IPv6 网络安全威胁的分析与研究

王 维

（大庆油田信息技术公司北京分公司，北京 100043）

1 IPv6 网络安全现状概述

国家大力推动IPv6 规模化部署，自2017 年11 月中央办公厅和国务院办公厅共同发布了 《推进互联网协议第六版（IPv6）规模部署行动计划》以来，国内IPv6 技术应用环境愈发成熟，部署规模呈数量级增长，随之而来的是大规模部署下IPv6 的网络安全问题，但该问题并没有得到足够的重视，许多人认为传统的IPv4 网络安全防护手段可以继续保护IPv6 网络的安全，实则不然，在面对来自网络层的安全威胁时，现有IPv4 网络的防护措施可以起到一定的作用，但是面对来自应用层的网络安全威胁，IPv6 的网络安全将面临巨大的挑战。虽然IPv6 协议本身增加了很多安全特性，可以抵消部分来自网络层的安全威胁，如扫描攻击等，但IPv6 协议本身是新的协议，黑客会针对这一新协议开发出具有针对性的攻击方式和手段，大多数企业可能会对此一无所知，直到被攻击才会发现。IPv6 网络在面对有针对性的病毒、木马等程序时，目前只是在等待被免疫的阶段，IPv6 病毒特征库以及防护经验积累是个长期的过程，需要多方协同配合解决，希望各大安全厂商投入更多的精力关注IPv6 网络安全。

目前，主流的安全厂商并不急于着手研究IPv6 网络威胁与安全防护等问题，部分安全厂商认为应用层的病毒特征库资源是一个逐渐积累的过程，而不去投入过多精力到相关研发上，但对于我们企业而言，安全问题是重中之重，我们有足够多的理由在安全威胁发生之前准备好相应防护措施。

2 IPv6 网络存在的安全威胁

与IPv4 相比，IPv6在安全性方面进行了预先设计和充分考虑，但仍然存在一些难以解决的安全风险。IPv6 作为网络层协议，并不能解决所有的网络安全问题，其他功能层，如由于应用层漏洞所引发的攻击，IPv6 本身并不能解决。此外，IPv6 仍然具有部分IPv4 存在的安全风险，在IPv4 与IPv6 实施的双栈配置等过渡期机制也可能引入安全风险，网络中也会出现一些专门针对IPv6 协议形成的新安全风险，如基于IPV6 的攻击已经开始现身，分布式拒绝服务攻击、网络穿透攻击、IPv6 加密蠕虫等开始出现于安全媒体，但却没有引起安全界的重视。

2.1 继承自IPv4 的安全威胁

IPv6 中协议和报文结构虽有变化，但一些存在于IPv4 网络中的攻击类型仍然存在。由于IPv6 地址空间的扩大，使一部分基于扫描的安全威胁得到缓解，无论是互联网还是内网，大规模的穷举扫描实现起来非常困难，这也间接增加了病毒、蠕虫等的扩散难度，但需要注意的是IPv6 中使用的多播地址，能够帮助入侵者来识别和攻击目的网络中的一些资源。此外，由于IPv6 地址足够使用，使得NAT 的作用不是十分明显了，实际上NAT 技术对于保护内网主机还是有一定的安全意义的。

虽然IPv6 抛弃了ARP 协议，但对ICMP 协议却十分依赖，屏蔽ICMP 协议是不可能的，针对ICMP 协议的攻击就会增多，并且与IPv4 的方式相比会有很大的不同。此外，IPv6 支持多种多样的扩展包头，用于使网络层具有更多功能，这些扩展包头将会带来更多的安全问题。

2.2 过渡机制存在的安全风险

当前，虽然我国IPv6 规模部署工作呈现加速发展的态势，但实际情况是IPv4 与IPv6 网络将长期共存，从业务需求、改造投资、工期等角度考量，IPv4 网络过渡到IPv6 网络是一个缓慢的过程。在从IPv4 向IPv6 过渡的过程中，“双栈”“隧道”“翻译”是三种常用的过渡方案，均可能带来新的安全威胁。

2.2.1 双栈机制安全风险

IPv4／IPv6 双栈技术是指在网络节点上同时运行IPv4 与IPv6 两种协议，在IP 网络中形成逻辑上相互独立的两张网络，即IPv4 网络与IPv6 网络。

在IPv4 网络中，部分操作系统缺省启动了IPv6 自动地址配置功能，使IPv4 网络中存在隐蔽的IPv6 通道，但由于该IPv6 通道并没有进行防护配置，攻击者可能利用该通道实施攻击。

过渡期同时运行IPv4 与IPv6 两个逻辑网络，增加了设备及系统的暴露面，也意味着防火墙、安全网关等防护设备需同时配置双栈策略，导致策略管理复杂度大大增加。此外，双栈系统同时运行IPv4 协议、IPv6 协议，会增加网络节点协议处理复杂性和数据转发负担，使网络节点的故障率增加，最终导致安全防护被穿透的可能性增大。

2.2.2 隧道机制安全风险

一些隧道机制存在对任何来源的数据包只进行简单的封装和解封操作，不做安全性验证，最终会由于各种隧道机制的引入，导致网络安全风险剧增。由于不对IPv4 和IPv6 地址的关系做检查，攻击者可利用隧道机制，将IPv6 报文封装成IPv4报文进行传输，又因IPv4 网络无法验证源地址的真实性，攻击者可以伪造隧道报文注入目的网络中。此外，不对隧道封装的内容进行检查，通过隧道封装攻击报文，对于以隧道形式传输的IPv6 流量，很多网络设备直接转发或者只做简单的检查，攻击者可以配置IPv4 over IPv6，将IPv4 流量封装在IPv6 报文中，导致原来IPv4 网络的攻击流量经由IPv6 的“掩护”后穿越防护造成威胁。

2.2.3 翻译机制安全风险

翻译机制（即协议转换）通过IPv6 与IPv4 的网络地址与协议转换，实现了IPv6 网络与IPv4 网络的双向互访，翻译设备作为IPv6 网络、IPv4 网络的互联节点易成为安全瓶颈，一旦被攻击便可能导致网络瘫痪。

2.3 IPv6 协议本身特有的安全威胁

IPv6 报文结构中引入的新字段，如流标签、RH0、路由头部等；IPv6 协议族中引入的新协议，如NDP 邻居发现协议等；均可能存在漏洞，被用于发起嗅探、DoS 等攻击。IPv6 新的应用也可能带来安全风险。IPv6 使用IPSec，IPSec在很多网络安全从业人员来看是把双刃剑。IPv6 加密通道及自动配置功能，虽然让端到端的通信更为便捷，但同时也可能更为危险。这不仅使现网防火墙的过滤功能变得困难，防火墙需要解析隧道信息，如果使用ESP 加密，三层以上的信息都是不可见的，使得控制难度大大增加。此外，还令传统的基于特征检测与分析的入侵检测、内容过滤及监控审计系统失效，这些问题需要安全设备，必须具备可识别出攻击报文的新方法与安全措施来解决。

3 IPv6 网络安全防护建议

一般情况下，网络安全设备无法解密IPSec 加密流量，仅能基于IP 地址来控制。但从目前的情况来看，这种“内嵌”的IPSec 需要使用密钥分发技术，总体上并不成熟，管理成本高。另外，由于网络安全设备正常是无法解密IPSec 流量的，防火墙等网络安全设备就无法在网络应用层来检测IPSec 流量，从某种意义上讲，系统的安全性得不到完整的保证。对于一般企业应用，基于管理成本和安全性考虑，建议仍使用防火墙实现IPSec VPN 加解密，并在网关位置进行IPS、状态防火墙等安全检查，待技术成熟后再部署端到端加密。

对于应用层的攻击，应用层防御功能一般包括协议识别、IPS、反病毒、URL 过滤等，主要检测报文的应用层负载，几乎不受网络层协议IPv4／IPv6 影响，因此，大部分传统IPv4 协议下的应用层安全能力在IPv6 网络中不受影响。但有少部分IPv4网络协议在IPv6 网络下自身需求发生了变化，比如DNS 协议升级到DNSIPv6，那么对应的应用层安全检测需要根据协议变化进行调整。

在现有安全设备上开启IPv4／IPv6 双栈功能后，IPv4／IPv6双栈一般不会对安全设备的功能产生影响，主要影响设备的性能，因为IPv6 协议栈会挤占IPv4 业务的CPU 和内存等资源，导致现有的IPv4 业务在会话表容量、新建速率、吞吐率上出现不同程度的下降。建议在升级／开启IPv4／IPv6 双栈前评估现有安全设备的处理能力，必要时可以替换现有安全设备，避免影响现有IPv4 业务。

此外，还有很多IPv6 安全问题需要考虑，现有安全设备的性能可能不足以支撑IPv6，比如IPS 或IDS，在IPv6 的环境下的检测性能可能会下降，要进行设备升级，这会是一笔较大的花费。业务系统对于IPv6 可能并没有做好准备，IPv6 数据包的大多数处理需要在主机上完成，对于主机性能有更高的要求，也许负载均衡会被使用得越来越多。双栈还是4to6 要仔细考虑，4to6 设备可能会带来双重威胁。

应对这些也是有章法可循的，加强安全监管，特别是针对加密安全通信的监管，阻断不必要的加密通信，制定和设置严格的访问控制策略，必要时实施白名单。

4 结论

总之，随着时间的推移和IPv6 网络的大面积铺开后，IPv6网络的安全问题暴露得越来越多。我们需要在现有经验的基础上尽可能提前做好防护，对于未知的IPv6 网络安全问题也要有一定的心理准备和应对方案。