“安全”的IPv6依然不安全

孫杰賢

截至2016年10月底，亞太、歐洲、拉美、北美等地區IPv4地址池已完全耗盡。和最多提供約43億個IP地址的IPv4 相比，IPv6理論可提供2的128次方個IP地址。據說，就算給鋪在地球表面上的每一粒沙子都分配一個IP地址，IPv6仍然是綽綽有余。當然，相比IPv4，IPv6的優勢不至海量這一點。

大概10多年前，就有“未來的互聯網屬于IPv6”的歡呼和論斷。但我們從來沒有IPv4被吊打的深切感受，也沒有見到IPv6的遍地開花。然而5G來了，物聯網來了，這一次，IPv6真的有了用武之地。

IPv6部署重回正軌

去年11月26日，中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版（IPv6）規模部署行動計劃》，指出：“抓住全球網絡信息技術加速創新變革、信息基礎設施快速演進升級的歷史機遇，加強統籌謀劃，加快推進IPv6規模部署，構建高速率、廣普及、全覆蓋、智能化的下一代互聯網，是加快網絡強國建設、加速國家信息化進程、助力經濟社會發展、贏得未來國際競爭新優勢的緊迫要求。”

可以說，《行動計劃》的推出讓IPv6部署和應用重回正軌。我國計劃用5到10年時間，形成下一代互聯網自主技術體系和產業生態，建成全球最大規模的IPv6商業應用網絡，實現下一代互聯網在經濟社會各領域深度融合應用，成為全球下一代互聯網發展的重要主導力量。

我國政府之所以大力推進IPv6的規模部署，一方面因為IPv6擁有更充沛的地址資源、更可靠的安全保障；更是順應了因AI、大數據、云計算、5G、物聯網等技術的出現和應用而蓬勃發展的萬物互聯智能世界的要求。數字技術的創新，將進一步推動產業的發展，從而驅動數字經濟的進一步增長。

此外，還有一個很重要的原因就是IPv6網絡的安全性。加快IPv6規模應用為解決網絡安全問題提供了新平臺，為提高網絡安全管理效率和創新網絡安全機制提供了新思路。大力發展基于IPv6的下一代互聯網，有助于進一步創新網絡安全保障手段，不斷完善網絡安全保障體系，顯著增強網絡安全態勢感知和快速處置能力，大幅提升重要數據資源和個人信息安全保護水平，進一步增強互聯網的安全可信和綜合治理能力。

安全風險依然存在

最開始IPv6的初衷確實考慮到IPv4在安全方面的缺陷做出改進，但在IPv6協議制定過程中，大量的安全機制從強制降級為推薦，這使得在協議層面，IPv6本身并不比IPv4更安全。而且，IPv6對組播沒有太多限制，惡意代碼就可以利用這個特點做更廣泛的傳播。山石網科產品線資深經理徐涵表示，相對于IPv4的網絡環境，IPv6的網絡雖然不容易被地址掃描（海量地址）、碎片攻擊（協議完善）、廣播風暴（協議完善）、以及DHCP攻擊（海量地址）。但是病毒、蠕蟲、CC、欺騙、DDoS等攻擊依然存在。他還強調，當前正處于IPv4與IPv6雙棧共存的過渡期，在升級到IPv6的過程中，安全的問題也必須要注意，避免產生新的系統和網絡漏洞。

今年初，美國商務部與國土安全部聯合出臺一份長達38頁的網絡安全報告草案——《提高互聯網與通信生態系統對僵尸網絡及其它自動分布式威脅的抵御能力》，報告對于IPv6這一網絡安全新協議得到廣泛采用后將引發的潛在影響感到擔憂：IPv6將為每一臺物聯設備提供其惟一IP地址，這意味著更易受到入侵與黑客攻擊的影響。而利用IPv4與NAT將各設備部署在同一IP地址之后的作法能夠帶來更理想的安全保障效果。這是普及IPv6必然面臨的問題。草案亦強調，應調查“IPv6的部署會給攻擊與防御活動的經濟性狀況產生怎樣的影響”，并提出應確保互聯網服務供應商采取更行之有效的激勵措施。

產業化有待加強

缺少能夠直接應用到IPv6環境中的網絡安全設備和方案一度是IPv6推進過程中的一個痛點和瓶頸。市場上網絡安全產品IPv6的支持度普遍較低，通過IPv6 Ready Logo認證的抗DDoS、入侵檢測、應用防火墻等安全產品數量較少。

近日，山石網科公司聲稱已經成功打造了基于IPv6的多維安全防護體系。根據徐涵的介紹，此次推出的IPv6解決方案支持雙棧網絡、隧道技術、IPv6/IPv4的地址轉換、以及基礎防火墻功能，包括NAT、VPN、狀態檢測等，能夠實現4到7層、服務器到云端的全面防護。同時，依托“山石智·源智能網絡大數據分析平臺”用戶可以進行全景網絡安全、業務安全以及潛在威脅的態勢呈現、分析、預測和處置。至此，山石網科的安全防護體系除了具備云計算能力以外，更掌握了大數據分析處理能力以及人工智能技術，可以實現更精準、更及時地定位安全風險所在，并實施快速有效的安全防護，為IPv6保駕護航。

總體而言，相比IPv4，目前市場上網絡安全產品IPv6的支持度普遍較低，通過IPv6 Ready Logo認證的抗DDoS、入侵檢測、應用防火墻等安全產品數量較少。這將極大掣肘IPv6在我國的推進速度和廣度。但有市場就會有動力，相信隨著《行動計劃》推出，這一局面將會有所改變。

此外，徐涵還提醒，除了IPv6本身存在的安全風險外，IPv4向IPv6過渡過程中的安全風險同樣不能忽視，應該盡量避免產生新的系統和網絡漏洞。