在萬物互聯邁進的時代趨勢下,以IPv6爲代表的下一代互聯網技術應運而生。然而,IPv4向IPv6網絡的升級演進是一個長期、持續的過程,IPv6部署應用過程中的網絡安全風險尚未完全顯現。
近年來,我國各政府部門立足自身職責分工,在政策方面出臺相關政策文件,同步強化各行業領域IPv6發展和安全工作部署;各行各業也開始紛紛進行IPv6的研究和演進。2019年11月,騰訊和中國移動、中國信通院、華爲的聯合項目《移動互聯網IPv6技術攻關及規模應用》榮獲一等獎大獎。
針對IPv6發展趨勢及網絡安全動向,騰訊安全平臺部天幕團隊聯合安全專家諮詢中心、雲鼎實驗室、數據安全部,從IPv6安全通用、IPv6安全性評估、First-Hop安全、配置防火牆和安全架構四方面展開,對IPv6 新環境下的常見安全問題進行梳理,期望爲企業客戶帶來實用性的參考和幫助。
Q0:IPv6是什麼?
答:IPv6是第六代互聯網協議。第四代互聯網IPv4經歷了移動互聯網快速發展,爲視頻、遊戲、支付提供服務。但隨着產業互聯網的發展,IPv4不再能滿足世界上暴增的網絡需求,IPv6應運而生。通俗地講,IPv6的地址數量可以爲全世界的每一粒沙子編上一個IP地址。而IP地址,就是我們在互聯網上的“門牌號”。
Q1:IPv6協議是否比IPv4協議更安全?
答:IPv6除了具有地址資源豐富、精準對應、信息溯源等特點外, IPv6 地址之間傳輸數據將經過加密,信息不再被輕易竊聽、劫持,因此總體而言,安全性將是IPv6的一個重要特性。但由於IPv6增加的複雜性會導致攻擊載體數量增加,讓不法黑客能夠執行不同類型攻擊的可能性增多。所以從協議方面來看,IPv6將要面臨更多的安全風險。
Q2:在部署的安全性來看, IPv6與IPv4哪一方更安全?
答:從部署安全性的角度來看,IPv6與IPv4要通過以下四個維度來進行比較:
- 協議規範成熟度:網絡安全協議相關的漏洞都是經過安全研究人員長期觀察中發現並進行修補的。IPv4協議已經經歷了安全工作人員長期的維護和修補,現階段較IPv6的協議規範更爲成熟、穩定。
- 實現的成熟度:目前來看,IPv6缺乏適當的建議來防止漏洞的實現方法,其協議設計還有待完善。
- 對協議的信心/經驗:相較於已經成熟的IPv4網絡環境,網絡安全工程師還需要一段時間來積累對抗IPv6新環境下網絡安全威脅的經驗。
- 安全設備和工具的支持:儘管安全設備和工具經過改進後能夠對IPv4和IPv6同時進行有效支持,但IPv6部署應用過程中的網絡安全風險尚未完全顯現,安全設備和工具在特性和性能方面還存在不足。
Q3:使用IPv4網絡的用戶,需要對針對IPv6進行安全部署嗎?
答:需要。自從2017年11月底國家《推進互聯網協議第六版(IPv6)規模部署行動計劃》以來,各運營商都已經可以爲用戶安裝原生的IPv6寬帶網絡了。因此用戶所使用的網絡很有可能是雙棧接入,即能和IPv4、IPv6兩種網絡進行通信。
如果攻擊者在用戶的網絡上啓用了全局IPv6連接,那麼用戶網絡中的節點可能會無意中將原本用於本地流量的IPv6節點用於非本地流量,爲攻擊者提供機會。
Q4:用戶是否需要增加IPv6互聯網安全協議(IPSec)的使用量?
答:現在IPv6的IPSec都是默認關閉的,用戶也不需要自行增加IPSec的使用量。以前的IPv6規範要求所有節點包括對IPSec的支持,而且IPv6網絡能夠使用本地IPSec的預期能力,可能會導致IPSec的使用變得廣泛並影響網絡傳輸速率。
Q5:用戶可以使用哪些工具來評估自己的網絡和設備?
答:可以使用SI6 Networks' IPv6 Toolkit、The Hacker's Choice IPv6 Attack Toolkit、Chiron這三個免費開源的IPv6工具包。
Q6:IPv6的網絡地址可以被掃描到嗎?
答:通常情況下不行,因爲標準的IPv6子網是/64s,用戶端設備的網絡地址隨機分佈在一個非常大的地址空間之中,無法進行全局掃描。
但是在基礎設施節點(如路由器、服務器等)通常使用可預測的地址且客戶節點(筆記本電腦、工作站等)通常使用隨機地址時,可以使用“定向”地址掃描輕鬆地發現基礎設施節點,再通過掃描工具針對特定的地址模式來獲取用戶端設備的網絡地址。
Q7:IPv6網絡中,可以進行網絡探測嗎?
答:如果目標是局域網,可以使用多播探測和多播DNS查詢這兩種技術進行網絡探測;如果目標是遠程網絡,則可以使用Pattern-based address scans、DNS zone transfers、DNS reverse mappings、Certificate transparency framework、Search engines這些技術來實現網絡探測的目的。
Q8:在IPv6中有可能執行主機跟蹤攻擊嗎?
答:視情況而定。主機跟蹤是指當主機跨網絡移動時,網絡活動的相關性。傳統的SLAAC地址需要節點將它們的MAC地址嵌入到IPv6標識接口中,從而使IPv6主機跟蹤非常微弱。臨時地址通過提供可用於(類似於客戶端)對外通信的隨機地址來緩解部分問題,而穩定隱私地址取代了傳統的SLAAC地址,從而消除了問題。
隨着時間的推移,實施已經朝着臨時地址和穩定隱私地址的方向發展。但是,應該檢查您的操作系統是否支持這些標準。
Q9:是否應該爲服務器設置不可預知的地址?
答:管理員在分析每個網絡場景的相關權衡和便利後,可以爲一些重要的服務器設置不可預知的地址,因爲在設置不可預知的地址後,攻擊者將很難“針對給定前綴中的所有服務器“。
Q10:如何應對基於DNS反向映射的網絡探測行爲?
答:可以僅爲需要的系統如郵件傳輸代理配置DNS反向映射,也可以通過配置通配符反向映射,以便反向映射的每個可能的域名都包含有效的PTR記錄。
Q11:IPv6網絡環境中是否存在地址解析和自動配置攻擊?
答:IPv6的鄰居發現協議(NDP)組合IPv4中的ARP、ICMP路由器發現和ICMP重定向等協議,並對它們作了改進。作爲IPv6的基礎性協議,NDP還提供了前綴發現、鄰居不可達檢測、地址解析、重複地址監測、地址自動配置等功能。
所以IPv6網絡環境中的NDP和自動配置攻擊相當於來自IPv4的基於ARP和DHCP的攻擊,如果用戶的IPv4網絡中存在遭受ARP/DHCP攻擊的威脅,那麼也必須重視IPv6網絡中NDP和自動配置攻擊所帶來的安全威脅。
用戶可以通過RA-Guard和DHCPv6-Shield/DHCPv6-Guard這兩種方法來應對IPv6網絡中NDP和自動配置攻擊所造成安全隱患。
Q12:在地址記錄方面,SLAAC和DHCPv6有什麼區別?
答:使用SLAAC進行地址配置時,由於地址是“自動配置”的,所以沒有IPv6地址的集中日誌。
當DHCPv6被應用於地址配置時,服務器通常維護一個IPv6地址租約日誌。一旦主機被入侵併檢測到IPv6地址租約日誌的維護行爲時,不法分子很容易通過受感染節點來發起惡意攻擊。
同時,DHCPv6也不會阻止主機自行配置地址(即不通過DHCPv6請求地址),所以DHCPv6日誌應該只在節點與網絡合作的情況下使用。
Q13:可以用RA-Guard和DHCPv6-Guard/Shield防禦自動配置攻擊嗎?
答:視情況而定。這些機制的實現很多可以通過IPv6擴展報頭輕鬆繞過。在某些情況下,可以通過丟棄包含“未確定傳送”的數據包來減少規避。
Q14:用戶應該在網絡上部署安全鄰居發現(SeND)嗎?
答:不建議部署,因爲目前幾乎沒有支持SeND的主機操作系統。
Q15:什麼是鄰居緩存耗盡(NCE)攻擊,如何減輕這種攻擊?
答:NCE可能導致目標設備變得無響應、崩潰或重新啓動。NCE攻擊的目標是在鄰居緩存中創建任意數量的條目,這樣就不可能再創建新的合法條目,從而導致拒絕服務。NCE也可能是地址掃描遠程網絡的副作用,其中最後一跳路由器爲每個目標地址創建一個條目,從而最終耗盡鄰居緩存。
緩解NCE可以限制處於不完整狀態的鄰居緩存條目數量。或是在受到點對點連接節點的NCE攻擊時,通過爲點對點鏈接使用長前綴(例如/127s)來強制人爲限制相鄰緩存中的最大條目數。
Q16:IPv6網絡的逐步普及,會推動以網絡爲中心的安全範式向以主機爲中心的安全範式的轉變嗎?
答:不會。IPv4網絡的安全模式也不併是完全的“以網絡爲中心”,而是同時基於主機的防火牆和基於網絡的防火牆。未來IPv6網絡很可能會遵循之前的混合模式。
Q17:部署IPv6網絡後,所有系統都將暴露在公共IPv6 Internet上嗎?
答:不一定。雖然幾乎所有的IPv6網絡都可能使用全球地址空間,但這並不意味着any to any的全球可達性。例如,IPv6防火牆可能部署在網絡拓撲結構的同一點,而IPv4網絡目前使用的是NAT設備。這樣的IPv6防火牆可能會執行“只允許外部通信”的過濾策略,從而導致類似於IPv4網絡中的主機暴露。
Q18:IPv6環境中還能像IPv4環境中將IPv地址列入黑名單嗎?應該用什麼粒度爲IPv6地址設置黑名單?
答:可以,因爲 IPv6主機通常能夠在其/64本地子網內配置任意數量的IPv6地址,所以在發生惡意事件時,用戶應該至少將檢測到惡意活動的/64地址列入黑名單。
根據特定的上游ISP,攻擊者可以控制/48到/64之間的任意長度的前綴(例如,如果攻擊者通過DHCPv6-PD獲得一個委託的前綴)。因此,在可能的範圍內,如果惡意活動在客戶將違規的/64列入黑名單後仍然存在,你可能希望阻斷更短的前綴(更大的地址塊)—例如,開始阻斷a/64,然後在必要時阻塞a/56或/48。
Q19:系統/網絡出於安全原因阻止IPv6片段,這樣的做法安全嗎?
答:需要視情況而定,因爲丟棄IPv6分片只有在滿足兩個條件時纔是安全的:
- 只使用可以避免碎片的協議——例如帶有Path-MTU發現的TCP
- 同時阻止了ICMPv6“Packet Too Big”(PTB)錯誤消息,該消息會通知MTUs應小於1280字節
基於UDP的協議可能依賴於數據分片,因此在使用此類協議時,通常不建議阻斷數據分片的流量。其他協議(如TCP)可以通過Path-MTU發現等機制完全避免使用數據分片。
當ICMPv6“PTB”錯誤消息宣告小於1280字節的MTU時,可能會觸發分片的使用。因此,如果IPv6分片被丟棄,但是ICMPv6“PTB”錯誤消息會導致小於1280字節的MTU未被丟棄,攻擊者可能會利用這樣的ICMPv6錯誤消息來觸發數據分片,導致結果分片被丟棄,進而導致拒絕服務(DoS)條件。
在修訂的IPv6規範[RFC8200]中已經不支持生成響應ICMPv6 PTB消息的IPv6片段,因此最終所有實現都將消除該特性和相關漏洞。但是,您可能正在使用仍存在脆弱行爲的遺留設施。
Q20:用戶該刪除包含IPv6擴展報頭的數據包嗎?
答:建議用戶根據過濾策略在網絡中的執行位置,靈活設置針對包含IPv6擴展報頭的數據包的過濾策略。
如果過濾策略是在傳輸路由器上強制執行,在可能的範圍內使用黑名單方法進行過濾,儘量避免刪除數據包;如果過濾策略時在企業網絡上強制執行,這時用戶想要只允許希望接收的流量,因此應該採用白名單方法。
[IPv6-EHS-f]包含關於過濾IPv6包的建議,其中包含傳輸路由器上的擴展報頭。此外,它包含了對所有標準化IPv6擴展報頭和選項的安全評估,以及對此類數據包過濾產生的任何潛在互操作性問題的分析。
Q21:用戶應該如何評估網絡和設備使用擴展頭繞過安全控制?
答:大多數IPv6安全工具包提供了對任意IPv6擴展報頭攻擊包的支持。例如,[SI6-RA6]解釋了擴展頭和路由器的使用通告包。
Q22:雙棧網絡應該設置哪些包過濾策略?
答:IPv6協議的安全策略應該與IPv4協議的安全策略相匹配,但因爲目前缺乏針對IPv6協議的設置經驗,企業在設置IPv6協議的安全策略時存在很多漏洞。
Q23:使用臨時地址和穩定地址的網絡,該如何配置IPv6防火牆?
答:配置時應允許從任何地址發出連接,但只允許從穩定地址傳入連接。因此,由於類似客戶機的活動(如Web瀏覽)而暴露的地址將不能用於外部系統來連接回內部節點或地址掃描到內部節點。
Q24:臨時地址會如何影響用戶的ACL?
答:臨時地址會隨時間變化,所以如果將使用臨時地址的節點指定爲單個IPv6地址或一組地址,則通常會失敗。
如果要實施這些ACL,可以選擇以下方式:
- 在每個前綴的基礎上指定ACL(例如/64)
- 禁用受影響節點上的臨時地址
- 在穩定的地址上執行ACL,並配置節點,使穩定地址比臨時地址更適合訪問ACL中描述的服務/應用程序
Q25:IPv6網絡環境爲企業的安全防護措施帶來了哪些新挑戰?
答:IPv6網絡環境下IP地址空間幾乎接近無限,攻擊者可利用的IP資源池也將無限擴大,網絡數據激增。同時,隨着攻擊者對大規模代理IP池,尤其是秒撥IP的廣泛使用,IP地址變得不再可信,這使得許多傳統安全方案對於攻擊的誤報和漏報迅速增長。基於IP地址維度的傳統安全策略已無法滿足新趨勢下的防護需求。
在此背景下,企業需要多維度複雜策略以提升安全能力,這對底層算力支撐提出了更苛刻的要求。騰訊在移動互聯網IPv6的技術攻關,將有效推動移動互聯網的IPv6過渡,以助力國家移動互聯網基礎設施的應用水平提升。
- 在上文《移動互聯網IPv6技術攻關及規模應用》項目中,騰訊共輸出了三大技術創新成果:基於IPv4/IPv6雙棧的超大型雲平臺的分佈式SDN雲網絡技術、基於四維一體的雙棧智能防禦體系DDoS等安全防禦技術。
- 其中,面對IPv6的DDoS攻擊、CC攻擊和DNS劫持等安全問題,騰訊構建四維一體的雙棧智能防禦體系,自主研發支持IPv6的DDoS防護安全系統,有效保障IPv6安全。
- 同時,騰訊安全網絡入侵防護系統基於軟硬件協同升級帶來的強勁安全算力優勢,藉助智能威脅研判AI算法,已具備在IPv4+IPv6下基於流量特徵的精準網絡威脅管控和新型攻擊檢測和對抗能力,並已將能力深度應用在行業客戶的網絡安全架構中。
- 除此之外,針對IPv6網絡環境下新生的安全需求,騰訊安全旗下的高級威脅檢測系統、DDoS防護等安全防護產品都已開放了對IPv6網絡的支持功能,同時騰訊安全移動終端安全管理系統、騰訊移動開發框架平臺等產品已率先支持IPv6。
- 同時,具有深厚行業背景與10+年安全從業經驗的騰訊安全專家還會爲客戶提供專業的安全服務,讓客戶能夠更快完成IPv6網絡環境下的安全建設,助力企業應對IPv6時代的安全新挑戰。