俞莎

摘要：隨著校園網(wǎng)的日益發(fā)展，IPv6網(wǎng)絡(luò)在我國數(shù)字化校園網(wǎng)中廣泛部署，其安全問題也日益突出?；谖以簲?shù)字化校園網(wǎng)龐大的實(shí)驗(yàn)環(huán)境，該文從分析IPV6數(shù)字化校園網(wǎng)的安全特點(diǎn)入手，對IPV6技術(shù)在我院數(shù)字化校園建設(shè)中體現(xiàn)的安全問題進(jìn)行了分析，闡述了保證IPv6對解決我院數(shù)字化校園網(wǎng)安全實(shí)現(xiàn)的一些策略。

關(guān)鍵詞：IPv6；數(shù)字化校園網(wǎng)；策略

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）10-2221-02

Abstract： With the development of campus network， IPv6 networks are widely deployed in the digital campus network in China， its security issues are also increasingly prominent. The experimental environment of our campus network based on the huge， this paper analyzed the characteristics of IPV6 digital campus network security of the security problems of IPV6 technology， embodied in the construction of digital campus in our hospital were analyzed， discussed some strategies to solve the IPv6 guarantee our campus network security implementation.

Key words： IPv6； digital campus network； strategy

隨著近年來數(shù)字化校園的高速發(fā)展，IPv6網(wǎng)絡(luò)在彌補(bǔ)IPv4網(wǎng)絡(luò)安全性能不高、路由表過度膨脹、服務(wù)質(zhì)量低下等問題的同時(shí)擁有巨大的地址空間，還具備對移動性的內(nèi)在支持、即插即用易于配置等優(yōu)點(diǎn)，安全性的提升是IPv6改進(jìn)中的一個重要方面。

1 IPv6技術(shù)的顯著優(yōu)勢

IPv6巨大的地址空間降低了探測攻擊的風(fēng)險(xiǎn)，使用戶可獲得惟一的網(wǎng)絡(luò)IPv6地址與其個人信息綁定，且節(jié)點(diǎn)不需要使用NAT技術(shù)將網(wǎng)絡(luò)地址轉(zhuǎn)換就可以和對方溝通，使攻擊發(fā)生后的追蹤更快更精準(zhǔn)。IPV6中需要強(qiáng)制執(zhí)行IPsec，IPsec為每個節(jié)點(diǎn)提供數(shù)據(jù)源認(rèn)證，并對其完整性和保密性提供保證，抵御攻擊。認(rèn)證頭和封裝安全載荷將安全機(jī)制內(nèi)置于IPV6協(xié)議中，增加了對數(shù)據(jù)保密性的支持，保護(hù)了數(shù)據(jù)完整性，不被非法篡改和防止源地址假冒和抗重放攻擊。

2 IPV6技術(shù)在我院數(shù)字化校園建設(shè)中運(yùn)用

我院校園網(wǎng)已部署了 IPv6 網(wǎng)絡(luò)，由于目前IPv4協(xié)議和設(shè)備在校園網(wǎng)中仍占有很大比例，因此充分考慮兩者的融合和用戶接入IPv6需求，采用了 IPv4、IPv6 混合組網(wǎng)模式。校園網(wǎng)在設(shè)計(jì)時(shí)就考慮了多種 IPv6 的接入方式，校園網(wǎng)絡(luò)拓?fù)鋱D1 所示。

我院校園網(wǎng)目前以一臺高性能IPv4/IPv6雙協(xié)議棧三層交換機(jī)為核心設(shè)備，教學(xué)區(qū)包括求真樓、求實(shí)樓、崇美樓和實(shí)訓(xùn)樓，辦公樓一棟，學(xué)生區(qū)宿舍若干，都采用的匯聚層交換機(jī)，其中教學(xué)區(qū)是新購置的雙協(xié)議棧三層交換機(jī)，但學(xué)生宿區(qū)部分匯聚交換機(jī)為原有的純 IPv4 交換機(jī)，所以在每棟樓采用了接入層交換機(jī)。網(wǎng)絡(luò)出口采用了一臺雙協(xié)議棧的路由器與外界網(wǎng)絡(luò)連接。用戶采用雙協(xié)議棧的方式訪問網(wǎng)絡(luò)。

3 IPV6技術(shù)在我院數(shù)字化校園建設(shè)中安全隱患

3.1 IPv4、IPv6混合模式

如圖1所示，我院校園網(wǎng)現(xiàn)采用雙棧接入的方式把具備雙棧功能的設(shè)備進(jìn)行連接，網(wǎng)內(nèi)的用戶使用支持 IPv4/IPv6 雙棧的WINXP和 WIN7操作系統(tǒng)。用戶通過地址解析的結(jié)果來訪問相應(yīng)資源，但黑客可以利用兩種協(xié)議中存在的安全漏洞或協(xié)議版本中安全設(shè)備的協(xié)調(diào)不足來逃避檢測，在協(xié)議進(jìn)行協(xié)調(diào)攻擊。

如圖1所示，由于部分學(xué)生宿舍區(qū)及辦公樓原有的一級匯聚交換機(jī)不支持 IPv6，更換設(shè)備的成本過高，所以在點(diǎn)上的匯聚交換機(jī)上啟用了配置隧道協(xié)議，另一部分宿舍區(qū)啟用 ISATAP隧道接入采用二層交換機(jī)直接接入?yún)R聚交換機(jī)上，與核心交換機(jī)建立 ISATAP 隧道接入 IPv6 網(wǎng)絡(luò)。這樣用戶就無需額外配置就可以接入混合網(wǎng)絡(luò)，但隧道機(jī)制對數(shù)據(jù)包只進(jìn)行簡單的封裝和解封，不能對其地址關(guān)系進(jìn)行嚴(yán)格檢查，使網(wǎng)絡(luò)會存在一定的安全風(fēng)險(xiǎn)。

3.2 IPV6在我院數(shù)字化校園網(wǎng)建設(shè)中的隱患

1） IPV6協(xié)議特點(diǎn)在我院數(shù)字化校園網(wǎng)建設(shè)中的隱患：

① 組播報(bào)文因缺乏IPV4中TCP（傳輸控制協(xié)議）的功能進(jìn)行數(shù)據(jù)的可靠傳輸，使數(shù)據(jù)缺乏完整性和機(jī)密性保護(hù)，且IPv6組播所需的組播維護(hù)協(xié)議也不能很好的達(dá)到安全的需要。

② 節(jié)點(diǎn)無狀態(tài)地址自動配置時(shí)惡意主機(jī)可以假冒合法路由器發(fā)送偽造的RA報(bào)文和通告，使節(jié)點(diǎn)選擇惡意主機(jī)為缺省網(wǎng)關(guān)進(jìn)行攻擊造成訪問網(wǎng)絡(luò)中斷。

③ 報(bào)文的身份和哄騙報(bào)文攻擊是鄰居發(fā)現(xiàn)協(xié)議（NDP）協(xié)議的主要安全需求和威脅，攻擊者仿造節(jié)點(diǎn)不可達(dá)信息和重復(fù)地址檢測進(jìn)行DoS攻擊，及傳播虛假的路由響應(yīng)和重定向報(bào)文都有可能騙取網(wǎng)絡(luò)流量。

2） 由于我院校園網(wǎng)中還存在傳統(tǒng)的防火墻設(shè)備，在這種混合模式的特殊環(huán)境下，包過濾型和復(fù)合型兩種防火墻都將遭到IPv6的巨大沖擊，因代理服務(wù)器型防火墻工作在應(yīng)用層，受影響相對較小。

3） 我院校園網(wǎng)用戶龐大且以學(xué)生用戶為主的需求也是多方面的，這就要求PKI管理體系適應(yīng)我院校園網(wǎng)實(shí)際需求提高數(shù)字設(shè)備證書與密鑰管理的能力，制定嚴(yán)格而合理的訪問控制策略，滿足高訪問量的響應(yīng)速度和效率的同時(shí)掌控各類用戶對PKI系統(tǒng)和其他服務(wù)器的訪問。

4） 我院數(shù)字化校園網(wǎng)用戶特點(diǎn)帶來的隱患

① IPv6編址機(jī)制使移動IPv6的隱患增加

在我院由于師生工作學(xué)習(xí)的需要，許多都自己配備了移動設(shè)備，往往在線環(huán)境下使用的時(shí)候易受到竊聽及攻擊。移動設(shè)備隨便著網(wǎng)絡(luò)環(huán)境的變化經(jīng)常需要更改IP地址，且IPv6的編址機(jī)制中引入了IPv4兼容地址、本地鏈路地址、全局聚合單播地址和隨機(jī)生成地址等，可自動根據(jù)網(wǎng)絡(luò)接口標(biāo)識符生成而無需DHCP自動配置協(xié)議等外部機(jī)制干預(yù)，實(shí)現(xiàn)不可路由的本地鏈路級端對端通信，這樣移動的惡意主機(jī)可隨時(shí)連入本地鏈路進(jìn)行非法訪問。

② 加密方式帶來的隱患

我院校園網(wǎng)內(nèi)的學(xué)生用戶占有很大比例，普遍不夠重視密碼的設(shè)置和保護(hù)，且在IPv6下IPSec的隧道和傳送兩種工作模式都需要交換密鑰，對于一些老版本操作系統(tǒng)用戶來說，用戶的合法權(quán)限和安全通信的訪問權(quán)被攻擊者破解并獲得后，就可能被監(jiān)聽發(fā)送者或接收者的傳輸數(shù)據(jù)，甚至解密或竄改數(shù)據(jù)。攻擊者還可以來意的向目標(biāo)主機(jī)發(fā)送大規(guī)模看似合法的加密數(shù)據(jù)包使目標(biāo)主機(jī)耗費(fèi)資源請求，造成拒絕服務(wù)。

4 IPV6技術(shù)在我院數(shù)字化校園建設(shè)中安全隱患的防范措施

結(jié)合以上對我院數(shù)字化校園網(wǎng)存在的安全隱患的分析，要保證其信息安全不但要對網(wǎng)內(nèi)用戶進(jìn)行網(wǎng)絡(luò)安全方面的教育及培訓(xùn)，還要在建設(shè)之初考慮建立新型的安全架構(gòu)，結(jié)合高職職業(yè)教育的教學(xué)特點(diǎn)和潛在問題制定合適的安全措施；通過溯源性監(jiān)測用戶在網(wǎng)絡(luò)上的行為并采取適當(dāng)?shù)男袆觼磉_(dá)到安全監(jiān)管的目的。除加強(qiáng)對木馬和流氓軟件的防范、防備意外情況的發(fā)生外主要包括以下幾點(diǎn)：

4.1 硬件方面

1） 添加具有入侵檢測功能的監(jiān)聽設(shè)備

提高系統(tǒng)的CPU和內(nèi)存等硬件設(shè)備的性能的同時(shí)，利用基于數(shù)據(jù)挖掘技術(shù)構(gòu)建的入侵檢測系統(tǒng)和新算法從大規(guī)模網(wǎng)絡(luò)環(huán)境中快速自動獲取各種協(xié)議信息內(nèi)容后在應(yīng)用層將截獲的數(shù)據(jù)包還原，對其進(jìn)行評估和分析后再對網(wǎng)絡(luò)入侵或攻擊做出及時(shí)響應(yīng)。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于網(wǎng)絡(luò)入侵檢測可充分發(fā)揮數(shù)據(jù)挖掘處理大數(shù)據(jù)量的優(yōu)勢，提高檢測的效率和準(zhǔn)確性。

2） 利用過濾器過濾報(bào)文進(jìn)行防御

針對防御拒絕服務(wù)攻擊最好是能在攻擊源最近的設(shè)備上設(shè)置過濾器，從源攻擊端對報(bào)文進(jìn)行過濾阻止攻擊。可以通過路由記錄的變化來確定每條可能的攻擊路徑，并在每條路徑當(dāng)中尋找最遠(yuǎn)的一個可信點(diǎn)后加裝過濾器阻止攻擊的聯(lián)網(wǎng)業(yè)務(wù)主動過濾機(jī)制對數(shù)據(jù)報(bào)文進(jìn)行封裝，發(fā)往另一個解封點(diǎn)的設(shè)置服務(wù)器子網(wǎng)邊界保護(hù)機(jī)制。

3） 防火墻策略

防火墻通過對系統(tǒng)的訪問控制提供內(nèi)外網(wǎng)絡(luò)通訊，實(shí)現(xiàn)集中的安全管理來增強(qiáng)系統(tǒng)的保密性。在我院網(wǎng)絡(luò)中端到端的連接、移動IP的處理、內(nèi)嵌IPSee、路徑MTU探測等方面都跟防火墻產(chǎn)品的性能密切相關(guān)，要適應(yīng)實(shí)際的使用特點(diǎn)和環(huán)境，在可靠應(yīng)用與計(jì)算環(huán)境為基礎(chǔ)的角度上設(shè)計(jì)并解決安全問題。

4.2 軟件方面

1） 系統(tǒng)漏洞掃描及修補(bǔ)進(jìn)行防御

對于針對系統(tǒng)漏洞來破壞網(wǎng)絡(luò)安全的攻擊應(yīng)及時(shí)通過漏洞掃描模塊發(fā)現(xiàn)并修補(bǔ)系統(tǒng)漏洞，并對系統(tǒng)打上相應(yīng)的補(bǔ)丁。在安裝配置IIS 時(shí)將IIS 管理器中的主目錄改變默認(rèn)路徑安裝在其他邏輯盤；刪除由安裝成功后產(chǎn)生的虛擬目錄；只保留所需的配置文件類型和目錄可執(zhí)行權(quán)限。

2） 設(shè)置訪問和共享權(quán)限進(jìn)行防御

設(shè)置訪問權(quán)限保證用戶只能通過合法驗(yàn)證用戶名和密碼的方式進(jìn)入網(wǎng)絡(luò)在權(quán)限內(nèi)進(jìn)行操作。其密碼設(shè)置應(yīng)注意避免空口令且在設(shè)置時(shí)最好使用字符、數(shù)字、大小寫混合的長度較長的密碼。

為減弱拒絕服務(wù)攻擊的影響，就必須為用戶提供更為優(yōu)化的資源分配方式，避免共享資料設(shè)置成完全共享防止非法用戶通過局域網(wǎng)竊取共享資料，授權(quán)共享密碼并限定用戶范圍來保證共享目錄資料的安全。應(yīng)修改默認(rèn)的3389 端口，限定取得合法用戶的安全證書和授權(quán)的IP地址才能訪問服務(wù)器終端。

4.3 管理方面

在網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)初期將管理納入到體系范圍，加強(qiáng)網(wǎng)絡(luò)管理的策略，重視管理與技術(shù)相結(jié)合，增強(qiáng)對網(wǎng)絡(luò)的可視化管理、自動化管理和交叉層次管理，從管理上增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性、加強(qiáng)網(wǎng)絡(luò)故障的自我修復(fù)能力，網(wǎng)絡(luò)要能夠根據(jù)網(wǎng)絡(luò)具體行為或者配置的變化作出反應(yīng)，從而構(gòu)建一個協(xié)同能力強(qiáng)、行為分析能達(dá)到統(tǒng)一的系統(tǒng)。

參考文獻(xiàn)：

[1] 華南理工大學(xué)信息網(wǎng)絡(luò)工程研究中心.校園I Pv6網(wǎng)絡(luò)安全新威脅分析[J].中國教育網(wǎng)絡(luò)社，2012，2.

[2] 惠敬文，陳花榮，盧超.IPV6下入侵防御技術(shù)的研究[J].科技信息，2010，10.

[3] 彭巖.淺談IPv6的網(wǎng)絡(luò)安全機(jī)制在校園網(wǎng)的應(yīng)用[J].教育信息技術(shù)，2012，2.