IPv6安全淺析
原文連結 :IPv6安全淺析 - Huawei - 2010.12 第52期
“缺乏安全性是網際網路天生的弱點,這與是否採用IPv6關係不大。事實上,IPv6並沒有引入新的安全問題,反而由於IPSec的引入以及傳送裝置採用永久性IP地址而解決了網路層溯源難題,給網路安全提供了根本的解決途徑,有望實現端到端安全性。”中國電信科技委主任韋樂平這樣評價IPv6安全。
IPv6協議設計的安全考慮
從協議的角度,IPv6作為IPv4的下一代,與IPv4同屬於網路層的傳輸協議。然而,協議上最核心、最本質的差別就是地址空間的擴大,由IPv4下的32位地址空間變為128位的地址空間,這正是IPv6被選作新網路的承載協議並逐漸商用部署的根本驅動力。IPv6擁有如此巨大的地址空間,甚至可以為每一粒沙子都分配一個IP地址。而IPv4網路的地址分配是不規則的,並且很多時候是一個地址被多臺主機共用。使用IPv6之後,我們能夠將每個地址指定給一個責任體,就像給每個人一個身份證號,每輛車一個車牌號一樣,每個地址都是唯一的;IPv6的地址分配採用逐級、層次化的結構,這就使得追蹤定位、攻擊溯源有了很大的改善。
另外,IPv6提出了新的地址生成方式——密碼生成地址。密碼生成地址與公私鑰對繫結,保證地址不能被他人偽造。這如同汽車的車牌印上了指紋,別人不可能偽造這樣的車牌,因為指紋造不了假。在IPv6協議設計之初,IP Sec(IPSecurity)協議族中的AH(AuthenticationHeader,報文認證頭)和ESP(EncapsulationSecurity Payload,報文封裝安全載荷)就內嵌到協議棧中,作為IPv6的擴充套件頭出現在IP報文中,提供完整性、保密性和源認保護,這無疑是從協議上較大地提升安全性。
整體上看,IPv4協議的設計沒有任何的安全考慮,特別是報文地址的偽造與欺騙使得無法對網路進行有效的監管和控制。因此,當出現網路攻擊與安全威脅時,我們只能圍繞攻擊事件做好事前、事中和事後的防範、檢測和過濾防禦,缺乏有效的技術支撐手段,無法對攻擊者形成真正的打擊和管控。
而在IPv6網路的安全體系下,使用者、報文和攻擊可以一一對應,使用者對自己的任何行為都必須負責,具有不可否認性,所以IPv6建立起嚴密的圍繞攻擊者的管控機制,實現對使用者行為的安全監控。
IPv6能減緩現有攻擊
掃描幾乎是任何攻擊手段的必需前提。攻擊者利用掃描收集目標網路的資料,據此分析、推斷目標網路的拓撲結構、開放的服務、知名埠等有用資訊,以作為真正攻擊的基礎。掃描的主要目的是通過ping每個地址,找到作為潛在攻擊目標的線上主機或裝置。
在IPv6時代,每個地址為128位,協議中規定的預設網路字首為64位。換句話說,就是一個網段內有264個地址,假設攻擊者以10M/s的速度來掃描,也得需要大約5萬年的時間才能遍歷。IPv6大大增大了掃描難度,由此增加了網路攻擊的成本和代價。此時,黑客如果想侵佔一定數量的主機發起DDoS(Distributed Denial of Service,分散式拒絕服務)攻擊,那麼其將會付出更多的代價,這在一定程度上減少了DDoS攻擊發生的可能性。
IPv6協議定義了多播地址型別,而取消了IPv4下的廣播地址,有效避免IPv4網路中的利用廣播地址發起的廣播風暴攻擊和DDoS攻擊。同時,IPv6協議規定了不允許向使用多播地址的報文回覆ICMPv6(Internet Control Management Protocol Version6)差錯訊息,因此也能防止ICMPv6報文造成的放大攻擊。
IPv6下的密碼生成地址是新的地址生成方式,將公私鑰對中的公鑰與IPv6地址進行繫結。使用此類地址,能夠保證報文的源地址不被他人偽造。在這樣的安全機制保護下,在網路中傳輸的每一個報文均對應於一臺主機,如果發生任何的攻擊或者違法犯罪行為,都能夠根據攻擊報文追蹤到發出此報文的主機,進而追查到攻擊者。這種可靠的追蹤溯源機制,使得黑客和攻擊者容易被發現,這樣就減少了網路攻擊發生的可能。
IPv6面臨的新威脅
IPv6協議對IPv4協議的根本改變是發生在IP層,因此針對IPv6協議所定義的包
頭及擴充套件頭的、容易發生的安全威脅,我們需要進行充分的準備。常見的針對IPv6擴充套件頭的攻擊,主要包括利用分片擴充套件頭髮起分片攻擊,逃避防火牆/IDS(Intrusion Detection System,入侵檢測系統)的檢查或者發動DDoS攻擊;利用路由擴充套件頭的type 0型別,在網路中發起放大攻擊。
在IPv4向IPv6的演進過程中,我們還需要考慮各種過渡技術與方案的安全隱患。由於在共存時期,IPv4網路與IPv6網路同時存在,且有互通需求,這就要求來自兩種不同IP協議網路的威脅不能夠交叉感染。另外,運營商所選擇部署的各種過渡技術,由於尚無成熟的使用經驗,因此很可能存在潛在的安全風險。
具體來看,隧道技術是對報文進行一層封裝。隧道報文在經過網路安全裝置時,如果需要被檢查與過濾,那網路安全技術就得支援各種新的隧道協議,能夠對隧道進行解封裝,而後才能對內嵌報文進行處理。在建立各種隧道的時候,對隧道節點的認證是十分必要的。否則,所建立的隧道是不可靠的,隧道就會被黑客和攻擊者利用,成為進
入某個目標網路的通路。
而在利用翻譯技術將IPv6與IPv4網路進行互聯互通時,要改變報文的IP層及傳輸層的相關資訊,這樣會對端到端的安全產生影響,導致IPSec的三層安全隧道在翻譯裝置處出現斷點。同時,翻譯裝置作為網路互通的關鍵節點,會成為DDoS攻擊的主要目標。
總之,安全隱患的主要根源是網路協議設計的缺陷和網路裝置開發的bug,或者是網路協議的部署與使用出現問題。在IPv6商用之初,我們應利用IPv6協議提供的新安全特性,先解決部分類似IPv4下已有的威脅。隨著IPv6網路的擴大以及各種應用的遷移和增多,我們需要更多關注新型攻擊。
IPv6的安全機制和策略
在IPv6/IPv4共存時期,過渡技術的安全部署尤為重要。各種網路安全裝置都要具備對IPv6和IPv4威脅的防護能力。我們在使用隧道技術時,要儘可能採用靜態配置隧道,以降低動態隧道的偽造和非法接入威脅。
充分利用地址自身的安全特性
在合適的場景下,使用密碼生成地址有助於發現針對ND(Neighbor Discovery,鄰居發現)協議和DHCPv6(Dynamic Host Configuration Protocol for IPv6,IPv6動態主機配置協議)協議的欺騙和偽造等問題。由於擁有自身的公私鑰對,密碼生成地址還可用於IPSec的協商,在某些場景下可以簡化協商過程,提高IPSec的效能。
另一種關於地址的安全機制是隱私擴充套件。由於IPv6網路不需要地址轉換,因此沒有NAT(Network Address Translation,網路地址轉換)裝置,這樣一來就會將內網的結構及相關資訊暴露。所以,內網的網路裝置要依靠隱私擴充套件機制,通過週期性的地址改變,防止內部網路資訊的洩露。
設定精細的過濾策略
面對IPv6地址結構以及相關協議的改變,防火牆或者網路邊界裝置需要設定更加精細的過濾規則。防火牆需要拒絕對內網知名多播地址訪問的報文,關閉不必要的服務埠,過濾內網使用的地址。在對ICMP報文的處理上,由於IPv6對ICMPv6的依賴程度遠遠超過了IPv4,ICMPv6除了完成ping及錯誤訊息外,還新增了地址分配、地址解析、多播管理和移動IPv6下的使用等功能,因此ICMPv6報文的過濾策略需要根據實際情況小心設定,避免影響正常的服務和應用。
為了防護IPv6擴充套件頭的隱患,防火牆需檢查擴充套件頭的合法性。對於分片報文,防火牆能拒絕傳送到網路中間裝置的分片,並支援重組,具備防DDoS攻擊能力。防火牆能識別type 0型別的路由擴充套件頭報文,對其進行過濾。入口過濾機制在防火牆和邊界裝置上的實現也是必要的,以緩解網路間的源地址偽造威脅。
合理的部署策略
在IPv6/IPv4共存時期,過渡技術的安全部署尤為重要。各種網路安全裝置都要具備對IPv6和IPv4威脅的防護能力。我們在使用隧道技術時,要儘可能採用靜態配置隧道,以降低動態隧道的偽造和非法接入威脅。防火牆要設定對非授權隧道報文的過濾,同時識別各種隧道協議,能夠對隧道報文的內嵌封裝報文做訪問控制。翻譯裝置則要做好自身的DDoS攻擊防範。
2010年是IPv6的商用元年,各大運營商紛紛制定過渡方案,宣佈演進計劃,開啟試點城市。華為的安全產品已經為IPv6商用做好了充分準備,2009年通過了IPv6 Ready認證。值得一提的是,華為IPv6防火牆在國內首家通過IPv6 Ready第二階段增強認證,而且能將當前多種主流的過渡技術與方案集成於同一裝置,滿足了當前IPv6商用的市場需求。