摘要:按照国家广播电视总局关于推进IPv6规模部署和应用的要求,运营商正逐年落实IPv6部署和应用工作,有线电视网络IPv6应用规模不断提升。与此同时,运营商应同步开展IPv6网络安全部署实践,以更好地应对当前IPv6攻击不断攀升的态势。本文围绕有线电视网络设备IPv6安全关键技术展开研究,对IPv6网络安全性进行分析,对有线电视网络中的通用网络设备路由协议的安全风险和防护进行研究,以期为IPv6网络安全实践提供一些参考。
关键词:IPv6;网络安全;路由协议
1引言
IPv6协议是下一代互联网协议,在地址空间、安全性等方面有巨大提升。物联网、云计算、大数据、人工智能等新技术驱动网络空间向万物互联演进,利用IPv6技术解决地址短缺问题、培育创新空间是大势所趋。世界各国已充分认识到规模部署IPv6的迫切性,全球通信行业及开展新兴技术应用的企业都在向IPv6迁移。目前,全球IPv6支持能力水平稳步提升,APNICLabs国家/地区IPv6支持能力统计数据显示,截至2022年3月8日,全球IPv6支持能力达29.8%。2021年,中央网信办、发改委、工信部联合《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,明确了“十四五”时期应全面深入推进IPv6规模部署和应用,加快促进互联网演进升级。随后,广电行业制定了相应的工作任务台账,全面推进广电行业IPv6规模部署和应用。在IPv6规模部署过程中,安全问题是非常重要的。在网络层面,IPv6网络面临协议、机制自身存在的安全问题,通用网络设备路由器和路由协议在IPv6环境下也面临着新的安全挑战。
2IPv6网络安全性分析
2.1IPv6协议的特征和安全性增强
与IPv4相比,IPv6在地址空间、首部格式、安全性支持、配置和维护等方面进行了改进,同时实现了安全性的增强。安全性的增强一方面源于地址空间大大提升,另一方面源于IPv6协议族中提供了若干安全特性。IPv6的主要特征如下。
2.1.1地址空间的扩展
IPv6将地址长度从IPv4的64位扩展到128位,地址空间容量是IPv4的296倍,地址空间得到极大扩展。IPv6海量地址空间提升了网络扫描和网络勘察的难度,在网络层实施传统的顺序扫描或随机扫描策略将是不可行的。
2.1.2层级化的编制方式和丰富的地址类型
IPv6采用了可聚合的层级化的子网分级编址方式,并定义了全球聚合单播地址、本地链路地址、多播/选播地址等一系列地址类型,有助于提高路由表的空间聚合效率和路由交换性能,更加适合交换式的高速网络环境。
2.1.3高效的协议首部
IPv6的协议报文首部格式采用基本首部和扩展首部相结合的定义方式。基本首部具有固定的长度,便于节点进行快速处理,可以减少处理开销,提升数据包转发的效率。扩展首部采用选项链表形式,可以为协议功能的扩展提供高度的灵活性和自主性。
2.1.4支持IPsec
IPv6以一组RFC定义了网络安全协议框架IPsec,包括了鉴别首部机制(AH)和安全负载封装机制(ESP),以及支持多种密钥加密方式的因特网密钥管理交换协议(IKE)等,以保障IP层数据包的安全传输。
2.1.5IP层邻居发现协议与无状态地址自动配置
IPv6协议族中定义基于IP的邻居发现协议,替代IPv4中采用的链路层ARP协议和部分ICMP功能,在三层实现地址解析和邻居发现,并提供无状态地址自动配置功能,提升了协议在不同二层介质条件下的适用性,减轻了二层网络压力,而且可以使用三层的安全机制增强网络维护管理机制的健壮性。
2.2IPv6网络的安全风险
网络层面的IPv6安全风险分析主要从IPv6协议机制出发来展开,包括网络编址机制、IPv6报文格式、ICMPv6协议、邻居发现协议等。
2.2.1网络编址机制的安全风险
网络寻址空间的大小对于目前的网络安全分析技术将产生直接的影响。任何类型的攻击的第一个阶段通常都涉及对目标的勘察,攻击者会评估目标,选定穿透防御最容易的方法以及实施攻击的最优方式,并确定攻击实际上是否成功。与IPv4相比,IPv6高达128位的地址长度显著提升了网络扫描的难度,传统的基于网络层的随机扫描和顺序扫描策略在IPv6下难以实施。然而,若IPv6编址方式不合理,如采用将EUI-64地址转换为IPv6地址的编制方式、在IPv6地址中嵌入IPv4地址的编制方式、在IPv6地址中嵌入端口号的编制方式或采用十六进制“字”构造IPv6地址的方式等[1],则会降低扫描的搜索空间,减弱网络扫描的难度。
2.2.2IPv6报文格式的安全风险
IPv6采用了基本首部和可选的扩展首部相结合的分组格式。基本首部格式简练且具有相对固定的长度;扩展首部以选项链表的形式替代了IPv4下单一且长度不定的IP头选项字段,以提供良好的协议扩展性。IPv6在安全性方面优于IPv4,但其设计仍然有不严密之处,为安全威胁的产生创造了便利条件。IPv6基本首部中存在未完全定义字段和保留字段,如版本、流量类型、流标签、下一报头、跳限制等字段。一方面,攻击者可能将字段设置为未定义取值,用以干扰安全设备或消耗资源,甚至实施拒绝服务(DoS)攻击;另一方面,攻击者可能利用这些字段来构建隐蔽信道,它能使通信双方绕过系统安全访问机制的检查,并以违反系统安全策略的方式传递秘密信息。IPv6扩展首部机制是IPv6协议的新特性之一。扩展首部的引入最大程度地减少了节点处理IPv6协议首部的开销,而且它使得未来IPv6功能的扩展具有高度的灵活性和自主性。IPv6协议主要定义了逐跳选项首部、分段首部、目的地选项首部、路由首部、认证首部、封装安全载荷首部等扩展首部。IPv6协议还明确规定了发送节点对IPv6扩展首部的顺序和次数的要求,但同时IPv6协议要求IPv6节点必须能够接收并尝试处理以任意顺序构成的扩展首部。任意类型的扩展首部能够以不同的顺序或是未定的次数在IPv6数据包中出现,这种不受约束的特性存在极大的安全隐患,比如将许多扩展首部链接在一起精心构造的报文,可能会被用来规避防火墙和入侵防御系统的安全控制;处理冗长的扩展首部会带来极大的资源消耗,由此可能导致拒绝服务攻击;扩展首部存在大量的数据空间,可能会被用于实现隐蔽通信等。
2.2.3ICMPv6协议的安全风险
ICMPv6协议是IPv6协议族中的一个基础协议,合并了IPv4中的ICMP(控制报文协议)、IGMP(组成员协议)、ARP(地址解析协议)、NDP(邻居发现协议)等多个协议的功能。每个IPv6节点都必须完全实现ICMPv6的基础协议。对于ICMPv6协议的攻击,主要分为四类:一是通过伪造虚假报文或产生大量不合法报文等方式,利用ICMPv6报文造成拒绝服务攻击;二是利用精心编制的ICMPv6消息开展网络嗅探,通过探测站点以确定拓扑并识别潜在的攻击目标;三是利用重定向消息发起重定向攻击;四是一些ICMPv6错误数据报文可能需要双向通过防火墙,而报文透明传输容易被用来进行隐蔽通信等。
2.2.4邻居发现协议的安全风险
邻居发现协议是IPv6中的一种重要协议,定义在ICMPv6中,属于ICMPv6的消息性报文。邻居发现协议定义了路由器公告(RA)报文、路由器信息请求(RS)报文、邻居请求(NS)报文、邻居公告(NA)报文和重定向报文。利用这些报文,邻居发现协议主要实现地址解析、重复地址检测、邻居不可达检测、无状态地址自动配置和重定向功能。IPv6节点通过邻居发现协议确定链路上邻居节点的链路层地址,寻找进行包转发的邻居路由器。另外,节点使用邻居发现协议可以确定邻居的可达性,并能检测改变了的链路层地址。基于邻居发现协议的攻击是IPv6下一个需要面对的十分重要的安全威胁,主要分为两类:一类是基于邻居发现协议的拒绝服务攻击,包括RA报文配置虚假的地址前缀或网络参数(MTU、跳数限制等)造成主机的拒绝服务、重复地址检测中通过虚假的NS或NA报文干扰造成拒绝服务攻击、邻居不可达检测中通过虚假的NA报文回应NS报文造成拒绝服务攻击等;另一类是基于邻居发现协议的欺骗攻击,包括伪装路由器发送虚假RA报文实施监听或中间人欺骗攻击、使用RS/NS/NA报文实施邻居缓存欺骗攻击或地址欺骗攻击,以及发送虚假的重定向报文实施重定向攻击。
3通用网络设备路由协议安全风险及防护
有线网络运营商内部环境的安全是IPv6安全的一个重要领域。一个网络运营商如何保障其网络的安全会直接影响整个互联网的安全。有线网络运营商IP数据网通常划分为骨干网、城域网和接入网。骨干网汇聚了全省的所有业务,通常由核心层、汇接层和出口层组成,如图1所示。核心层负责省内各城域网络间的访问流量;汇接层负责接入层流量的汇聚和转发;出口层负责与ISP/ICP等外部网络间的Internet访问流量。有线电视IP数据骨干网的主要网络设备通常为路由器、三层交换机等,一台网络设备可以划分为4个不同流量平面,即数据平面、管理平面、控制平面和服务平面。网络设备的控制平面主要涉及信令协议,路由协议是其中的一种重要协议。路由器使用路由协议以收敛IP转发数据库。目前,最常用的支持IPv6的路由协议分别是边界网关协议BGP4+、路由信息协议下一代(RIPng)、最短路径优先路由协议版本3(OSPFv3)和中间系统到中间系统版本6(ISISv6)。在网络中,路由器容易受到中断攻击、消耗路由器计算资源的攻击、缓冲区溢出攻击或重放攻击,这些攻击可能造成DoS或数据包的次优路由。此外,路由器被攻击的方式可能还包括大量路由信息的注入、错误路由信息注入以及其他可能导致其性能下降的流量。路由协议最初是针对友好环境设计的,用以处理数据流量的路由,所有路由器协作完成加快收敛时间的共同目标,意味着路由协议本身面对攻击是脆弱的。因此,在控制层面需要采取措施保证路由器及其路由协议的安全。路由器应对威胁的一种重要方式是使用密码学方法认证在路由器之间发送的消息。边界网关协议BGP4+支持使用MD5认证或Keychain认证;RIPng支持MD5认证,同时还可使用IPsec认证;OSPFv3通常使用IPsec认证保证邻接邻居之间的信息安全;ISISv6则采用自身协议定义的ISIS认证方式。针对DoS攻击,路由器实行白名单安全机制,为每个端口建立“白名单安全”标签,在“白名单安全”列表中的端口之间可以实现快速的报文互换;针对大量路由信息注入的攻击,应采取单邻居路由数量限制的策略,限制存入路由数据库的路径数目或设置接收路径数目的限制值。
4结语
在IPv6规模部署与应用的同时,需要同步加强IPv6网络安全保障。本文从网络层面展开对IPv6相关网络安全性的分析,有助于加深对于网络层面IPv6安全问题的理解;对有线电视网络设备中的路由器及路由协议的安全风险和防护进行分析,为有线网络设备控制平面的网络安全实践提供了参考。
作者:赵翠 赵明 汤新坤 单位:国家广播电视总局广播电视科学研究院
