在万物互联迈进的时代趋势下,以 IPv6 为代表的下一代互联网技术应运而生。然而,IPv4 向 IPv6 网络的升级演进是一个长期、持续的过程,IPv6 部署应用过程中的网络安全风险尚未完全显现。
近年来,我国各政府部门立足自身职责分工,在政策方面出台相关政策文件,同步强化各行业领域 IPv6 发展和安全工作部署;各行各业也开始纷纷进行 IPv6 的研究和演进。2019 年 11 月,腾讯和中国移动、中国信通院、华为的联合项目《移动互联网 IPv6 技术攻关及规模应用》荣获一等奖大奖。
针对 IPv6 发展趋势及网络安全动向,腾讯安全平台部天幕团队联合安全专家咨询中心、云鼎实验室、数据安全部 ,从IPv6 安全通用、IPv6 安全性评估、First-Hop 安全、 配置防火墙 和安全架构 四方面展开,对 IPv6 新环境下的常见安全问题进行梳理,期望为企业客户带来实用性的参考和帮助。
Q0:IPv6 是什么?
答:IPv6 是第六代互联网协议。第四代互联网 IPv4 经历了移动互联网快速发展,为视频、游戏、支付提供服务。但随着产业互联网的发展,IPv4 不再能满足世界上暴增的网络需求,IPv6 应运而生。通俗地讲,IPv6 的地址数量可以为全世界的每一粒沙子编上一个 IP 地址。而 IP 地址,就是我们在互联网上的“门牌号”。
Q1:IPv6 协议是否比 IPv4 协议更安全?
答:IPv6 除了具有地址资源丰富、精准对应、信息溯源等特点外,IPv6 地址之间传输数据将经过加密,信息不再被轻易窃听、劫持,因此总体而言,安全性将是 IPv6 的一个重要特性。但由于 IPv6 增加的复杂性会导致攻击载体数量增加,让不法黑客能够执行不同类型攻击的可能性增多。所以从协议方面来看,IPv6 将要面临更多的安全风险。
Q2:在部署的安全性来看,IPv6 与 IPv4 哪一方更安全?
答:从部署安全性的角度来看,IPv6 与 IPv4 要通过以下四个维度来进行比较:
- 协议规范成熟度:网络安全协议相关的漏洞都是经过安全研究人员长期观察中发现并进行修补的。IPv4 协议已经经历了安全工作人员长期的维护和修补,现阶段较 IPv6 的协议规范更为成熟、稳定。
- 实现的成熟度:目前来看,IPv6 缺乏适当的建议来防止漏洞的实现方法,其协议设计还有待完善。
- 对协议的信心 / 经验:相较于已经成熟的 IPv4 网络环境,网络安全工程师还需要一段时间来积累对抗 IPv6 新环境下网络安全威胁的经验。
- 安全设备和工具的支持:尽管安全设备和工具经过改进后能够对 IPv4 和 IPv6 同时进行有效支持,但 IPv6 部署应用过程中的网络安全风险尚未完全显现,安全设备和工具在特性和性能方面还存在不足。
Q3:使用 IPv4 网络的用户,需要对针对 IPv6 进行安全部署吗?
答:需要。自从 2017 年 11 月底国家《推进互联网协议第六版(IPv6)规模部署行动计划》以来,各运营商都已经可以为用户安装原生的 IPv6 宽带网络了。因此用户所使用的网络很有可能是双栈接入,即能和 IPv4、IPv6 两种网络进行通信。
如果攻击者在用户的网络上启用了全局 IPv6 连接,那么用户网络中的节点可能会无意中将原本用于本地流量的 IPv6 节点用于非本地流量,为攻击者提供机会。
Q4:用户是否需要增加 IPv6 互联网安全协议(IPSec)的使用量?
答:现在 IPv6 的 IPSec 都是默认关闭的,用户也不需要自行增加 IPSec 的使用量。以前的 IPv6 规范要求所有节点包括对 IPSec 的支持,而且 IPv6 网络能够使用本地 IPSec 的预期能力,可能会导致 IPSec 的使用变得广泛并影响网络传输速率。
Q5:用户可以使用哪些工具来评估自己的网络和设备?
答:可以使用 SI6 Networks’ IPv6 Toolkit、The Hacker’s Choice IPv6 Attack Toolkit、Chiron 这三个免费开源的 IPv6 工具包。
Q6:IPv6的网络地址可以被扫描到吗?
答:通常情况下不行,因为标准的 IPv6 子网是 /64s,用户端设备的网络地址随机分布在一个非常大的地址空间之中,无法进行全局扫描。
但是在基础设施节点(如路由器、服务器等)通常使用可预测的地址且客户节点(笔记本电脑、工作站等)通常使用随机地址时,可以使用“定向”地址扫描轻松地发现基础设施节点,再通过扫描工具针对特定的地址模式来获取用户端设备的网络地址。
Q7:IPv6 网络中,可以进行网络探测吗?
答:如果目标是局域网,可以使用多播探测和多播 DNS 查询这两种技术进行网络探测;如果目标是远程网络,则可以使用 Pattern-based address scans、DNS zone transfers、DNS reverse mappings、Certificate transparency framework、Search engines 这些技术来实现网络探测的目的。
Q8:在 IPv6 中有可能执行主机跟踪攻击吗?
答:视情况而定。主机跟踪是指当主机跨网络移动时,网络活动的相关性。传统的 SLAAC 地址需要节点将它们的 MAC 地址嵌入到 IPv6 标识接口中,从而使 IPv6 主机跟踪非常微弱。临时地址通过提供可用于 (类似于客户端) 对外通信的随机地址来缓解部分问题,而稳定隐私地址取代了传统的 SLAAC 地址,从而消除了问题。
随着时间的推移,实施已经朝着临时地址和稳定隐私地址的方向发展。但是,应该检查您的操作系统是否支持这些标准。
Q9:是否应该为服务器设置不可预知的地址?
答:管理员在分析每个网络场景的相关权衡和便利后,可以为一些重要的服务器设置不可预知的地址,因为在设置不可预知的地址后,攻击者将很难“针对给定前缀中的所有服务器“。
Q10:如何应对基于 DNS 反向映射的网络探测行为?
答:可以仅为需要的系统如邮件传输代理配置 DNS 反向映射,也可以通过配置通配符反向映射,以便反向映射的每个可能的域名都包含有效的 PTR 记录。
Q11:IPv6 网络环境中是否存在地址解析和自动配置攻击?
答:IPv6 的邻居发现协议(NDP)组合 IPv4 中的 ARP、ICMP 路由器发现和 ICMP 重定向等协议,并对它们作了改进。作为 IPv6 的基础性协议,NDP 还提供了前缀发现、邻居不可达检测、地址解析、重复地址监测、地址自动配置等功能。
所以 IPv6 网络环境中的 NDP 和自动配置攻击相当于来自 IPv4 的基于 ARP 和 DHCP 的攻击,如果用户的 IPv4 网络中存在遭受 ARP/DHCP 攻击的威胁,那么也必须重视 IPv6 网络中 NDP 和自动配置攻击所带来的安全威胁。
用户可以通过 RA-Guard 和 DHCPv6-Shield/DHCPv6-Guard 这两种方法来应对 IPv6 网络中 NDP 和自动配置攻击所造成安全隐患。
Q12:在地址记录方面,SLAAC 和 DHCPv6 有什么区别?
答:使用 SLAAC 进行地址配置时,由于地址是“自动配置”的,所以没有 IPv6 地址的集中日志。
当 DHCPv6 被应用于地址配置时,服务器通常维护一个 IPv6 地址租约日志。一旦主机被入侵并检测到 IPv6 地址租约日志的维护行为时,不法分子很容易通过受感染节点来发起恶意攻击。
同时,DHCPv6 也不会阻止主机自行配置地址(即不通过 DHCPv6 请求地址),所以 DHCPv6 日志应该只在节点与网络合作的情况下使用。
Q13:可以用 RA-Guard 和 DHCPv6-Guard/Shield 防御自动配置攻击吗?
答:视情况而定。这些机制的实现很多可以通过 IPv6 扩展报头轻松绕过。在某些情况下,可以通过丢弃包含“未确定传送”的数据包来减少规避。
Q14:用户应该在网络上部署安全邻居发现(SeND)吗?
答:不建议部署,因为目前几乎没有支持 SeND 的主机操作系统。
Q15:什么是邻居缓存耗尽(NCE)攻击,如何减轻这种攻击?
答:NCE 可能导致目标设备变得无响应、崩溃或重新启动。NCE 攻击的目标是在邻居缓存中创建任意数量的条目,这样就不可能再创建新的合法条目,从而导致拒绝服务。NCE 也可能是地址扫描远程网络的副作用,其中最后一跳路由器为每个目标地址创建一个条目,从而最终耗尽邻居缓存。
缓解 NCE 可以限制处于不完整状态的邻居缓存条目数量。或是在受到点对点连接节点的 NCE 攻击时,通过为点对点链接使用长前缀 (例如 /127s) 来强制人为限制相邻缓存中的最大条目数。
Q16:IPv6 网络的逐步普及,会推动以网络为中心的安全范式向以主机为中心的安全范式的转变吗?
答:不会。IPv4 网络的安全模式也不并是完全的“以网络为中心”,而是同时基于主机的防火墙和基于网络的防火墙。未来 IPv6 网络很可能会遵循之前的混合模式。
Q17:部署 IPv6 网络后,所有系统都将暴露在公共 IPv6 Internet 上吗?
答:不一定。虽然几乎所有的 IPv6 网络都可能使用全球地址空间,但这并不意味着 any to any 的全球可达性。例如,IPv6 防火墙可能部署在网络拓扑结构的同一点,而 IPv4 网络目前使用的是 NAT 设备。这样的 IPv6 防火墙可能会执行“只允许外部通信”的过滤策略,从而导致类似于 IPv4 网络中的主机暴露。
Q18:IPv6 环境中还能像 IPv4 环境中将 IPv 地址列入黑名单吗?应该用什么粒度为 IPv6 地址设置黑名单?
答:可以,因为 IPv6 主机通常能够在其 /64 本地子网内配置任意数量的 IPv6 地址,所以在发生恶意事件时,用户应该至少将检测到恶意活动的 /64 地址列入黑名单。
根据特定的上游 ISP,攻击者可以控制 /48 到 /64 之间的任意长度的前缀(例如,如果攻击者通过 DHCPv6-PD 获得一个委托的前缀)。因此,在可能的范围内,如果恶意活动在客户将违规的 /64 列入黑名单后仍然存在,你可能希望阻断更短的前缀(更大的地址块)—例如,开始阻断 a /64,然后在必要时阻塞 a /56 或 /48。
Q19:系统 / 网络出于安全原因阻止 IPv6 片段,这样的做法安全吗?
答:需要视情况而定,因为丢弃 IPv6 分片只有在满足两个条件时才是安全的:
- 只使用可以避免碎片的协议——例如带有 Path-MTU 发现的 TCP
- 同时阻止了 ICMPv6“Packet Too Big”(PTB)错误消息,该消息会通知 MTUs 应小于 1280 字节
基于 UDP 的协议可能依赖于数据分片,因此在使用此类协议时,通常不建议阻断数据分片的流量。其他协议 (如 TCP) 可以通过 Path-MTU 发现等机制完全避免使用数据分片。
当 ICMPv6“PTB”错误消息宣告小于 1280 字节的 MTU 时,可能会触发分片的使用。因此,如果 IPv6 分片被丢弃,但是 ICMPv6“PTB”错误消息会导致小于 1280 字节的 MTU 未被丢弃,攻击者可能会利用这样的 ICMPv6 错误消息来触发数据分片,导致结果分片被丢弃,进而导致拒绝服务 (DoS) 条件。
在修订的 IPv6 规范 [RFC8200] 中已经不支持生成响应 ICMPv6 PTB 消息的 IPv6 片段,因此最终所有实现都将消除该特性和相关漏洞。但是,您可能正在使用仍存在脆弱行为的遗留设施。
Q20:用户该删除包含 IPv6 扩展报头的数据包吗?
答:建议用户根据过滤策略在网络中的执行位置,灵活设置针对包含 IPv6 扩展报头的数据包的过滤策略。
如果过滤策略是在传输路由器上强制执行,在可能的范围内使用黑名单方法进行过滤,尽量避免删除数据包;如果过滤策略时在企业网络上强制执行,这时用户想要只允许希望接收的流量,因此应该采用白名单方法。
[IPv6-EHS-f]包含关于过滤 IPv6 包的建议,其中包含传输路由器上的扩展报头。此外,它包含了对所有标准化 IPv6 扩展报头和选项的安全评估,以及对此类数据包过滤产生的任何潜在互操作性问题的分析。
Q21:用户应该如何评估网络和设备使用扩展头绕过安全控制?
答:大多数 IPv6 安全工具包提供了对任意 IPv6 扩展报头攻击包的支持。例如,[SI6-RA6]解释了扩展头和路由器的使用通告包。
Q22:双栈网络应该设置哪些包过滤策略?
答:IPv6 协议的安全策略应该与 IPv4 协议的安全策略相匹配,但因为目前缺乏针对 IPv6 协议的设置经验,企业在设置 IPv6 协议的安全策略时存在很多漏洞。
Q23:使用临时地址和稳定地址的网络,该如何配置 IPv6 防火墙?
答:配置时应允许从任何地址发出连接,但只允许从稳定地址传入连接。因此,由于类似客户机的活动 (如 Web 浏览) 而暴露的地址将不能用于外部系统来连接回内部节点或地址扫描到内部节点。
Q24:临时地址会如何影响用户的 ACL?
答:临时地址会随时间变化,所以如果将使用临时地址的节点指定为单个 IPv6 地址或一组地址,则通常会失败。
如果要实施这些 ACL,可以选择以下方式:
- 在每个前缀的基础上指定 ACL(例如 /64)
- 禁用受影响节点上的临时地址
- 在稳定的地址上执行 ACL,并配置节点,使稳定地址比临时地址更适合访问 ACL 中描述的服务 / 应用程序
Q25:IPv6 网络环境为企业的安全防护措施带来了哪些新挑战?
答:IPv6 网络环境下 IP 地址空间几乎接近无限,攻击者可利用的 IP 资源池也将无限扩大,网络数据激增。同时,随着攻击者对大规模代理 IP 池,尤其是秒拨 IP 的广泛使用,IP 地址变得不再可信,这使得许多传统安全方案对于攻击的误报和漏报迅速增长。基于 IP 地址维度的传统安全策略已无法满足新趋势下的防护需求。
在此背景下,企业需要多维度复杂策略以提升安全能力,这对底层算力支撑提出了更苛刻的要求。腾讯在移动互联网 IPv6 的技术攻关,将有效推动移动互联网的 IPv6 过渡,以助力国家移动互联网基础设施的应用水平提升。
- 在上文《移动互联网 IPv6 技术攻关及规模应用》项目中,腾讯共输出了三大技术创新成果:基于 IPv4/IPv6 双栈的超大型云平台的分布式 SDN 云网络技术、基于四维一体的双栈智能防御体系 DDoS 等安全防御技术。
其中,面对 IPv6 的 DDoS 攻击、CC 攻击和 DNS 劫持等安全问题,腾讯构建四维一体的双栈智能防御体系,自主研发支持 IPv6 的 DDoS 防护安全系统,有效保障 IPv6 安全。
- 同时,腾讯安全网络入侵防护系统 基于软硬件协同升级带来的强劲安全算力优势,借助智能威胁研判 AI 算法,已具备在 IPv4+IPv6 下基于流量特征的精准网络威胁管控和新型攻击检测和对抗能力,并已将能力深度应用在行业客户的网络安全架构中。
- 除此之外,针对 IPv6 网络环境下新生的安全需求,腾讯安全旗下的 高级威胁检测系统 、DDoS 防护 等安全防护产品都已开放了对 IPv6 网络的支持功能,同时腾讯安全移动终端安全管理系统、腾讯移动开发框架平台等产品已率先支持 IPv6。
- 同时,具有深厚行业背景与 10+ 年安全从业经验的 腾讯安全专家 还会为客户提供专业的安全服务,让客户能够更快完成 IPv6 网络环境下的安全建设,助力企业应对 IPv6 时代的安全新挑战。