郑永星

（福建师范大学密码技术与网络安全福建省重点实验室，福建 福州 350007）

IPv6 WLAN安全网关设计

郑永星

（福建师范大学密码技术与网络安全福建省重点实验室，福建 福州 350007）

IPv6强大的寻址方案和对移动性的支持，使其在WLAN中的应用成为一种趋势。WLAN为用户提供了便捷接入的同时，也带来相较于有线网络更大的安全威胁，IPv6的邻居发现协议和自动配置功能等这些特点使得WLAN的接入安全变得更为复杂。设计一个IPv6 WLAN环境下的安全网关，能够检测到网络中潜在的漏洞和威胁，通过搭建实验环境，并对未授权接入、DAD DOS攻击和重定向攻击三种安全威胁进行了仿真，实验结果证明该安全网关的有效性。

网络安全；IPv6；WLAN

1．引言

近几年，研究者已提出了许多链路层协议对WLAN通信进行保护，如802.1x[1]、802.11i[2]和WI-FI[3]等。其中，IETF提出的基于端口的访问控制协议IEEE 802．1x是现在最流行的协议，IEEE 802．1x设计了一个认证和密钥管理框架，能够较粗糙地保护WLAN通信安全。将IEEE 802．1x与其它具有更高安全性的协议相结合，比如IPSec[4]和AAA[5]，是很有必要的。IPv6的邻居发现（ND）和自动配置功能使得链路层的安全存在较大的隐患，因此，一些无状态自动配置过程中安全保护方法被提了出来，例如安全的邻居发现协议（SEND）、加密的产生地址（CGA）和基于密钥的地址（ABK）。在这些技术完全实现之前，安全地接入IPv6 WLAN仍然存在着较大的管理难题。现有比较流行的网络管理工具和应用程序通常使用简单网络管理协议（SNMP）[6]对IP网络进行管理，利用SNMP，一个管理程序可以管理所有支持这种协议的网络设备。SNMP同样适用于IPv6，虽然已有很多设备提供了对IPv6上SNMP的支持，但相应的管理应用程序仍然有所欠缺，因此本文设计了一个IPv6 WLAN安全网关，对IPv6 WLAN环境下的安全接入进行管理。

2．IPv6 WLAN安全性分析

WLAN不受地理空间的限制，提供方便的接入，因此也造成了一些安全漏洞，已有一些文章提出了相应的方法来解决无线通信的安全问题，比如文献[7]，[8]和[9]。IPv6新的特征为无线通信提出了一些新的挑战，邻居发现和自动配置使IPv6具有较高的灵活性，但灵活性与安全性的要求却恰恰相反。

IPv6网络主要依靠ICMPv6的一些功能来进行实施，例如NS，NA，RS和RA，通信设备使用ICMPv6的功能来学习本地的拓扑结构，包括本地主机和路由器IP地址和MAC地址之间的映射关系。IPv6 WLAN中的数据包相比于有线网络更容易被攻击者窃取，然后用来制造各种类型的攻击，因此网络应该监视IPv6各个类型的数据包，通过使用合理的方法来分析这些数据包，检测出异常的行为，并及时的发出警报。

在RFC3756中对网络威胁和安全模型进行了定义，公用无线网络中的威胁主要分为两种：重定向攻击和拒绝服务(DOS)攻击。在无线网路中，数据包在被拦截和窥视后，可能会被重定向到一个错误或者不存在的地址。恶意的最后一跳路由器是比较有名的重定向攻击，攻击者周期性地发送RA，假冒真的最后一跳路由器声明其生命期值为0，被欺骗的主机就会认为该路由器不再提供服务，进而选择假的主机作为默认路由器，攻击者就有机会截取主机的通信或者实施中间人攻击。还有一些类似的攻击，比如DHCP攻击和重复地址检测(DAD)攻击。

3．安全网关设计

为了确保IPv6 WLAN的安全，本文设计一种安全网关的方法来确保接入网络的安全性，该安全网关从相应的设备中收集和处理相关的信息，它为上层应用程序服务提供了一个安全的入口。安全网关的结构如图1所示，它主要由六个管理单元组成：流量收集单元，流量处理单元，认证单元，行为分析单元，策略管理单元和响应单元。

图1 安全网关框架

(1)流量收集单元

这个单元从路由器，接入点和DHCP服务器中收集数据流量，通信信息可以从被管理设备的日志文件、流量镜像中收集，然后将这些收集的信息传递给流量处理单元。

(2)流量处理单元

这个单元处理流量收集单元所收集到的数据，例如首先按RA、RS、NS、NA、重定向消息等类型对ICMPv6进行分类，一旦确定了数据报的类型，相应的IP源地址、目的地址将被记录下来，存储到数据库中。这个单元除了处理ICMPv6信息外，也对各种服务器中的MIB对象和日志文件进行处理。

(3)认证单元

这个单元在接入点的帮助下完成无线客户端的认证过程，无线客户端的认证请求通过接入点转发给RADIUS服务器进行认证，通过RADIUS服务器返回的信息，接入点可以判断无线客户端的认证请求是否通过。将认证结果传递给行为分析单元进行下一步的处理。

(4)策略管理单元

根据第二部分对安全漏洞和威胁的分析，各类潜在的安全漏洞都存在着一个确定的模型。各类攻击和异常行为的特征都事先进行分析，事先定义一个策略。策略管理单元通过提供一些阈值或者规则使行为分析单元来辨别网络的异常行为。根据管理的需求，策略可以通过安全配置管理更新。

(5)行为分析单元

这是安全网关的核心部分，行为分析单元用流量处理单元和策略管理单元传送过来的数据对网络流量行为进行分析，当类似重定向攻击等安全威胁被识别时，这个单元将会通知响应单元进行下一步的动作。

(6)响应单元

响应单元主要负责将异常行为或者安全配置更新通知网络管理服务器，警报系统和安全配置管理应用程序根据从响应单元接收到的信息做出相应的动作。

六个管理单元整合到一起提供预防的安全应用服务，一方面，通过与认证服务器的合作，提供了数据链路层的接入控制；另一方面，通过监视和分析IPv6数据包，能够在IP层预防安全威胁。

4．实验及评估

为了证明本文所设计的安全网关的有效性，我们构建了一个IPv6 WLAN的实验环境，在众多安全威胁中，我们对未授权接入、DAD DOS攻击和重定向攻击三种进行了仿真和评估。

4．1 实验系统环境介绍

无线IPv6网络环境主要由以下几个部分组成：一个无线AP，一个RADIUS服务器，一台DHCP服务器，一台网络管理服务器和一些主机构成，具体结构如图2所示。

图2 实验环境系统

无线AP提供了基于MAC地址的接入控制，配备了SNMP代理和802.1x MIB。RADIUS服务器是将Radiator[10]安装在一台支持IPv6的XP操作系统主机上。使用有状态的自动配置的DHCPv6服务器安装在一台Linux主机上，由于安全网关上流量收集单元需要，DHCP上的日志文件处于打开状态。一台IPv4/IPv6双协议栈的路由器作为本地网络的网关，为了支持地址自动配置，路由器被设置为周期性地发送路由器公告，并及时地响应路由器请求。网络管理服务器是一个配备了本安全网关的网络管理系统，该系统使用基于WEB接口的JAVA编程实现。系统持续监视着网络上的流量，并查询AP和路由器上的SNMP代理，来获取MIB对象实例。流量处理单元处理通信中的流量，并对ICMPv6数据报按照路由请求（RS）、路由公告（RA）、邻居请求（NS）、邻居公告（NA）、重定向（Redirect）和其它类型等几种类型进行分类，然后传递给行为分析单元。通过检索AP和DHCP服务器中的日志文件来判别合法和非法连接。

4．2 实验过程

为了评估本安全网关的性能，网络管理系统使用网络嗅探器（Snifferpro）[11]来监视网络数据包。攻击程序使用C语言进行编程，该攻击程序包含三种类型的攻击：未授权接入，DAD DOS攻击和重定向攻击。

(1)未授权接入

一个恶意的用户可能持续地发送认证请求到无线AP来试图接入Internet，AP中的SNMP代理会将请求客户端的MAC地址作为管理对象存储到IPv6 MIB，通过查询MIB中的相关对象，行为分析单元能够判别哪一个未授权MAC地址在短时间内持续地发送接入请求。在这种情况下，响应单元将会发送一个未授权接入警告，在观察期内，这些未授权的接入请求包将会被AP丢弃。

(2)DAD DOS攻击

一个攻击者可以通过很多工具来监视网络中的流量，一旦接收到邻居请求数据包，它可以持续地发送邻居公告来宣称该地址已经被使用，那么发送邻居请求的主机将永远不能获得地址。在本安全网关中，流量处理单元将已经分配的地址存储在数据库中，数据库也包含每个邻居通告的时间和源MAC地址等信息。通过收集到的地址和时间信息，并根据安全策略所设定的标准，如图3所示，行为分析单元能够发现DAD DOS攻击，并发出警报。

图3 DAD DOS攻击检测过程

图4 重定向攻击检测过程

(3)重定向攻击

攻击者首先伪装成路由器，然后再发送Redirect报文给被攻击节点：发往某个外网节点的数据包，走自己这条路由更好，那么被攻击节点就会将数据包交由恶意节点转发，恶意节点就可以不转发禁止其通信，或进行一些篡改。使用本文提出的安全网关，流量收集单元从合法的路由器上收集前缀和配置信息，一旦路由器重新拨号后，在数据库中要对前缀和配置信息进行更新。根据安全策略和数据库中的设置的参数，网络行为分析单元能够通过如图4所示的重定向攻击检测过程检测到异常行为。

5．总结

本文所设计的安全网关通过使用SNMP，ICMP，DHCP和RADIUS等工具为进入IPv6 WLAN提供了一个安全屏障。安全网关中的认证单元与RADIUS服务器相合作来实现WLAN的接入控制，事先定义的安全策略能够发现链路层和网络层的攻击，并发出预警，防止攻击真正的发生。我们构建了一个IPv6 WLAN的实验环境，将安全网关安装在网络管理服务器中，并对非授权接入、DAD Dos攻击和重定向攻击三种安全威胁进行了仿真实验，通过成功地捕获并报告潜在的威胁证明了该安全网关的有效性。最后，怎样把安全网关与入侵检测系统和防火墙结合起来是我们未来将要开展的工作。

[1]IEEE Std 802.1X，“Standard for Port based Network Access Control”，March 2001．

[2]IEEE Std 802.11i，“Medium Access Control(MAC)Security Enhancements”，2004 edition．

[3]Wi-Fi Alliance．WPA Specification Documentation，version 3.1 edition[EB/OL]．http：//wi-fi．org，2003．

[4]The IPSEC Working Group．Ip security protocol(ipsec)charter[EB/ OL]．http：//www．ietf．org/html．charters/ipsec-charter．html．

[5]B．Aboba，J．Wood，“Authentication，Authorization and Accounting(AAA)Transport Profile”，June 2003．

[6]J．D．Case，M．Fedor，M．L．Schoffstall，J．Davin，“Simple Network Management Protocol(SNMP)”，RFC 1157，May 1990．

[7]Miller，S．K．，“Facing the challenge of wireless security”，Computer，Volume：34，Issue：7，July 2001．

[8]Welch，D．，Lathrop，S．，“Wireless security threat taxonomy”，Information Assurance Workshop，2003．IEEE Systems，Man and Cybernetics Society，18-20 June 2003．

[9]Johnson，D．M，“Wireless security：vulnerabilities and countermeasures”，Computer Security Applications Conference，2002．Proceedings，18thAnnual，9-13 Dec．2002．

[10]Radiator Server[EB/OL]．http：//www．open．com．au．

[11]SnifferPro[EB/OL]．http：//www．snifferpro．co．uk．

Design of the Security Gateway in IPv6 WLAN

Zheng Yongxing
(Fujian Key Laboratory of Cryptography and Network Security,Fujian Normal University,Fuzhou 350007,Fujian)

tract】 IPv6 will be widely used in WLAN because of its powerful addressing scheme and mobility.Along with the convenient Internet access of WLAN,it is more dangerous compared to wired network.The ND and auto configuration features of IPv6 make the access of WLAN become more complexity.We design a security gate of IPv6 WLAN to detect the underlying threat,and construct an experiment environment.Unauthorized accesses,DAD DOS attacks,and redirect attacks are simulated and evaluated to prove the effectiveness of our security gateway.

words】 network security;IPv6;WLAN

郑永星，男，福建泉州人，硕士研究生，研究方向：网络安全。

福建省教育厅产学研项目，项目编号：JA12063；福建省2013战略性新兴产业技术开发项目，项目编号：闽发改高技[2013]266号。