王 帅,沈 军,金华敏
(中国电信股份有限公司广东研究院 广州 510630)
随着网络新应用和新技术的不断发展,IPv4地址已不能满足网络发展的需求。IPv6协议以其巨大的地址空间、内在的安全机制等特性,成为国内外下一代网络发展的研究热点。安全是保证网络健康发展的重要因素,IPv6网络安全保障体系的配套建设也成为IPv6网络建设的重要方面,如果在IPv6网络设计阶段就对网络安全进行通盘考虑,能够提升网络架构的整体安全性;同时,将网络安全与网络建设同步,有利于网络资源的合理分配。而IPv6网络从IP层协议本身进行了安全性改善,其安全性提升也为新应用的开展提供了便利,为端到端安全提供更灵活、方便的技术手段,能够促进新的安全业务和应用的开展。但是,随着基于IPv6的下一代网络中应用的增加、速度的加快和规模的变大,IPv6网络面临着新的安全风险,因此电信IPv6网络建设中必须同步考虑网络安全这一重要问题。
本文从电信运营商的角度出发,把握IPv6网络建设的脉搏,对电信IPv6网络安全保障体系的架构进行了深入研究,给出了过渡时期电信IPv6网络安全保障体系建设策略。
电信IPv6网络是以IPv6协议为基础和标志性技术的下一代互联网。IPv6协议相对于IPv4协议在安全方面有了一定的改善,解决或缓解了IPv4环境中存在的部分安全问题,但物理层、链路层和应用层等安全问题在IPv6网络环境中则仍然存在。另外,IPv6协议本身将带来一些新的安全问题,在IPv4向IPv6的过渡过程中也可能产生新的安全风险。
(1)IPv6 安全改进
IPv6协议巨大的地址空间、固化的安全机制等新特性对提升网络安全性有一定的作用。第一,IPv6将原先独立于IPv4协议簇之外的报头认证和安全信息封装作为扩展头置于IPv6基本协议之中,为IPv6网络实现端到端安全认证和加密封装提供了协议上的保证,能在一定程度上提升业务和应用的安全性;第二,IPv6协议禁止具有IPv6组播目的地址、链路层组播地址或链路层广播地址的数据包产生ICMPv6消息,从而避免了广播风暴的产生;第三,IPv6协议通过在中间设备上部署禁止分片、不允许重叠的分片、丢弃少于最低MTU为1 280 byte的重组数据包等机制,有效防范了IP碎片包攻击;第四,IPv6地址数量庞大,对IPv6网络实施扫描攻击比较困难,通过扫描获取有效IP地址进行传播的蠕虫病毒等攻击将难以实施;第五,IPv6对地址前缀的指定及分配较规律,使得下游ISP的地址总是落在上游ISP的汇总地址空间内,对ISP而言,易于在入口实现过滤机制,有效防御虚假源地址攻击,同时基于IPv6的真实源地址技术的发展也使解决这种安全问题成为可能。
(2)IPv6网络中仍存在的安全风险
IPv4网络环境中大部分安全风险在IPv6网络环境中仍将存在,而且某些安全风险随着IPv6协议新特性的引入将变得更加严重。第一,DDoS等异常流量攻击仍然猖獗甚至更为严重,主要包括 TCP-flood、UDP-flood等现有DDoS攻击,以及IPv6协议本身机制的缺陷所引起的攻击,如邻居发现(ND)协议报文缺乏认证可能引发的重复地 址 检 测 (duplicate address detection,DAD) 攻 击 、IP-flooding攻击等。第二,针对DNS的攻击仍将继续存在,而且在IPv6网络中提供域名服务的DNS更容易成为黑客攻击的目标。第三,IPv6协议作为网络层的协议,仅对网络层安全有影响,其他(包括物理层、数据链路层、传输层、应用层等)各层的安全风险在IPv6网络中仍将保持不变。
(3)IPv6网络过渡技术安全问题
IPv4向IPv6的过渡是一个长期的过程,在IPv4与IPv6共存时期,为解决两者间互通所采取的各种措施将带来新的安全风险。例如,隧道方式下存在的拒绝服务攻击、中间人攻击,NAT-PT技术下存在的拒绝服务攻击等。
综合以上的分析,笔者认为,尽管IPv6协议在设计时考虑了安全问题,但IPv6网络环境相较于IPv4网络环境在安全性上并没有大的提升。第一,IPv6网络在IP层引入了IPv6协议,在网络架构上采用双栈等过渡技术以IPv4网络为基础进行逐步演进,因此在网络安全架构上没有质的改变。第二,IPSec机制作为IPv6数据包头的一部分内嵌到协议本身,尽管能使IPSec中间路由过程加快,但在IPSec部署实施上与IPv4并没有明显不同,同样需配套PKI等体系的建设。第三,相对于IPv4网络环境而言,在IPv6网络环境中实施扫描和分片类型的攻击将更加困难,但实施溢出类和DDoS等资源占用类攻击并未有难度上的变化,该类攻击在网络攻击危害中仍占据主导地位,IPv6网络环境的安全威胁仍很严峻。第四,IPv6网络同样需考虑应用层、传输层、物理层等的安全。
为防止IPv4网络发展过程中在安全方面出现的亡羊补牢、疲于应付的局面重蹈,电信运营商应在IPv6网络的设计和建设阶段同步考虑安全问题,配合多种手段从多个维度、多个层次构建IPv6网络保障安全体系。
根据电信网络特点,可将电信IPv6网络安全保障体系分为当前时间点的静态安全防护体系以及后续动态安全运营体系两个层面。通过IPv6网络各平面的隔离控制以及相应安全保护和控制措施的实施保障网络的静态安全;同时通过安全检测和响应等安全基础设施和相关安全管理组织、制度和流程的配套建设,实现对网络安全风险的动态发现和管理,并通过IPv6网络安全业务的开展将安全防护手段向客户网络延伸,加强电信网络的安全可控。最终实现网络持续安全保障和改进的长效目标,形成安全可管可控的电信可信IPv6网络架构。
(1)静态安全防护体系
根据ITU-TX.805标准 (端到端通信系统安全框架),网络可分为基础设施层、业务层和应用层,每个网络层次又可以划分为管理、控制和用户三个平面。为了实现层次化、等级化的安全防护,电信IPv6网络静态安全防护体系可考虑通过网络设计和优化来保障网络内在的健壮性,同时清晰地划分业务、管理和控制三个平面,采用多种技术手段隔离管控,并在每个平面实施相应安全防护措施,从而使每个平面在安全方面都具备访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私性8个属性。具体来说,电信运营商可从以下两个方面开展静态安全防护体系的建设。
一方面清晰界定网络层次,进行合理管控,实现业务平面、信令和控制平面、网络和业务管理平面逻辑分离,在每个平面实施相应安全防护措施 (在控制平面实现网元设备之间认证及路由信息安全更新与传递;在业务平面实现用户登录认证、业务授权、业务和网络资源可用性保证、业务安全控制要求;在管理平面实现维护终端的认证与授权,核心的数据、应用、系统、网络平台的保护,各支撑系统的承载方式,以及访问控制要求、系统与外部交互要求的相应控制点、内外部的维护管理要求),并有效利用IPv6协议的IPSec特性、源地址过滤技术等加强平面内的安全保护。
另一方面合理管控三平面之间的资源互访,在各平面安全域根据各域的特点辅以相应的安全保护和控制措施,在同一物理网络承载不同业务,应实现带宽管理机制,同时业务互访应在应用层进行有限互联,避免网络层直联,并在IPv4/6双栈设备上采用严格的网络过滤和访问控制策略防范IPv4和IPv6安全问题的相互影响。
(2)动态安全运营体系
在网络安全生命周期中,静态安全防护体系的建设固然重要,但由于网络安全的相对性和时效性,后续动态的网络安全运营才是确保网络安全水平持续提升的关键。对于电信运营商来说,提高网络安全运营效率的关键在于运营体系的标准化、流程化和专业化,通过专业的、专职的运营队伍来确保网络安全运营工作的各流程、各环节落实到人并得以有效处理,配套流程化的闭环处理机制和流程以及标准化的制度和规范来提高网络安全运营工作效率,同时通过安全事件监控、检测、响应等安全基础设施的建设,持续提升电信级大规模安全事件的检测、预警、响应、应急、恢复能力。电信IPv6网络在层次架构上依然遵循IPv4网络的传统架构,因此IPv6网络同样可针对终端、接入网、核心网、业务网络、支撑系统等各层面的安全特点和需求部署相应安全运营措施,从而实现闭环风险控制。同时,通过配套专业化的安全组织体系和标准化的安全策略体系,提高IPv6网络安全运营的效率。另外,应积极开展安全业务,通过前后端业务运营队伍和运营机制、流程的配套建设,提高电信安全业务服务质量,在加强客户网络安全性的同时提升电信网络的安全性。
在动态运营体系的技术层面,电信运营商可采取如下措施。
·在终端层面,为加强对客户的可管可控,电信运营商可开展基于IPv6的M2M安全业务,通过建设统一的M2M安全业务平台,向客户提供诸如家庭网络安全接入、监控、企业终端安全管理、安全代维等安全服务。
·在接入网层面,电信运营商可通过统一的接入身份认证和鉴权管理、基于IPv6的真实地址技术等来加强接入网的安全管理。
·在核心网层面,电信运营商可通过异常流量管理、
DDoS攻击防御、垃圾邮件处理、非法路由监测等手段来防范IPv6网络中占主导地位的流量类攻击,并加强对于路由安全问题引起的网络异常波动的管理,同时加强对双栈设备的安全监控。
·在业务网络层面,电信运营商可通过终端安全管理、安全域划分、防病毒、访问认证授权、数据安全保护、漏洞扫描、安全审计、集中用户管理等手段来保护业务网络的安全稳定运行,提高电信业务服务质量。这可通过IPv4环境下的安全设备或手段升级提供对IPv6协议的支持实现。
·在支撑系统层面,电信运营商可通过DNS安全监控管理、终端安全管理、安全域划分、远程安全管理、防病毒、恶意代码防护、安全审计、集中用户管理等手段的建设和部署加强支撑系统的安全性,提高IPv6网络运营管理的稳定性。
既然IPv6与IPv4网络在安全架构上并未有质的不同,那么在目前IPv4网络向IPv6网络过渡的时期,电信运营商应采取哪些策略来构建IPv6网络安全保障体系,从而营造更安全可信的下一代网络呢?
第一,在原有IPv4网络环境下安全措施改进的基础上,加强对IPv6特定安全问题的防范以及对过渡技术安全问题的防范。
·加强支撑系统安全,利用现有技术保障DNS系统安全。IPv6网络环境下针对DNS系统的攻击仍将猖獗,由于在IPv4/6过渡时期,IPv4/6往往采用一套DNS体系,因此仍可采用在IPv4网络环境下的DNS安全防护技术,但须提供对IPv6协议的支持。
·提升承载网安全可用性,加强路由安全,防范异常流量。配置路由协议认证,采用可靠的路由认证机制,其中由于OSPFv3协议不提供认证功能,而是使用IPv6的安全机制来保证自身报文的合法性,因此采用OSPFv3协议的设备建议配置IPSec。同时,合理配置访问控制策略,以防止非法流量对路由器进行拒绝服务攻击。另外,结合异常流量检测和控制技术对网络流量进行监控。
·同步规划和部署统一网络安全运营管理支撑平台。可利用现有平台提供对IPv6协议的支持,通过将IPv6网元和安全设备纳入管控,以提供对过渡时期IPv4/6网络的全方位安全管理支撑。
·结合应用的开展推进IPv6 IPSec的实施。可以安全业务的形式按需部署实施IPSec,进行配套系统的部署。
·防范过渡技术引起的安全问题,避免IPv4网络安全问题对IPv6网络的整体安全造成影响。双栈技术的使用将降低设备性能,更易发生DoS/DDoS攻击,需采用高性能设备作为双栈设备,以满足链路带宽冗余的需求,同时采用rACL、CBAC、CoPP等方式加强对双栈设备的安全保护。
第二,利用IPv6协议安全特性研究新的安全技术增强网络安全。目前业界针对IPv6网络中IP地址的真实可靠性提出了一些新的技术,如真实源地址技术、标签网技术等,但这些技术应用在电信网络环境下如何避免对网络性能和开销造成影响还需进一步研究。另外,在IPv6网络环境下自配置属性的引入也为终端安全状态检测、准入控制等安全措施的实现提供了便利,可进一步研究利用这一属性进行统一的安全策略检查和实施。
第三,在配套IPv6防范和运行管理技术实施建设的同时,加强安全管理组织体系和流程的建设,保障安全基础设施效能的充分发挥。
第四,积极拓展IPv6安全业务,利用IPv6安全特性提升业务和应用的安全性。由于网络安全特性在IPv6网络环境下的持续性,IPv4网络环境的可管理安全(MSS)体系在IPv6网络环境中将保持同等的生命力。同时,随着信息化技术的发展,可重点考虑针对家庭网络用户的基于身份认证的保密传输和安全防护、传感器网络安全接入和保密通信、移动IPv6接入安全等安全应用。此外,还可结合云计算技术、物联网应用等开展基于IPv6的电信安全业务。
第五,积极应对IPv6安全产品缺失的现状,促进IPv6网络安全设备的成熟。IPv6网络同样需要部署常规的如防火墙、IDS/IPS、漏洞扫描、异常流量检测和过滤、VPN、防病毒网关等网络安全设备,这些安全设备需要提供对IPv6协议的支持,同时在实现方式上需要根据IPv6协议的特性进行改进。电信运营商可结合IPv6网络建设的进度和应用的需求推动厂商尽快推出成熟产品。
随着IPv6网络安全研究和迁移工作的深入,电信运营商对于IPv6网络建设以及过渡时期的安全问题日益重视。在这一背景下,本文针对电信IPv6网络建设和过渡时期可能面临的网络安全风险的分析,提出了电信IPv6网络安全保障体系的基本架构,并给出了现阶段电信运营商IPv6网络安全保障体系的构建策略。采用本文所述的框架进行电信IPv6网络安全保障体系的构建,通过静态安全保障以及动态安全运营手段的结合,配套完善的安全组织和策略体系,并积极拓展以IPv6为基础的网络安全业务,不仅可以提升电信IPv6网络整体安全水平,达到网络安全纵深防御的目标,形成安全可管可控的电信可信IPv6网络架构,推动下一代网络安全应用的发展。
1 Deering S,Hinden R.Internet protocol,version 6 (IPv6)specification.RFC 1883,December 1995
2 Hinden R,Deering S.IP version 6 addressing architecture.RFC 1884,December 1995
3 Kaeo M,Green D,Bound J,et al.IPv6 security technology paper version 1.0.North American IPv6 Task Force(NAv6TF)Technology Report,July 2006
4 Marin E.IPv6 security.6NET,May 2003