安全可溯源的IPv6网络

  2018年5月3日,工业和信息化部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,这份文件,成为智慧校园发展的巨大引擎,文件对教育网的IPv6改造做了明确要求:

  到2018年底,教育网完成业务运营支撑系统升级改造,建立面向IPv6业务的运维管理体系和业务管理流程,具备IPv6用户统计、网络日志审计、流量统计以及IPv6业务受理、开通、运行维护等能力。

  到2019年底,省教育计算机网以及高等学校校园网完成IPv6升级改造。鼓励有条件的高等学校开展纯IPv6试验网建设;鼓励中小学、幼儿园积极推进校园网IPv6改造。

img

  国家政策虽然一直在强调校园网的IPv6改造,但就目前IPv6升级而言,高校仍旧没有找到相关IPv6安全合规且系统有效的解决方案。

  按照现有等级保护标准,网络安全主要有三个防护要求:

访问控制、边界完整性和安全审计

  需要强调的是,访问控制是建立在实名认证的基础上,然后结合接入控制设备进行实名用户访问控制。

  而实名认证分为准入和准出认证,准入认证的好处是实现边界完整和IP实名审计,但要实现IPv6准入认证就意味着现有准入和汇聚网络设备要改造,这对很多高校来说需要很大的预算。

  网络设备仅仅简单支持IPv6准入认证还是不够,仍然需要解决很多细节才能建立安全的IPv6网络,这是由于IPv6的以下几个重要特性:

  

1.终端兼容性。

  原生的安卓设备不支持DHCPv6,意味着无线网需使用无状态地址自动配置方式(SLAAC)配置IPv6。

  

2.地址变化频繁。

  使用SLAAC后,所有PC和智能终端操作系统,因默认启用隐私保护策略(RFC4941、RFC7217),终端的IPv6地址就会每小时或切换网络时都会发生变化,目的是隐藏轨迹保护隐私,以防被跟踪攻击。

  

3.NDP协议的组播特性。

  IPv6的一个主要增强特性是邻居发现(ND, Neighbor Discovery)。ND用一种更全面、统一的方法取代了IPv4使用的ICMP和ARP。IPv6无状态地址的自动配置和地址变更过程也是基于NDP协议,但NDP协议使用了组播方式通信,意味着终端的IPv6无状态地址和MAC地址对应日志分布在不同的汇聚交换机,传统基于SNMP网管方式难以有效快速采集大规模网络中变化频繁的IPv6地址日志。

  所以,校园网基础网络的IPv6改造,不是简单的网络设备改造,如果以上问题不能妥善解决,IPv6的校园场景应用,会面临以下挑战:

  

1.安全无法溯源。

  难以实现有效的IPv6 IP实名审计,同时,当IPv6网络出现安全威胁,面对变化频繁的无状态地址,无法溯源终端的网络轨迹,难以找到元凶;

  

2.用户体验差。

  在有IPv6准入认证的情况下,频繁变化的地址意味用户需要反复认证,使用体验很差,如果要实现无感知认证,要求认证系统能够兼容不同网络设备厂商的无感知认证方法。

  

3.组网环境复杂。

  不同的组网方案也需要不同的整体解决方案。传统三层网络、扁平化网络和SDN网络, IPv6地址审计、无感知认证、准入认证等需要满足的条件就各有不同,比如纯二层扁平化网络,相对于传统三层网络,核心BRAS更容易实现IPv6地址审计。