基于IPv6规模部署下的网络安全风险防范措施研究

2022-03-01贺乐乐毛云轩

数字通信世界 2022年11期

贺乐乐，毛云轩

（中车南京浦镇车辆有限公司数字化部，江苏南京 210031）

1 研究背景

IPv6规模部署计划发布至今已走过近5年的时间，现阶段，国内IPv6改造工作基本完成，相对应的服务器也已正式投入使用。截至2021年，国内IPv6活跃用户总数约为7亿，这表示约有60%的网民均为IPv6用户，物联网连接数也达到了1.4亿左右，其中，移动IPv6的占比约为35%，固定IPv6的占比约为9.4%[1]。调查表明，包括央企网站、政府网和政务网在内的多数门户网站都完成了升级改造的工作，用户可通过IPv6或IPv4进行访问。可以预见的是，未来一段时间内，我国仍然会处在IPv6、IPv4并行的环境下，如何有效防范风险、提高网络安全系数，自然成为大家关注的话题。

IPv6的核心功能有两个，分别是路由、寻址，相较于IPv4，IPv6具有极为突出的优点，具体表现在以下方面。首先，地址空间可达到128位，能够严格遵守聚类原则分配地址，省略了NAT地址转换的步骤，在弱化网络时延的前提下，使信息传输质量及速率得到大幅度提高[2]。其次，IPv6创造性地引入了层次分配法和密码生成法，同时利用公私钥验证身份，保证访问人员身份真实。再次，IPv6具有更高的安全系数，一方面是因为其地址空间极大，而庞大的地址空间，增加了不法分子扫描的难度，DDoS攻击的发生率随之降低；另一方面是IPv6内置的IPSec可为通信数据所具有完整性、通信内容所具有机密性提供保证，而抗重播保护的加入，在极大程度上保证了报文、用户与攻击的适配性，通过实时监控的方式，确保潜在问题及时得到解决[3]。最后，IPv6引入了流标签，利用流标签对数据报文进行简化，该做法在极大程度上提升了数据包的处理速率，数据流质量也能够得到更有力的控制。

除此之外，IPv6的特点还包括以下几点。一是新增组播支持功能，同时剔除了广播地址，使服务质量得到全方位控制，基于广播地址所衍生出的DDoS攻击、广播风暴等问题，发生率自然大幅度降低。二是不仅禁用可广播数据包、源地址并非单一节点的相关数据包，还明令禁止使用链路层组播，此举可将ICMPv6报文所引起安全问题的发生率降至最低。三是IPv6支持主机自配置、SLAAC等协议，即使没有地址池、服务器，同样能够管理地址，不仅网络管理效率得到提高，移动终端所具有路由、移动还有安全等特性也有所增强，对网络地址进行管理的难度明显低于IPv4。

2 IPv6规模部署潜在风险及成因

研究表明，虽然IPv6能够弥补IPv4所存在的网络地址不足等缺陷，但由于升级工作无法一蹴而就，升级期间，双栈机制将长期存在，加之IPv6自身也存在一定的漏洞，围绕IPv6所存在漏洞制定相应的防范方案迫在眉睫。

2.1 IPv6层面

2.1.1 协议存在漏洞

研究表明，IPv6主要存在以下漏洞。其一，IPv6的中间节点无法处理分段数据包，仅有端系统才能够将数据包分段并进行重组，不法分子往往会利用这一特点，通过恶意数据包攻击系统。其二，IPv6自带IPSec对分发密钥的技术具有极强的依赖性，现阶段，该技术尚未成熟，存在管理成本偏高的问题，过于依赖该技术，将影响防火墙的运行，限制防火墙分析负载数据、获取端口号，进而降低数据包检测的成功率。其三，路由往往要依托流量放大机制才能稳定运行，不法分子可以凭借路由报头将自己伪装成普通用户，再以普通用户的身份截取数据包[4]。由此可见，导致IPv6安全性难以达到理想水平的原因，主要是该协议没有保留NAT，而是采取端对端通信的模式，这样设计虽然能够提高通信效率，却也会带来信息、结构暴露的问题，降低协议安全系数。

2.1.2 过渡方案有待升级

IPv4可通过三种方式升级为IPv6，分别是IPv6隧道、双栈机制以及地址转换。随着IPv6正式投入使用，网络架构所受到影响将逐渐显露出来，由此而带来的问题主要体现在以下方面。首先，过渡环节，IPv6、IPv4间需要频繁通信，只有以IPv6为依托，结合双栈主机情况采取相应的防护策略，才能避免不法分子经由IPv6路由激活地址，并通过初始化的方式进行攻击。其次，地址转换环节，若负责转换地址的设备内部存有敏感信息，将有极大概率受到攻击或是入侵，进而引发不必要的问题。再次，由运营商所选用过渡技术，普遍没有经过相应的检验，其安全性难以得到保证。此外，双栈机制需要IPv6对硬件资源进行共享，这样做会影响系统所具有通信效果和传送速率，导致用户无法获得良好的体验及感受。最后，隧道加密传输效果极易被协议完整度所影响，目前，IPv6在认证隧道等方面，仍有较为明显的缺陷存在，例如，使用隧道技术通信时，IPv6有一定概率出现隧道嗅探、注入等问题。

2.1.3 防护能力较弱

IPv6诞生的时间较短，尚未得到大范围推广和普及，已上线系统、网站及应用仅在小范围内运行，围绕其所展开安防研究的力度较弱。除此之外，下列情况同样限制着安防研究的深入。其一，受市场规模、实时收益影响，IPv6产品所具有价值并未得到全方位展示，对相关产品进行开发的技术人员有限，可供使用的服务及产品数量相对较少。其二，缺少良好的验证环境，致使技术人员无法深入验证安全漏洞、代码缺陷。其三，从事相关工作的人员所表现出综合素质及专业能力均难以达到行业领先水平，对IPv6的了解相对浅显，导致针对IPv6所开展安全管理工作，其所取得效果与IPv4相距甚远。

2.2 互联网层面

互联网的风险主要体现在以下方面。一是互联网具有开放性，人们只需拥有移动终端，便可以通过互联网获取自身所需信息，相应地，不法分子可经由物理线路窃听甚至篡改信息，搭配扫描攻击，达到自己的目的。二是数据库被攻击的可能性较大。新时期，越来越多行业选择将生产、运营数据统一保存在数据中心，与此同时，存储数据、调取数据等服务也朝着云化的方向发展，管理数据的难度有目共睹，若企业仍沿用传统管理模式，将导致安全风险、漏洞无法被及时发现，自身受到攻击的可能性自然有所加大。由此可见，要想确保数据库具备良好的可靠性、完整性以及准确性，关键是要引入更加先进的管理技术，同时对管理模式进行调整。

3 IPv6规模部署风险防范路径

3.1 IPv6层面

3.1.1 完善IPv6协议

要想使IPv6协议更加可靠，关键要以其所存在漏洞为抓手，对协议进行完善。首先，对IPv6安全质量进行评估，对相关应用所具有渗透性及健壮性进行测试，根据测试结果，判断IPv6是否存在漏洞，在此基础上，堵塞漏洞并改进协议，确保协议具备良好安全性。其次，基于IPv6独有的地址生成模式生成地址，同时对地址进行加密，以免发生人为攻击、设备随意接入的情况，将源地址欺骗等问题出现的概率降至最低。再次，对安全机制进行强化，凭借IPSec特有的可靠性、不可否认性以及反重播性等特征，优化IPv6，通过新增加密认证等功能，优化IPSec所具有吞吐能力，将隧道嗅探、注入等风险的发生率维持在较低水平。最后，以IPv6所提供隐私扩展机制为依托，将通信地址隐藏，以免由于缺少地址转换，导致信息暴露或结构暴露，为网络所具有安全性提供保证。

3.1.2 升级过渡方案

以网络设施能力为依据，结合业务未来发展需求，对网络升级规划和方案进行设计。优先购入适配IPv6、IPv4的网络设备，将IPv6给IPv4所产生影响作为抓手，对开拓业务、网络安全所提出需求进行平衡，酌情引入包过滤、隧道+客户端双重认证等技术，杜绝IPv6、IPv4间出现交叉感染或类似问题。考虑到IPv6、IPv4协议及地址存在明显区别，因此，还要对管理上网行为的系统、检测入侵的系统、防火墙及路由器进行调整，在新增与业务需求相符的控制策略的前提下，将源路由、无用服务彻底关闭，同时引入以反向查找为代表的全新技术，以免由于源地址欺骗，而引起不必要的问题[5]。以网络的使用情况为依据，对IPv6通信进行分层管理，严格控制访问安全域等行为，在过滤机制的辅助下，提高网络接入过程的安全系数。综合考虑多方面因素，对ICMPv6报文所遵守访问策略进行设置，与此同时，还应对安全措施进行调整。例如，打造白名单，确保仅有ICMPv6及相关报文能够顺利通过，终止发送不可达信息及RA信息，同时将源路由关闭，为相关应用提供良好的运行环境；再如，对防火墙进行升级，新增与检查扩展头相关的规则、重组功能模块和选择发送模块，通过准确筛选并过滤特定类型报文的方式，将DDoS攻击发生率降至最低。此外，还应分别依托边界设备、防火墙，安装入口过滤系统，这样做能够降低源地址伪造等问题的发生率，使边界得到强有力的保护。

3.1.3 增强防护能力

在增强防护能力方面，实证有效的措施如下。第一，研究人员应加大对IPv6进行研究的力度，从安全还有服务理论的角度出发，基于扩展头、分片攻击等IPv6常见安全风险开展研究，根据风险形成原因拟定相应的解决方案。第二，生产商、提供商应保证自身所生产产品和所提供服务能够达到安可标准，在此基础上，对能够借鉴或是复制的场景进行深入探索。第三，重视设备、芯片还有物化材料的研究，为相关研究工作的开展提供有力支持，研发大量先进的国产技术与设备，在对升级成本加以控制的前提下，使建设安保能力等工作得到有序推进。第四，大力培养专业人才，通过继续教育与学历教育相结合的方式，培养大批具有良好综合素质、突出专业能力的人才。在条件允许的情况下，培训机构可搭建相应的实验环境，定期组织开展攻防演练，夯实安全人员理论基础，同时增加其所具有的实践进展，使该群体所表现出实战水平达到预期。第五，政府主管部门应颁布相应的政策，引导有关机构对产品、服务还有安全漏洞进行研究，事实证明，这样做既能够使安全技术储备得到强化，又能够使科研布局所具有合理性、可行性得到提升。第六，用安防费用抵减税费，激发各个行业引入或使用安防产品、技术的热情，确保各大企业能够结合自身情况，主动采用相应的安全服务及产品，为网络安全提供强有力的保护。

3.2 互联网层面

作为基于IPv4所衍生出的全新通信协议，IPv6与IPv4所面临安全风险高度重合，这也决定了常规保障体系同样能够起到防范IPv6安全风险的作用。在此过程中，有以下几项工作需要引起重视。首先，提前安装相应的杀毒软件，为用户端提供强有力的保护。其次，对安防系统进行调整，酌情引入防火墙、堡垒主机，有效应对外部攻击，同时对上网行为进行实时管控，通过隔离内外网的方式，降低风险发生率。再次，利用身份认证、数据加密为数据安全提供双重保护，保证数据具备良好的可靠性与完整性，如果条件允许，还可以引入权威认证、混合加密等技术，将安全防护提升到最高级别。最后，优先安装已获得转移的软、硬件，为设备、系统所具有安全性提供保障。