企業必須關注的IPv6網路安全25問

騰訊安全發表於2020-06-23
在萬物互聯邁進的時代趨勢下,以IPv6為代表的下一代網際網路技術應運而生。然而,IPv4向IPv6網路的升級演進是一個長期、持續的過程,IPv6部署應用過程中的網路安全風險尚未完全顯現。

近年來,我國各政府部門立足自身職責分工,在政策方面出臺相關政策檔案,同步強化各行業領域IPv6發展和安全工作部署;各行各業也開始紛紛進行IPv6的研究和演進。2019年11月,騰訊和中國移動、中國信通院、華為的聯合專案《移動網際網路IPv6技術攻關及規模應用》榮獲一等獎大獎。

針對IPv6發展趨勢及網路安全動向,騰訊安全平臺部天幕團隊聯合安全專家諮詢中心、雲鼎實驗室、資料安全部,從IPv6安全通用IPv6安全性評估First-Hop安全配置防火牆安全架構四方面展開,對IPv6 新環境下的常見安全問題進行梳理,期望為企業客戶帶來實用性的參考和幫助。

 Q0:IPv6是什麼?
答:IPv6是第六代網際網路協議。第四代網際網路IPv4經歷了移動網際網路快速發展,為影片、遊戲、支付提供服務。但隨著產業網際網路的發展,IPv4不再能滿足世界上暴增的網路需求,IPv6應運而生。通俗地講,IPv6的地址數量可以為全世界的每一粒沙子編上一個IP地址。而IP地址,就是我們在網際網路上的“門牌號”。

Q1:IPv6協議是否比IPv4協議更安全?
答:IPv6除了具有地址資源豐富、精準對應、資訊溯源等特點外, IPv6 地址之間傳輸資料將經過加密,資訊不再被輕易竊聽、劫持,因此總體而言,安全性將是IPv6的一個重要特性。但由於IPv6增加的複雜性會導致攻擊載體數量增加,讓不法駭客能夠執行不同型別攻擊的可能性增多。所以從協議方面來看,IPv6將要面臨更多的安全風險。

Q2:在部署的安全性來看, IPv6與IPv4哪一方更安全?
答:從部署安全性的角度來看,IPv6與IPv4要透過以下四個維度來進行比較:

  • 協議規範成熟度:網路安全協議相關的漏洞都是經過安全研究人員長期觀察中發現並進行修補的。IPv4協議已經經歷了安全工作人員長期的維護和修補,現階段較IPv6的協議規範更為成熟、穩定。
  • 實現的成熟度:目前來看,IPv6缺乏適當的建議來防止漏洞的實現方法,其協議設計還有待完善。
  • 對協議的信心/經驗:相較於已經成熟的IPv4網路環境,網路安全工程師還需要一段時間來積累對抗IPv6新環境下網路安全威脅的經驗。
  • 安全裝置和工具的支援:儘管安全裝置和工具經過改進後能夠對IPv4和IPv6同時進行有效支援,但IPv6部署應用過程中的網路安全風險尚未完全顯現,安全裝置和工具在特性和效能方面還存在不足。

Q3:使用IPv4網路的使用者,需要對針對IPv6進行安全部署嗎?
答:需要。自從2017年11月底國家《推進網際網路協議第六版(IPv6)規模部署行動計劃》以來,各運營商都已經可以為使用者安裝原生的IPv6寬頻網路了。因此使用者所使用的網路很有可能是雙棧接入,即能和IPv4、IPv6兩種網路進行通訊。
如果攻擊者在使用者的網路上啟用了全域性IPv6連線,那麼使用者網路中的節點可能會無意中將原本用於本地流量的IPv6節點用於非本地流量,為攻擊者提供機會。

Q4:使用者是否需要增加IPv6網際網路安全協議(IPSec)的使用量?
答:現在IPv6的IPSec都是預設關閉的,使用者也不需要自行增加IPSec的使用量。以前的IPv6規範要求所有節點包括對IPSec的支援,而且IPv6網路能夠使用本地IPSec的預期能力,可能會導致IPSec的使用變得廣泛並影響網路傳輸速率。

Q5:使用者可以使用哪些工具來評估自己的網路和裝置?
答:可以使用SI6 Networks' IPv6 Toolkit、The Hacker's Choice IPv6 Attack Toolkit、Chiron這三個免費開源的IPv6工具包。

Q6:IPv6的網路地址可以被掃描到嗎?
答:通常情況下不行,因為標準的IPv6子網是/64s,使用者端裝置的網路地址隨機分佈在一個非常大的地址空間之中,無法進行全域性掃描。
但是在基礎設施節點(如路由器、伺服器等)通常使用可預測的地址且客戶節點(膝上型電腦、工作站等)通常使用隨機地址時,可以使用“定向”地址掃描輕鬆地發現基礎設施節點,再透過掃描工具針對特定的地址模式來獲取使用者端裝置的網路地址。

Q7:IPv6網路中,可以進行網路探測嗎?
答:如果目標是區域網,可以使用多播探測和多播DNS查詢這兩種技術進行網路探測;如果目標是遠端網路,則可以使用Pattern-based address scans、DNS zone transfers、DNS reverse mappings、Certificate transparency framework、Search engines這些技術來實現網路探測的目的。

Q8:在IPv6中有可能執行主機跟蹤攻擊嗎?
答:視情況而定。主機跟蹤是指當主機跨網路移動時,網路活動的相關性。傳統的SLAAC地址需要節點將它們的MAC地址嵌入到IPv6標識介面中,從而使IPv6主機跟蹤非常微弱。臨時地址透過提供可用於(類似於客戶端)對外通訊的隨機地址來緩解部分問題,而穩定隱私地址取代了傳統的SLAAC地址,從而消除了問題。隨著時間的推移,實施已經朝著臨時地址和穩定隱私地址的方向發展。但是,應該檢查您的作業系統是否支援這些標準。

Q9:是否應該為伺服器設定不可預知的地址?
答:管理員在分析每個網路場景的相關權衡和便利後,可以為一些重要的伺服器設定不可預知的地址,因為在設定不可預知的地址後,攻擊者將很難“針對給定字首中的所有伺服器“。

Q10:如何應對基於DNS反向對映的網路探測行為?
答:可以僅為需要的系統如郵件傳輸代理配置DNS反向對映,也可以透過配置萬用字元反向對映,以便反向對映的每個可能的域名都包含有效的PTR記錄。

Q11:IPv6網路環境中是否存在地址解析和自動配置攻擊?
答:IPv6的鄰居發現協議(NDP)組合IPv4中的ARP、ICMP路由器發現和ICMP重定向等協議,並對它們作了改進。作為IPv6的基礎性協議,NDP還提供了字首發現、鄰居不可達檢測、地址解析、重複地址監測、地址自動配置等功能。
所以IPv6網路環境中的NDP和自動配置攻擊相當於來自IPv4的基於ARP和DHCP的攻擊,如果使用者的IPv4網路中存在遭受ARP/DHCP攻擊的威脅,那麼也必須重視IPv6網路中NDP和自動配置攻擊所帶來的安全威脅。
使用者可以透過RA-Guard和DHCPv6-Shield/DHCPv6-Guard這兩種方法來應對IPv6網路中NDP和自動配置攻擊所造成安全隱患。

Q12:在地址記錄方面,SLAAC和DHCPv6有什麼區別?
答:使用SLAAC進行地址配置時,由於地址是“自動配置”的,所以沒有IPv6地址的集中日誌。
當DHCPv6被應用於地址配置時,伺服器通常維護一個IPv6地址租約日誌。一旦主機被入侵併檢測到IPv6地址租約日誌的維護行為時,不法分子很容易透過受感染節點來發起惡意攻擊。
同時,DHCPv6也不會阻止主機自行配置地址(即不透過DHCPv6請求地址),所以DHCPv6日誌應該只在節點與網路合作的情況下使用。

Q13:可以用RA-Guard和DHCPv6-Guard/Shield防禦自動配置攻擊嗎?
答:視情況而定。這些機制的實現很多可以透過IPv6擴充套件報頭輕鬆繞過。在某些情況下,可以透過丟棄包含“未確定傳送”的資料包來減少規避。

Q14:使用者應該在網路上部署安全鄰居發現(SeND)嗎?
答:不建議部署,因為目前幾乎沒有支援SeND的主機作業系統。

Q15:什麼是鄰居快取耗盡(NCE)攻擊,如何減輕這種攻擊?
答:NCE可能導致目標裝置變得無響應、崩潰或重新啟動。NCE攻擊的目標是在鄰居快取中建立任意數量的條目,這樣就不可能再建立新的合法條目,從而導致拒絕服務。NCE也可能是地址掃描遠端網路的副作用,其中最後一跳路由器為每個目標地址建立一個條目,從而最終耗盡鄰居快取。
緩解NCE可以限制處於不完整狀態的鄰居快取條目數量。或是在受到點對點連線節點的NCE攻擊時,透過為點對點連結使用長字首(例如/127s)來強制人為限制相鄰快取中的最大條目數。

Q16:IPv6網路的逐步普及,會推動以網路為中心的安全正規化向以主機為中心的安全正規化的轉變嗎?
答:不會。IPv4網路的安全模式也不併是完全的“以網路為中心”,而是同時基於主機的防火牆和基於網路的防火牆。未來IPv6網路很可能會遵循之前的混合模式。

Q17:部署IPv6網路後,所有系統都將暴露在公共IPv6 Internet上嗎?
答:不一定。雖然幾乎所有的IPv6網路都可能使用全球地址空間,但這並不意味著any to any的全球可達性。例如,IPv6防火牆可能部署在網路拓撲結構的同一點,而IPv4網路目前使用的是NAT裝置。這樣的IPv6防火牆可能會執行“只允許外部通訊”的過濾策略,從而導致類似於IPv4網路中的主機暴露。

Q18:IPv6環境中還能像IPv4環境中將IPv地址列入黑名單嗎?應該用什麼粒度為IPv6地址設定黑名單?
答:可以,因為 IPv6主機通常能夠在其/64本地子網內配置任意數量的IPv6地址,所以在發生惡意事件時,使用者應該至少將檢測到惡意活動的/64地址列入黑名單。
根據特定的上游ISP,攻擊者可以控制/48到/64之間的任意長度的字首(例如,如果攻擊者透過DHCPv6-PD獲得一個委託的字首)。因此,在可能的範圍內,如果惡意活動在客戶將違規的/64列入黑名單後仍然存在,你可能希望阻斷更短的字首(更大的地址塊)—例如,開始阻斷a/64,然後在必要時阻塞a/56或/48。

Q19:系統/網路出於安全原因阻止IPv6片段,這樣的做法安全嗎?
答:需要視情況而定,因為丟棄IPv6分片只有在滿足兩個條件時才是安全的:

  • 只使用可以避免碎片的協議——例如帶有Path-MTU發現的TCP
  • 同時阻止了ICMPv6“Packet Too Big”(PTB)錯誤訊息,該訊息會通知MTUs應小於1280位元組

基於UDP的協議可能依賴於資料分片,因此在使用此類協議時,通常不建議阻斷資料分片的流量。其他協議(如TCP)可以透過Path-MTU發現等機制完全避免使用資料分片。
當ICMPv6“PTB”錯誤訊息宣告小於1280位元組的MTU時,可能會觸發分片的使用。因此,如果IPv6分片被丟棄,但是ICMPv6“PTB”錯誤訊息會導致小於1280位元組的MTU未被丟棄,攻擊者可能會利用這樣的ICMPv6錯誤訊息來觸發資料分片,導致結果分片被丟棄,進而導致拒絕服務(DoS)條件。
在修訂的IPv6規範[RFC8200]中已經不支援生成響應ICMPv6 PTB訊息的IPv6片段,因此最終所有實現都將消除該特性和相關漏洞。但是,您可能正在使用仍存在脆弱行為的遺留設施。

Q20:使用者該刪除包含IPv6擴充套件報頭的資料包嗎?
答:建議使用者根據過濾策略在網路中的執行位置,靈活設定針對包含IPv6擴充套件報頭的資料包的過濾策略。
如果過濾策略是在傳輸路由器上強制執行,在可能的範圍內使用黑名單方法進行過濾,儘量避免刪除資料包;如果過濾策略時在企業網路上強制執行,這時使用者想要只允許希望接收的流量,因此應該採用白名單方法。
[IPv6-EHS-f]包含關於過濾IPv6包的建議,其中包含傳輸路由器上的擴充套件報頭。此外,它包含了對所有標準化IPv6擴充套件報頭和選項的安全評估,以及對此類資料包過濾產生的任何潛在互操作性問題的分析。

Q21:使用者應該如何評估網路和裝置使用擴充套件頭繞過安全控制?
答:大多數IPv6安全工具包提供了對任意IPv6擴充套件報頭攻擊包的支援。例如,[SI6-RA6]解釋了擴充套件頭和路由器的使用通告包。

Q22:雙棧網路應該設定哪些包過濾策略?
答:IPv6協議的安全策略應該與IPv4協議的安全策略相匹配,但因為目前缺乏針對IPv6協議的設定經驗,企業在設定IPv6協議的安全策略時存在很多漏洞。

Q23:使用臨時地址和穩定地址的網路,該如何配置IPv6防火牆?
答:配置時應允許從任何地址發出連線,但只允許從穩定地址傳入連線。因此,由於類似客戶機的活動(如Web瀏覽)而暴露的地址將不能用於外部系統來連線回內部節點或地址掃描到內部節點。

Q24:臨時地址會如何影響使用者的ACL?
答:臨時地址會隨時間變化,所以如果將使用臨時地址的節點指定為單個IPv6地址或一組地址,則通常會失敗。如果要實施這些ACL,可以選擇以下方式:

  • 在每個字首的基礎上指定ACL(例如/64)
  • 禁用受影響節點上的臨時地址
  • 在穩定的地址上執行ACL,並配置節點,使穩定地址比臨時地址更適合訪問ACL中描述的服務/應用程式

Q25:IPv6網路環境為企業的安全防護措施帶來了哪些新挑戰?
答:IPv6網路環境下IP地址空間幾乎接近無限,攻擊者可利用的IP資源池也將無限擴大,網路資料激增。同時,隨著攻擊者對大規模代理IP池,尤其是秒撥IP的廣泛使用,IP地址變得不再可信,這使得許多傳統安全方案對於攻擊的誤報和漏報迅速增長。基於IP地址維度的傳統安全策略已無法滿足新趨勢下的防護需求。


在此背景下,企業需要多維度複雜策略以提升安全能力,這對底層算力支撐提出了更苛刻的要求。騰訊在移動網際網路IPv6的技術攻關,將有效推動移動網際網路的IPv6過渡,以助力國家移動網際網路基礎設施的應用水平提升。

  • 在上文《移動網際網路IPv6技術攻關及規模應用》專案中,騰訊共輸出了三大技術創新成果:基於IPv4/IPv6雙棧的超大型雲平臺的分散式SDN雲網路技術、基於四維一體的雙棧智慧防禦體系DDoS等安全防禦技術。其中,面對IPv6的DDoS攻擊、CC攻擊和DNS劫持等安全問題,騰訊構建四維一體的雙棧智慧防禦體系,自主研發支援IPv6的DDoS防護安全系統,有效保障IPv6安全。
  • 同時,騰訊安全網路入侵防護系統基於軟硬體協同升級帶來的強勁安全算力優勢,藉助智慧威脅研判AI演算法,已具備在IPv4+IPv6下基於流量特徵的精準網路威脅管控和新型攻擊檢測和對抗能力,並已將能力深度應用在行業客戶的網路安全架構中。
  • 除此之外,針對IPv6網路環境下新生的安全需求,騰訊安全旗下的高階威脅檢測系統、DDoS防護等安全防護產品都已開放了對IPv6網路的支援功能,同時騰訊安全移動終端安全管理系統、騰訊移動開發框架平臺等產品已率先支援IPv6。
  • 同時,具有深厚行業背景與10+年安全從業經驗的騰訊安全專家還會為客戶提供專業的安全服務,讓客戶能夠更快完成IPv6網路環境下的安全建設,助力企業應對IPv6時代的安全新挑戰。

相關文章