IPv6網(wǎng)絡到底安不安全

當前，“線上”網(wǎng)絡和“線下”生活正在深度融合，虛擬網(wǎng)絡世界和現(xiàn)實社會生活相互交織。人們在互聯(lián)網(wǎng)上變成了“透明人”，個人的一舉一動都被互聯(lián)網(wǎng)“記錄在案”，試想一下如果這些信息被非法使用，是不是很恐怖？

另外，網(wǎng)絡在金融、交通、通信、軍事等各個領域的作用越來越重要，已成為一個國家正常運轉的“神經(jīng)系統(tǒng)”。

我們知道國家正在大力推動IPv6網(wǎng)絡的部署，其中有一個很重要的出發(fā)點，就是希望借助IPv6在安全性上的改進，促進網(wǎng)絡空間的安全治理，扭轉當前網(wǎng)絡安全的嚴峻形勢。

IPv6在技術上有哪些改進？

IPv6作為下一代互聯(lián)網(wǎng)的關鍵性技術，正逐步取代IPv4成為支撐互聯(lián)網(wǎng)運轉的核心協(xié)議，IPv6重點解決了IPv4兩方面的問題。

地址空間問題

與IPv4相比，IPv6把IP地址數(shù)量從2的32次方擴展到了2的128次方，足以滿足任何未來可預計的地址空間分配。這正是IPv6被選作新一代網(wǎng)絡承載協(xié)議并逐漸商用部署的根本驅動力。

網(wǎng)絡安全問題

IPv4因為地址資源有限，在很多時候一個公網(wǎng)地址需要通過地址翻譯（NAT）方式被多臺主機共用。因此也就破壞了端到端通信的透明性，為網(wǎng)絡安全事件的溯源帶來了困難。

IPv6地址資源豐富，可采用逐級、層次化的結構進行地址分配，為每個責任體分配一個獨一無二的IPv6地址，使得追蹤定位，查詢溯源得到了很大的改善。

可以說，IPv6技術是實施網(wǎng)絡空間安全治理的基礎性技術。

IPv6在安全性上有哪些提高？

1 ---可溯源和防攻擊

IPv6的地址空間巨大，理論上不會再有IPv6地址短缺困境，也不需要廣泛使用NAT設備節(jié)省IPv6公網(wǎng)地址。IPv6終端之間可以直接建立點到點的連接，無需地址轉換，因此IPv6地址非常容易溯源。

IPv6地址分為64位的網(wǎng)絡前綴和64位的接口地址。一個64位的前綴地址支持64位的主機數(shù)量，攻擊者無法掃描一個IPv6網(wǎng)段內(nèi)所有可能的主機。假設攻擊者以每秒掃描100萬個主機的速度掃描，大約50萬年左右才能遍歷一個64位前綴內(nèi)所有的主機地址。64位的主機地址使得網(wǎng)絡掃描的難度和代價都大大增加，從而進一步防范了攻擊。

2 ---支持IPSec安全加密機制

IPv6協(xié)議中默認集成了IPSec安全功能，通過擴展認證報頭（AH）和封裝安全載荷報頭（ESP）實現(xiàn)加密和驗證功能。

AH協(xié)議實現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源身份認證功能，ESP在上述功能基礎上增加安全加密功能。集成了IPSec的IPv6協(xié)議真正實現(xiàn)了端到端的安全，中間轉發(fā)設備只需要對帶有IPSec擴展包頭的報文進行普通轉發(fā)，而不對IPSec擴展包頭進行處理，大大減輕轉發(fā)壓力。

3 ---NDP和SEND的安全增強

在IPv6協(xié)議中，采用鄰居發(fā)現(xiàn)協(xié)議（NDP）取代現(xiàn)有IPv4中的ARP及部分ICMP控制功能。NDP協(xié)議通過在節(jié)點之間交換ICMPv6信息報文和差錯報文實現(xiàn)鏈路層地址及路由發(fā)現(xiàn)、地址自動配置等功能，并且通過維護鄰居可達狀態(tài)來加強通信的健壯性。

NDP協(xié)議獨立于傳輸介質(zhì)，可以更方便地進行功能擴展?，F(xiàn)有的IPv6協(xié)議層加密認證機制可以實現(xiàn)對NDP協(xié)議的保護。IPv6的安全鄰居發(fā)現(xiàn)協(xié)議（SEND）協(xié)議是NDP的一個安全擴展，SEND的目的是提供一種備用機制，通過獨立于IPSec的另一種加密方式保護NDP，保證了傳輸?shù)陌踩浴?/p>

4 ---真實源地址驗證體系

真實源IPv6地址驗證體系結構（SAVA）分為接入網(wǎng)（Access Network）、區(qū)域內(nèi)（Intra-AS）和區(qū)域間（Inter-AS）源地址驗證三個層次，從主機IP 地址、IP 地址前綴和自治域三個粒度構成多重監(jiān)控防御體系。該體系不但可以有效阻止仿冒源地址類攻擊，還能夠通過監(jiān)控流量來實現(xiàn)基于真實源地址的計費和網(wǎng)管。

因此，IPv6不止IP地址接近無限，還在網(wǎng)絡安全性方面更勝一籌。

IPv6依然存在風險？

與IPv4相比，IPv6在安全性方面進行了預先設計和充分考慮，但仍然存在一些難以解決的安全風險。

IPv6作為網(wǎng)絡層協(xié)議，并不能解決所有的網(wǎng)絡安全問題。其他功能層（如由于應用層漏洞）所引發(fā)的攻擊，IPv6本身并不能解決。

IPv6仍然沿襲了部分IPv4存在的安全風險，在IPv4與IPv6實施的雙棧配置等過渡期機制也可能引入安全風險。

網(wǎng)絡中也會出現(xiàn)一些專門針對IPv6協(xié)議形成的新安全風險。

繼承自IPv4的安全威脅

1

IPv6中協(xié)議和報文結構雖有變化，但一些存在于IPv4網(wǎng)絡中的攻擊類型仍然存在。

過渡機制存在的安全風險

2

當前我國IPv6規(guī)模部署工作呈現(xiàn)加速發(fā)展態(tài)勢，在從IPv4向IPv6過渡的過程中，“雙棧”、“隧道”、“翻譯”是三種采用的方案，均可能引入新的安全威脅。

雙棧機制安全風險

IPv4/IPv6雙棧技術是指在網(wǎng)絡節(jié)點上同時運行IPv4和IPv6兩種協(xié)議，在IP網(wǎng)絡中形成邏輯上相互獨立的兩張網(wǎng)絡：IPv4網(wǎng)絡和IPv6網(wǎng)絡。

過渡期間同時運行著IPv4、IPv6兩個邏輯網(wǎng)絡，增加了設備及系統(tǒng)的暴露面，也意味著防火墻、安全網(wǎng)關等防護設備需同時配置雙棧策略，導致策略管理復雜度加倍，防護被穿透的機會加倍。

在IPv4網(wǎng)絡中，部分操作系統(tǒng)缺省啟動了IPv6自動地址配置功能，使得IPv4網(wǎng)絡中存在隱蔽的IPv6通道，但由于該IPv6通道并沒有進行防護配置，攻擊者可能利用IPv6通道實施攻擊。

雙棧系統(tǒng)同時運行IPv4協(xié)議、IPv6協(xié)議，會增加網(wǎng)絡節(jié)點協(xié)議處理復雜性和數(shù)據(jù)轉發(fā)負擔，導致網(wǎng)絡節(jié)點的故障率增加。

隧道機制安全風險

一些隧道機制對任何來源的數(shù)據(jù)包只進行簡單的封裝和解封，所以各種隧道機制的引入，為網(wǎng)絡環(huán)境增添了安全隱患。

不對IPv4和IPv6地址的關系做檢查。攻擊者利用隧道機制，可將IPv6報文封裝成IPv4報文進行傳輸，由于IPv4網(wǎng)絡無法驗證源地址的真實性，攻擊者可以偽造隧道報文注入到目的網(wǎng)絡中。

不對隧道封裝的內(nèi)容進行檢查，通過隧道封裝攻擊報文。對于以隧道形式傳輸?shù)腎Pv6流量，很多網(wǎng)絡設備直接轉發(fā)或者只做簡單的檢查。攻擊者可以配置IPv4 over IPv6，將IPv4流量封裝在IPv6報文中，導致原來IPv4網(wǎng)絡的攻擊流量經(jīng)由IPv6的“掩護”后穿越防護造成威脅。

翻譯機制安全風險

翻譯機制（即協(xié)議轉換）通過IPv6與IPv4的網(wǎng)絡地址與協(xié)議轉換，實現(xiàn)了IPv6網(wǎng)絡與IPv4網(wǎng)絡的雙向互訪。翻譯設備作為IPv6網(wǎng)絡與IPv4網(wǎng)路的互連節(jié)點，易成為安全瓶頸，一旦被攻擊可能導致網(wǎng)絡癱瘓。

IPv6特有的安全威脅

3

IPv6報文結構中引入的新字段（如流標簽、RH0、路由頭等）、IPv6協(xié)議族中引入的新協(xié)議（如NDP鄰居發(fā)現(xiàn)協(xié)議等）可能存在漏洞，被用于發(fā)起嗅探、DoS等攻擊。

IPv6新的應用也可能帶來安全風險。IPv6使用IPSec，使得防火墻過濾變得困難，防火墻需要解析隧道信息。如果使用ESP加密，三層以上的信息都是不可見的，控制難度大大增加，需要安全設備能夠識別出攻擊報文新方法和措施。

寫在最后

IPv6并不能解決所有的網(wǎng)絡安全問題。

但是因為IPv6協(xié)議提供可靠的地址驗證與溯源機制，可以在上述攻擊發(fā)生后及時溯源處置，實現(xiàn)高效的信息安全治理。

擁有網(wǎng)絡安全意識是保證網(wǎng)絡安全的前提，因此在IPv6部署時就需要樹立良好的安全防范意識。部署時充分利用IPv6自身的安全特性的同時，設定合理的安全部署策略。

IPv6是革命性的，IPv6允許我們?yōu)槲磥頍o處不在的萬物互聯(lián)做好準備。但是，同其他的技術創(chuàng)新一樣，我們也需要從安全的角度認真關注IPv6。