在萬物互聯邁進的時代趨勢下,以ipv6為代表的下一代網際網路技術應運而生。然而,ipv4向ipv6網路的公升級演進是乙個長期、持續的過程,ipv6部署應用過程中的網路安全風險尚未完全顯現。
q0:ipv6是什麼?
q1:ipv6協議是否比ipv4協議更安全?
答:ipv6除了具有位址資源豐富、精準對應、資訊溯源等特點外, ipv6 位址之間傳輸資料將經過加密,資訊不再被輕易竊聽、劫持,因此總體而言,安全性將是ipv6的乙個重要特性。但由於ipv6增加的複雜性會導致攻擊載體數量增加,讓不法黑客能夠執行不同型別攻擊的可能性增多。所以從協議方面來看,ipv6將要面臨更多的安全風險。
q2:在部署的安全性來看, ipv6與ipv4哪一方更安全?
答:從部署安全性的角度來看,ipv6與ipv4要通過以下四個維度來進行比較:
q3:使用ipv4網路的使用者,需要對針對ipv6進行安全部署嗎?
答:需要。自從2023年11月底國家《推進網際網路協議第六版(ipv6)規模部署行動計畫》以來,各運營商都已經可以為使用者安裝原生的ipv6寬頻網路了。因此使用者所使用的網路很有可能是雙棧接入,即能和ipv4、ipv6兩種網路進行通訊。
如果攻擊者在使用者的網路上啟用了全域性ipv6連線,那麼使用者網路中的節點可能會無意中將原本用於本地流量的ipv6節點用於非本地流量,為攻擊者提供機會。
q4:使用者是否需要增加ipv6網際網路安全協議(ipsec)的使用量?
答:現在ipv6的ipsec都是預設關閉的,使用者也不需要自行增加ipsec的使用量。以前的ipv6規範要求所有節點包括對ipsec的支援,而且ipv6網路能夠使用本地ipsec的預期能力,可能會導致ipsec的使用變得廣泛並影響網路傳輸速率。
q5:使用者可以使用哪些工具來評估自己的網路和裝置?
答:可以使用si6 networks' ipv6 toolkit、the hacker's choice ipv6 attack toolkit、chiron這三個免費開源的ipv6工具包。
但是在基礎設施節點(如路由器、伺服器等)通常使用可**的位址且客戶節點(膝上型電腦、工作站等)通常使用隨機位址時,可以使用「定向」位址掃瞄輕鬆地發現基礎設施節點,再通過掃瞄工具針對特定的位址模式來獲取使用者端裝置的網路位址。
q7:ipv6網路中,可以進行網路探測嗎?
q8:在ipv6中有可能執行主機跟蹤攻擊嗎?
答:視情況而定。主機跟蹤是指當主機跨網路移動時,網路活動的相關性。傳統的slaac位址需要節點將它們的mac位址嵌入到ipv6標識介面中,從而使ipv6主機跟蹤非常微弱。臨時位址通過提供可用於(類似於客戶端)對外通訊的隨機位址來緩解部分問題,而穩定隱私位址取代了傳統的slaac位址,從而消除了問題。
隨著時間的推移,實施已經朝著臨時位址和穩定隱私位址的方向發展。但是,應該檢查您的作業系統是否支援這些標準。
q10:如何應對基於dns反向對映的網路探測行為?
答:可以僅為需要的系統如郵件傳輸**配置dns反向對映,也可以通過配置萬用字元反向對映,以便反向對映的每個可能的網域名稱都包含有效的ptr記錄。
答:ipv6的鄰居發現協議(ndp)組合ipv4中的arp、icmp路由器發現和icmp重定向等協議,並對它們作了改進。作為ipv6的基礎性協議,ndp還提供了字首發現、鄰居不可達檢測、位址解析、重複位址監測、位址自動配置等功能。
所以ipv6網路環境中的ndp和自動配置攻擊相當於來自ipv4的基於arp和dhcp的攻擊,如果使用者的ipv4網路中存在遭受arp/dhcp攻擊的威脅,那麼也必須重視ipv6網路中ndp和自動配置攻擊所帶來的安全威脅。
使用者可以通過ra-guard和dhcpv6-shield/dhcpv6-guard這兩種方法來應對ipv6網路中ndp和自動配置攻擊所造成安全隱患。
當dhcpv6被應用於位址配置時,伺服器通常維護乙個ipv6位址租約日誌。一旦主機被入侵並檢測到ipv6位址租約日誌的維護行為時,不法分子很容易通過受感染節點來發起惡意攻擊。
同時,dhcpv6也不會阻止主機自行配置位址(即不通過dhcpv6請求位址),所以dhcpv6日誌應該只在節點與網路合作的情況下使用。
q13:可以用ra-guard和dhcpv6-guard/shield防禦自動配置攻擊嗎?
答:視情況而定。這些機制的實現很多可以通過ipv6擴充套件報頭輕鬆繞過。在某些情況下,可以通過丟棄包含「未確定傳送」的資料報來減少規避。
q14:使用者應該在網路上部署安全鄰居發現(send)嗎?
答:不建議部署,因為目前幾乎沒有支援send的主機作業系統。
q15:什麼是鄰居快取耗盡(nce)攻擊,如何減輕這種攻擊?
答:nce可能導致目標裝置變得無響應、崩潰或重新啟動。nce攻擊的目標是在鄰居快取中建立任意數量的條目,這樣就不可能再建立新的合法條目,從而導致拒絕服務。nce也可能是位址掃瞄遠端網路的***,其中最後一跳路由器為每個目標位址建立乙個條目,從而最終耗盡鄰居快取。
緩解nce可以限制處於不完整狀態的鄰居快取條目數量。或是在受到點對點連線節點的nce攻擊時,通過為點對點鏈結使用長字首(例如/127s)來強制人為限制相鄰快取中的最大條目數。
q16:ipv6網路的逐步普及,會推動以網路為中心的安全正規化向以主機為中心的安全正規化的轉變嗎?
答:不會。ipv4網路的安全模式也不並是完全的「以網路為中心」,而是同時基於主機的防火牆和基於網路的防火牆。未來ipv6網路很可能會遵循之前的混合模式。
q17:部署ipv6網路後,所有系統都將暴露在公共ipv6 internet上嗎?
答:不一定。雖然幾乎所有的ipv6網路都可能使用全球位址空間,但這並不意味著any to any的全球可達性。例如,ipv6防火牆可能部署在網路拓撲結構的同一點,而ipv4網路目前使用的是nat裝置。這樣的ipv6防火牆可能會執行「只允許外部通訊」的過濾策略,從而導致類似於ipv4網路中的主機暴露。
根據特定的上游isp,攻擊者可以控制/48到/64之間的任意長度的字首(例如,如果攻擊者通過dhcpv6-pd獲得乙個委託的字首)。因此,在可能的範圍內,如果惡意活動在客戶將違規的/64列入黑名單後仍然存在,你可能希望阻斷更短的字首(更大的位址塊)—例如,開始阻斷a/64,然後在必要時阻塞a/56或/48。
q19:系統/網路出於安全原因阻止ipv6片段,這樣的做法安全嗎?
答:需要視情況而定,因為丟棄ipv6分片只有在滿足兩個條件時才是安全的:
基於udp的協議可能依賴於資料分片,因此在使用此類協議時,通常不建議阻斷資料分片的流量。其他協議(如tcp)可以通過path-mtu發現等機制完全避免使用資料分片。
當icmpv6「ptb」錯誤訊息宣告小於1280位元組的mtu時,可能會觸發分片的使用。因此,如果ipv6分片被丟棄,但是icmpv6「ptb」錯誤訊息會導致小於1280位元組的mtu未被丟棄,攻擊者可能會利用這樣的icmpv6錯誤訊息來觸發資料分片,導致結果分片被丟棄,進而導致拒絕服務(dos)條件。
在修訂的ipv6規範[rfc8200]中已經不支援生成響應icmpv6 ptb訊息的ipv6片段,因此最終所有實現都將消除該特性和相關漏洞。但是,您可能正在使用仍存在脆弱行為的遺留設施。
q20:使用者該刪除包含ipv6擴充套件報頭的資料報嗎?
答:建議使用者根據過濾策略在網路中的執行位置,靈活設定針對包含ipv6擴充套件報頭的資料報的過濾策略。
如果過濾策略是在傳輸路由器上強制執行,在可能的範圍內使用黑名單方法進行過濾,盡量避免刪除資料報;如果過濾策略時在企業網路上強制執行,這時使用者想要只允許希望接收的流量,因此應該採用白名單方法。
[ipv6-ehs-f]包含關於過濾ipv6包的建議,其中包含傳輸路由器上的擴充套件報頭。此外,它包含了對所有標準化ipv6擴充套件報頭和選項的安全評估,以及對此類資料報過濾產生的任何潛在互操作性問題的分析。
q21:使用者應該如何評估網路和裝置使用擴充套件頭繞過安全控制?
答:大多數ipv6安全工具包提供了對任意ipv6擴充套件報頭攻擊包的支援。例如,[si6-ra6]解釋了擴充套件頭和路由器的使用通告包。
q22:雙棧網路應該設定哪些包過濾策略?
答:ipv6協議的安全策略應該與ipv4協議的安全策略相匹配,但因為目前缺乏針對ipv6協議的設定經驗,企業在設定ipv6協議的安全策略時存在很多漏洞。
如果要實施這些acl,可以選擇以下方式:
q25:ipv6網路環境為企業的安全防護措施帶來了哪些新挑戰?
答:ipv6網路環境下ip位址空間幾乎接近無限,攻擊者可利用的ip資源池也將無限擴大,網路資料激增。同時,隨著攻擊者對大規模**ip池,尤其是秒撥ip的廣泛使用,ip位址變得不再可信,這使得許多傳統安全方案對於攻擊的誤報和漏報迅速增長。基於ip位址維度的傳統安全策略已無法滿足新趨勢下的防護需求。
IPv6 網路的管理
ipv6 ipv6 簡介 internet protocol version 6 ipv6 是 ietf 和網際網路工程任務組 設計 的用與替代現行版本 ip 協議的下一代 ip 協 議。ipv6 採用 128 位 2 進製數碼表示 ipv6 表示方式 為方便操作,ipv6 被換算成 8x16 進製...
RHCE 二 管理IPv6網路
一 回顧ipv4網路配置 1 測試和驗證網路配置 ip addr show eth0 ip link ip s link show eth0 s 輸出介面的狀態 ip route 或 route n ping c3 172.25.254.254檢視網路連線 ss ta t tcp協議的連線 a 所有...
IPv6網路標準的連網和加密方式
ipv6網路標準的連網和加密方式 對於ipv6網路標準這個新的網路準則,相對於ipv4版本的網路協議在諸多方面有所改進。現在我們將對ipv6網路標準中的連網方式和網路加密方式進行乙個深入的 通過文章內容,望大家對這兩方面內容能有所掌握。即插即用的連網方式 ipv6把自動將ip位址分配給使用者的功能作...