(jìn)行升級。

①功能要求。安全防護(hù)設(shè)備需支持純IPv6 環(huán)境下、過渡期間IPv4/IPv6 雙棧、隧道等場景的功能需求。例如，防火墻設(shè)備需要支持IPv4/IPv6 雙棧協(xié)議及過渡時(shí)期的常用隧道技術(shù)，同時(shí)其集成的應(yīng)用層網(wǎng)關(guān)需支持 IPv6 解析，應(yīng)用識(shí)別、病毒檢測、入侵防御IPS 等功能所需的規(guī)則庫均需要升級，以支持 IPv6 或IPv4/IPv6 雙棧場景。

②性能要求。IPv6 報(bào)文結(jié)構(gòu)中支持任意數(shù)量的“擴(kuò)展頭”，防火墻等設(shè)備在解析報(bào)文時(shí)往往需要處理整個(gè) IPv6 頭信息鏈，需要細(xì)致地處理包含多個(gè)擴(kuò)展頭信息的數(shù)據(jù)包，甚至是含有異常擴(kuò)展頭的數(shù)據(jù)包。這些對防護(hù)設(shè)備提出了更高的性能要求。

③策略要求。在IPv6 與IPv4 混合網(wǎng)絡(luò)中，出口和數(shù)據(jù)中心的安全防護(hù)設(shè)備除了要支持雙棧配置與管理，還應(yīng)充分考慮 IPv4 和 IPv6 兩個(gè)邏輯通道的安全需求，具備對安全策略配置進(jìn)行一致性檢查的能力。

（2）安全網(wǎng)絡(luò)檢測

安全檢測工具（如系統(tǒng)漏掃、WEB 漏掃等）在 IPv6 網(wǎng)絡(luò)中難以按網(wǎng)段進(jìn)行掃描，上述工具的使用調(diào)度策略均需研究與優(yōu)化。同時(shí)，定制的專項(xiàng)檢測工具也需要支持對指定 IPv6 地址的檢測。

（3）安全網(wǎng)絡(luò)監(jiān)測

防病毒、惡意軟件、僵木蠕、DDoS 等互聯(lián)網(wǎng)安全監(jiān)測與處置設(shè)備應(yīng)該支持將惡意域名、數(shù)據(jù)報(bào)文特征與 IPv6 地址進(jìn)行關(guān)聯(lián)，形成新的威脅規(guī)則/特征庫，用于網(wǎng)絡(luò)安全檢測與防護(hù)。例如，防病毒系統(tǒng)需將使用 IPv6 地址的病毒域名入庫，并對所有使用該IP 的域名進(jìn)行排查，形成關(guān)聯(lián)規(guī)則庫。

2.2 業(yè)務(wù)安全

校園網(wǎng)IPv6 規(guī)模部署之后，各類面向用戶的業(yè)務(wù)平臺(tái)均需支持 IPv6 用戶的訪問。根據(jù)業(yè)務(wù)系統(tǒng) IPv6 改造的不同實(shí)現(xiàn)方式，需在業(yè)務(wù)升級中對應(yīng)地進(jìn)行安全能力評估，增加相應(yīng)的防護(hù)手段。

①對于采用“雙棧”模式部署的業(yè)務(wù)系統(tǒng)，需對雙棧部署導(dǎo)致的業(yè)務(wù)系統(tǒng)暴露面增加、脆弱性和威脅加倍等問題進(jìn)行重點(diǎn)評估，增強(qiáng)安全防護(hù)手段。

②對于采用“隧道”模式部署的業(yè)務(wù)系統(tǒng)，需重點(diǎn)評估隧道報(bào)文被偽造、用戶身份被冒充等風(fēng)險(xiǎn)。

③對于采用“翻譯”模式部署的業(yè)務(wù)系統(tǒng)，需重點(diǎn)對翻譯設(shè)備的安全防護(hù)措施進(jìn)行評估，防范拒絕服務(wù)攻擊等可能導(dǎo)致翻譯設(shè)備宕機(jī)繼而危及整個(gè)業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)。

④對數(shù)據(jù)來源多樣、且需要進(jìn)行關(guān)聯(lián)處理的安全業(yè)務(wù)系統(tǒng)（如日志系統(tǒng)等），需待下游設(shè)備改造支持 IPv6 完畢后再進(jìn)行改造，防止業(yè)務(wù)數(shù)據(jù)缺失。

此外，DNS 升級支持雙棧后應(yīng)實(shí)現(xiàn)針對IPv6 的權(quán)威解析及云防護(hù)，對于公網(wǎng)用戶對校園網(wǎng)站群的域名解析請求，DNS 能將這些請求（通過AAAA 記錄）轉(zhuǎn)發(fā)到云防護(hù)節(jié)點(diǎn)進(jìn)行清洗，以保護(hù)系統(tǒng)免遭DDoS 攻擊和病毒入侵。訪問數(shù)據(jù)中心站群的數(shù)據(jù)流量也應(yīng)針對v4/v6 的訪問獨(dú)立部署路由，保證互不影響，并為IPv6 流量建立防火墻、WAF 多級防御體系。

2.3 管理安全

網(wǎng)站監(jiān)控、惡意軟件監(jiān)控等可通過IP 地址來進(jìn)行管理的系統(tǒng)應(yīng)具備IPv6 黑/白名單的能力，并能基于黑名單實(shí)現(xiàn)識(shí)別與封堵。在IPv6 規(guī)模部署后，流控、DNS、日志系統(tǒng)在升級支持 IPv6 的同時(shí)，還需針對流量控制、域名管控、異常流量檢測等安全功能進(jìn)行測試。防病毒、惡意軟件、DDoS 等安全管控系統(tǒng)中各規(guī)則庫（如惡意 URL、惡意攻擊IP 等）關(guān)聯(lián)的 IP 地址庫也要及時(shí)更新。與IPv6 黑白名單地址相關(guān)的威脅情報(bào)信息要及時(shí)收集整理。

3 結(jié)語

IPv6 在校園網(wǎng)的全面推廣應(yīng)用，應(yīng)始終遵循安全先行的標(biāo)準(zhǔn)和規(guī)范。在推進(jìn)之初，即應(yīng)結(jié)合過渡階段的網(wǎng)絡(luò)與系統(tǒng)的建設(shè)需求，梳理 IPv6 帶來的安全風(fēng)險(xiǎn)，盡可能地在系統(tǒng)規(guī)劃和設(shè)計(jì)之中涵蓋IPv6安全方案。在實(shí)施部署IPv6 網(wǎng)絡(luò)過程中，優(yōu)先開展 IPv6 安全測試工作，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)施中的具有安全風(fēng)險(xiǎn)的節(jié)點(diǎn)或設(shè)備，并及時(shí)進(jìn)行調(diào)整。同時(shí)，通過引入安全設(shè)備，尤其是在校園網(wǎng)出口門戶和數(shù)據(jù)中心，來構(gòu)建安全態(tài)勢感知和業(yè)務(wù)安全保障能力，積極開展主動(dòng)防御。對于新上線業(yè)務(wù)或原有業(yè)務(wù)系統(tǒng)升級支持IPv6，在上線前需嚴(yán)格開展安全風(fēng)險(xiǎn)評估，根據(jù)評估結(jié)果決定能否上線。后期運(yùn)行維護(hù)則更要定期進(jìn)行風(fēng)險(xiǎn)評估檢查、監(jiān)測和審計(jì)，以保證安全能力符合安全管理要求。總而言之，校園網(wǎng)IPv6 的安全發(fā)展，任重道遠(yuǎn)。