企业必须关注的IPv6网络安全25问
IPv6是第六代互聯(lián)網(wǎng)協(xié)議。第四代互聯(lián)網(wǎng)協(xié)議IPv4經(jīng)歷了移動(dòng)互聯(lián)網(wǎng)快速發(fā)展的階段,為視頻、游戲、支付提供了服務(wù)。但隨著產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展,IPv4不再能滿足世界上暴增的網(wǎng)絡(luò)需求,IPv6應(yīng)運(yùn)而生。通俗地講,IPv6的地址數(shù)量可以為全世界的每一粒沙子編上一個(gè)IP地址。而IP地址,就是我們?cè)诨ヂ?lián)網(wǎng)上的“門牌號(hào)”。從企業(yè)的角度來(lái)看,IPv6對(duì)于網(wǎng)絡(luò)安全具備重要意義,下面將簡(jiǎn)單講講企業(yè)最關(guān)注的IPv6 25問(wèn):
1. IPv6協(xié)議是否比IPv4協(xié)議更安全?
IPv6除了具有地址資源豐富、精準(zhǔn)對(duì)應(yīng)、信息溯源等特點(diǎn)外,IPv6地址之間傳輸數(shù)據(jù)將經(jīng)過(guò)加密,信息不再被輕易竊聽(tīng)、劫持,因此總體而言,安全性將是IPv6的一個(gè)重要特性。IPv6增加的復(fù)雜性會(huì)導(dǎo)致攻擊載體數(shù)量增加,讓不法黑客能夠執(zhí)行不同類型攻擊的可能性增多。所以從協(xié)議方面來(lái)看,IPv6將會(huì)面臨更多的安全風(fēng)險(xiǎn)。
2. 在部署的安全性來(lái)看,IPv6與IPv4哪一方更安全?
從部署安全性的角度來(lái)看,IPv6與IPv4要通過(guò)以下四個(gè)維度來(lái)進(jìn)行比較:
◎協(xié)議規(guī)范成熟度:網(wǎng)絡(luò)安全協(xié)議相關(guān)的漏洞都是經(jīng)過(guò)安全研究人員長(zhǎng)期觀察中發(fā)現(xiàn)并進(jìn)行修補(bǔ)的。IPv4協(xié)議已經(jīng)經(jīng)歷了安全工作人員長(zhǎng)期的維護(hù)和修補(bǔ),現(xiàn)階段較IPv6的協(xié)議規(guī)范更為成熟、穩(wěn)定。
◎?qū)崿F(xiàn)的成熟度:目前來(lái)看,IPv6缺乏適當(dāng)?shù)慕ㄗh來(lái)防止漏洞的實(shí)現(xiàn)方法,其協(xié)議設(shè)計(jì)還有待完善。
◎?qū)f(xié)議的信心/經(jīng)驗(yàn):相較于已經(jīng)成熟的IPv4網(wǎng)絡(luò)環(huán)境,網(wǎng)絡(luò)安全工程師還需要一段時(shí)間來(lái)積累對(duì)抗IPv6新環(huán)境下網(wǎng)絡(luò)安全威脅的經(jīng)驗(yàn)。
◎安全設(shè)備和工具的支持:盡管安全設(shè)備和工具經(jīng)過(guò)改進(jìn)后能夠?qū)Pv4和IPv6同時(shí)進(jìn)行有效支持,但I(xiàn)Pv6部署應(yīng)用過(guò)程中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)尚未完全顯現(xiàn),安全設(shè)備和工具在特性和性能方面還存在不足。
3.使用IPv4網(wǎng)絡(luò)的用戶,需要對(duì)針對(duì)IPv6進(jìn)行安全部署嗎?
需要。
自從2017年11月底國(guó)家《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》以來(lái),各運(yùn)營(yíng)商都已經(jīng)可以為用戶安裝原生的IPv6寬帶網(wǎng)絡(luò)了。因此用戶所使用的網(wǎng)絡(luò)很有可能是雙棧接入,即能和IPv4、IPv6兩種網(wǎng)絡(luò)進(jìn)行通信。
如果攻擊者在用戶的網(wǎng)絡(luò)上啟用了全局IPv6連接,那么用戶網(wǎng)絡(luò)中的節(jié)點(diǎn)可能會(huì)無(wú)意中將原本用于本地流量的IPv6節(jié)點(diǎn)用于非本地流量,為攻擊者提供機(jī)會(huì)。
4.用戶是否需要增加IPv6互聯(lián)網(wǎng)安全協(xié)議(IPSec)的使用量?
現(xiàn)在IPv6的IPSec都是默認(rèn)關(guān)閉的,用戶也不需要自行增加IPSec的使用量。以前的IPv6規(guī)范要求所有節(jié)點(diǎn)包括對(duì)IPSec的支持,而且IPv6網(wǎng)絡(luò)能夠使用本地IPSec的預(yù)期能力,可能會(huì)導(dǎo)致IPSec的使用變得廣泛并影響網(wǎng)絡(luò)傳輸速率。
5.用戶可以使用哪些工具來(lái)評(píng)估自己的網(wǎng)絡(luò)和設(shè)備?
可以使用SI6 Networks’ IPv6 Toolkit、The Hacker’s Choice IPv6 Attack Toolkit、Chiron這三個(gè)免費(fèi)開源的IPv6工具包。
6.IPv6的網(wǎng)絡(luò)地址可以被掃描到嗎?
通常情況下不行,因?yàn)闃?biāo)準(zhǔn)的IPv6子網(wǎng)是/64s,用戶端設(shè)備的網(wǎng)絡(luò)地址隨機(jī)分布在一個(gè)非常大的地址空間之中,無(wú)法進(jìn)行全局掃描。
但是在基礎(chǔ)設(shè)施節(jié)點(diǎn)(如路由器、服務(wù)器等)通常使用可預(yù)測(cè)的地址且客戶節(jié)點(diǎn)(筆記本電腦、工作站等)通常使用隨機(jī)地址時(shí),可以使用“定向”地址掃描輕松地發(fā)現(xiàn)基礎(chǔ)設(shè)施節(jié)點(diǎn),再通過(guò)掃描工具針對(duì)特定的地址模式來(lái)獲取用戶端設(shè)備的網(wǎng)絡(luò)地址。
7.IPv6網(wǎng)絡(luò)中,可以進(jìn)行網(wǎng)絡(luò)探測(cè)嗎?
◎如果目標(biāo)是局域網(wǎng),可以使用多播探測(cè)和多播DNS查詢這兩種技術(shù)進(jìn)行網(wǎng)絡(luò)探測(cè);
◎如果目標(biāo)是遠(yuǎn)程網(wǎng)絡(luò),則可以使用Pattern-based address scans、DNS zone transfers、DNS reverse mappings、Certificate transparency framework、Search engines這些技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)探測(cè)的目的。
8.在IPv6中有可能執(zhí)行主機(jī)跟蹤攻擊嗎?
視情況而定。
主機(jī)跟蹤是指當(dāng)主機(jī)跨網(wǎng)絡(luò)移動(dòng)時(shí),網(wǎng)絡(luò)活動(dòng)的相關(guān)性。傳統(tǒng)的SLAAC地址需要節(jié)點(diǎn)將它們的MAC地址嵌入到IPv6標(biāo)識(shí)接口中,從而使IPv6主機(jī)跟蹤非常微弱。臨時(shí)地址通過(guò)提供可用于(類似于客戶端)對(duì)外通信的隨機(jī)地址來(lái)緩解部分問(wèn)題,而穩(wěn)定隱私地址取代了傳統(tǒng)的SLAAC地址,從而消除了問(wèn)題。
隨著時(shí)間的推移,實(shí)施已經(jīng)朝著臨時(shí)地址和穩(wěn)定隱私地址的方向發(fā)展。但是,應(yīng)該檢查您的操作系統(tǒng)是否支持這些標(biāo)準(zhǔn)。
9.是否應(yīng)該為服務(wù)器設(shè)置不可預(yù)知的地址?
管理員在分析每個(gè)網(wǎng)絡(luò)場(chǎng)景的相關(guān)權(quán)衡和便利后,可以為一些重要的服務(wù)器設(shè)置不可預(yù)知的地址,因?yàn)樵谠O(shè)置不可預(yù)知的地址后,攻擊者將很難“針對(duì)給定前綴中的所有服務(wù)器“。
10.如何應(yīng)對(duì)基于DNS反向映射的網(wǎng)絡(luò)探測(cè)行為?
可以僅為需要的系統(tǒng)如郵件傳輸代理配置DNS反向映射,也可以通過(guò)配置通配符反向映射,以便反向映射的每個(gè)可能的域名都包含有效的PTR記錄。
11.IPv6網(wǎng)絡(luò)環(huán)境中是否存在地址解析和自動(dòng)配置攻擊?
IPv6的鄰居發(fā)現(xiàn)協(xié)議(NDP)組合IPv4中的ARP、ICMP路由器發(fā)現(xiàn)和ICMP重定向等協(xié)議,并對(duì)它們作了改進(jìn)。作為IPv6的基礎(chǔ)性協(xié)議,NDP還提供了前綴發(fā)現(xiàn)、鄰居不可達(dá)檢測(cè)、地址解析、重復(fù)地址監(jiān)測(cè)、地址自動(dòng)配置等功能。
所以IPv6網(wǎng)絡(luò)環(huán)境中的NDP和自動(dòng)配置攻擊相當(dāng)于來(lái)自IPv4的基于ARP和DHCP的攻擊,如果用戶的IPv4網(wǎng)絡(luò)中存在遭受ARP/DHCP攻擊的威脅,那么也必須重視IPv6網(wǎng)絡(luò)中NDP和自動(dòng)配置攻擊所帶來(lái)的安全威脅。
用戶可以通過(guò)RA-Guard和DHCPv6-Shield/DHCPv6-Guard這兩種方法來(lái)應(yīng)對(duì)IPv6網(wǎng)絡(luò)中NDP和自動(dòng)配置攻擊所造成安全隱患。
12.在地址記錄方面,SLAAC和DHCPv6有什么區(qū)別?
使用SLAAC進(jìn)行地址配置時(shí),由于地址是“自動(dòng)配置”的,所以沒(méi)有IPv6地址的集中日志。
當(dāng)DHCPv6被應(yīng)用于地址配置時(shí),服務(wù)器通常維護(hù)一個(gè)IPv6地址租約日志。一旦主機(jī)被入侵并檢測(cè)到IPv6地址租約日志的維護(hù)行為時(shí),不法分子很容易通過(guò)受感染節(jié)點(diǎn)來(lái)發(fā)起惡意攻擊。
同時(shí),DHCPv6也不會(huì)阻止主機(jī)自行配置地址(即不通過(guò)DHCPv6請(qǐng)求地址),所以DHCPv6日志應(yīng)該只在節(jié)點(diǎn)與網(wǎng)絡(luò)合作的情況下使用。
13.可以用RA-Guard和DHCPv6-Guard/Shield 防御自動(dòng)配置攻擊嗎?
視情況而定。
這些機(jī)制的實(shí)現(xiàn)很多可以通過(guò)IPv6擴(kuò)展報(bào)頭輕松繞過(guò)。在某些情況下,可以通過(guò)丟棄包含“未確定傳送”的數(shù)據(jù)包來(lái)減少規(guī)避。
14.用戶應(yīng)該在網(wǎng)絡(luò)上部署安全鄰居發(fā)現(xiàn)(SeND)嗎?
不建議部署。
因?yàn)槟壳皫缀鯖](méi)有支持SeND的主機(jī)操作系統(tǒng)。
15.什么是鄰居緩存耗盡(NCE)攻擊,如何減輕這種攻擊?
NCE可能導(dǎo)致目標(biāo)設(shè)備變得無(wú)響應(yīng)、崩潰或重新啟動(dòng)。NCE攻擊的目標(biāo)是在鄰居緩存中創(chuàng)建任意數(shù)量的條目,這樣就不可能再創(chuàng)建新的合法條目,從而導(dǎo)致拒絕服務(wù)。NCE也可能是地址掃描遠(yuǎn)程網(wǎng)絡(luò)的副作用,其中最后一跳路由器為每個(gè)目標(biāo)地址創(chuàng)建一個(gè)條目,從而最終耗盡鄰居緩存。
緩解NCE可以限制處于不完整狀態(tài)的鄰居緩存條目數(shù)量。或是在受到點(diǎn)對(duì)點(diǎn)連接節(jié)點(diǎn)的NCE攻擊時(shí),通過(guò)為點(diǎn)對(duì)點(diǎn)鏈接使用長(zhǎng)前綴(例如/127s)來(lái)強(qiáng)制人為限制相鄰緩存中的最大條目數(shù)。
16.IPv6網(wǎng)絡(luò)的逐步普及,會(huì)推動(dòng)以網(wǎng)絡(luò)為中心的安全范式向以主機(jī)為中心的安全范式的轉(zhuǎn)變嗎?
不會(huì)。
IPv4網(wǎng)絡(luò)的安全模式也不并是完全的“以網(wǎng)絡(luò)為中心”,而是同時(shí)基于主機(jī)的防火墻和基于網(wǎng)絡(luò)的防火墻。未來(lái)IPv6網(wǎng)絡(luò)很可能會(huì)遵循之前的混合模式。
17.部署IPv6網(wǎng)絡(luò)后,所有系統(tǒng)都將暴露在公共IPv6 Internet上嗎?
不一定。
雖然幾乎所有的IPv6網(wǎng)絡(luò)都可能使用全球地址空間,但這并不意味著any to any的全球可達(dá)性。例如,IPv6防火墻可能部署在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的同一點(diǎn),而IPv4網(wǎng)絡(luò)目前使用的是NAT設(shè)備。這樣的IPv6防火墻可能會(huì)執(zhí)行“只允許外部通信”的過(guò)濾策略,從而導(dǎo)致類似于IPv4網(wǎng)絡(luò)中的主機(jī)暴露。
18.IPv6環(huán)境中還能像IPv4環(huán)境中將IPv地址列入黑名單嗎?應(yīng)該用什么粒度為IPv6地址設(shè)置黑名單?
可以。
因?yàn)?IPv6主機(jī)通常能夠在其/64本地子網(wǎng)內(nèi)配置任意數(shù)量的IPv6地址,所以在發(fā)生惡意事件時(shí),用戶應(yīng)該至少將檢測(cè)到惡意活動(dòng)的/64地址列入黑名單。
根據(jù)特定的上游ISP,攻擊者可以控制/48到/64之間的任意長(zhǎng)度的前綴(例如,如果攻擊者通過(guò)DHCPv6-PD獲得一個(gè)委托的前綴)。因此,在可能的范圍內(nèi),如果惡意活動(dòng)在客戶將違規(guī)的/64列入黑名單后仍然存在,你可能希望阻斷更短的前綴(更大的地址塊)—例如,開始阻斷a/64,然后在必要時(shí)阻塞a/56或/48。
19.系統(tǒng)/網(wǎng)絡(luò)出于安全原因阻止IPv6片段,這樣的做法安全嗎?
需要視情況而定,因?yàn)閬G棄IPv6分片只有在滿足兩個(gè)條件時(shí)才是安全的:
◎只使用可以避免碎片的協(xié)議——例如帶有Path-MTU發(fā)現(xiàn)的TCP
◎同時(shí)阻止了ICMPv6“Packet Too Big”(PTB)錯(cuò)誤消息,該消息會(huì)通知MTUs應(yīng)小于1280字節(jié)
基于UDP的協(xié)議可能依賴于數(shù)據(jù)分片,因此在使用此類協(xié)議時(shí),通常不建議阻斷數(shù)據(jù)分片的流量。其他協(xié)議(如TCP)可以通過(guò)Path-MTU發(fā)現(xiàn)等機(jī)制完全避免使用數(shù)據(jù)分片。
當(dāng)ICMPv6“PTB”錯(cuò)誤消息宣告小于1280字節(jié)的MTU時(shí),可能會(huì)觸發(fā)分片的使用。因此,如果IPv6分片被丟棄,但是ICMPv6“PTB”錯(cuò)誤消息會(huì)導(dǎo)致小于1280字節(jié)的MTU未被丟棄,攻擊者可能會(huì)利用這樣的ICMPv6錯(cuò)誤消息來(lái)觸發(fā)數(shù)據(jù)分片,導(dǎo)致結(jié)果分片被丟棄,進(jìn)而導(dǎo)致拒絕服務(wù)(DoS)條件。
在修訂的IPv6規(guī)范[RFC8200]中已經(jīng)不支持生成響應(yīng)ICMPv6 PTB消息的IPv6片段,因此最終所有實(shí)現(xiàn)都將消除該特性和相關(guān)漏洞。但是,您可能正在使用仍存在脆弱行為的遺留設(shè)施。
20.用戶該刪除包含IPv6擴(kuò)展報(bào)頭的數(shù)據(jù)包嗎?
建議用戶根據(jù)過(guò)濾策略在網(wǎng)絡(luò)中的執(zhí)行位置,靈活設(shè)置針對(duì)包含IPv6擴(kuò)展報(bào)頭的數(shù)據(jù)包的過(guò)濾策略。
如果過(guò)濾策略是在傳輸路由器上強(qiáng)制執(zhí)行,在可能的范圍內(nèi)使用黑名單方法進(jìn)行過(guò)濾,盡量避免刪除數(shù)據(jù)包;如果過(guò)濾策略在企業(yè)網(wǎng)絡(luò)上強(qiáng)制執(zhí)行,這時(shí)用戶想要只允許希望接收的流量,因此應(yīng)該采用白名單方法。
[IPv6-EHS-f]包含關(guān)于過(guò)濾IPv6包的建議,其中包含傳輸路由器上的擴(kuò)展報(bào)頭。此外,它包含了對(duì)所有標(biāo)準(zhǔn)化IPv6擴(kuò)展報(bào)頭和選項(xiàng)的安全評(píng)估,以及對(duì)此類數(shù)據(jù)包過(guò)濾產(chǎn)生的任何潛在互操作性問(wèn)題的分析。
21.用戶應(yīng)該如何評(píng)估網(wǎng)絡(luò)和設(shè)備使用擴(kuò)展頭繞過(guò)安全控制?
大多數(shù)IPv6安全工具包提供了對(duì)任意IPv6擴(kuò)展報(bào)頭攻擊包的支持。例如,[SI6-RA6]解釋了擴(kuò)展頭和路由器的使用通告包。
22.雙棧網(wǎng)絡(luò)應(yīng)該設(shè)置哪些包過(guò)濾策略?
IPv6協(xié)議的安全策略應(yīng)該與IPv4協(xié)議的安全策略相匹配,但因?yàn)槟壳叭狈︶槍?duì)IPv6協(xié)議的設(shè)置經(jīng)驗(yàn),企業(yè)在設(shè)置IPv6協(xié)議的安全策略時(shí)存在很多漏洞。
23.使用臨時(shí)地址和穩(wěn)定地址的網(wǎng)絡(luò),該如何配置IPv6防火墻?
配置時(shí)應(yīng)允許從任何地址發(fā)出連接,但只允許從穩(wěn)定地址傳入連接。因此,由于類似客戶機(jī)的活動(dòng)(如Web瀏覽)而暴露的地址將不能用于外部系統(tǒng)來(lái)連接回內(nèi)部節(jié)點(diǎn)或地址掃描到內(nèi)部節(jié)點(diǎn)。
24.臨時(shí)地址會(huì)如何影響用戶的ACL?
臨時(shí)地址會(huì)隨時(shí)間變化,所以如果將使用臨時(shí)地址的節(jié)點(diǎn)指定為單個(gè)IPv6地址或一組地址,則通常會(huì)失敗。
如果要實(shí)施這些ACL,可以選擇以下方式:
◎在每個(gè)前綴的基礎(chǔ)上指定ACL(例如/64)
◎禁用受影響節(jié)點(diǎn)上的臨時(shí)地址
◎在穩(wěn)定的地址上執(zhí)行ACL,并配置節(jié)點(diǎn),使穩(wěn)定地址比臨時(shí)地址更適合訪問(wèn)ACL中描述的服務(wù)/應(yīng)用程序
25.IPv6網(wǎng)絡(luò)環(huán)境為企業(yè)的安全防護(hù)措施帶來(lái)了哪些新挑戰(zhàn)?
IPv6網(wǎng)絡(luò)環(huán)境下IP地址空間幾乎接近無(wú)限,攻擊者可利用的IP資源池也將無(wú)限擴(kuò)大,網(wǎng)絡(luò)數(shù)據(jù)激增。同時(shí),隨著攻擊者對(duì)大規(guī)模代理IP池,尤其是秒撥IP的廣泛使用,IP地址變得不再可信,這使得許多傳統(tǒng)安全方案對(duì)于攻擊的誤報(bào)和漏報(bào)迅速增長(zhǎng)。基于IP地址維度的傳統(tǒng)安全策略已無(wú)法滿足新趨勢(shì)下的防護(hù)需求。
了解更多關(guān)于IPv6及CDN知識(shí)關(guān)注騰訊云CDN公眾號(hào),技術(shù)干貨一手掌握!
總結(jié)
以上是生活随笔為你收集整理的企业必须关注的IPv6网络安全25问的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Cmake的CMakeLists.txt
- 下一篇: IPv6下CDN和网络的最佳实践