搜索
IPv6安全和IPv4/6过渡安全核心研究院青山2013-01-18提纲IPv4-IPv6网络过渡背景IPv6协议特有安全问题IPv4-IPv6过渡机制简介IPv4/IPv6过渡和共存安全问题IPv6对网络安全产品体系影响IPv4存在的问题•IP地址严重不足(32位)–基本分配完毕–NAT只能缓解地址消耗速度,并带来很多问题•IPv4在设计时并没有考虑安全问题–协议设计安全•拒绝服务攻击(TCPSYNFlood)•假冒攻击–协议实现安全•缓冲区溢出•缺乏对QoS的有效支持–intServ和DiffServ服务IPv6比较优势与IPv4相比,IPv6具有以下特点:•近乎无限的地址空间(128位)•更简洁的报文头部(基本报头加扩展报头)•内置的安全性(IPSec支持)•更好的QoS支持(流标签)•更好的移动性(MobileIPv6)„„IPv4与IPv6在功能上的比较•IPV4和IPv6在很多功能上相似IPv4IPv6Addressing32bits128bitsAddressresolutionARPICMPv6NS/NA(+MLD)Auto-configurationDHCP&ICMPRS/RAICMPv6RS/RA&DHCPv6(optional)(+MLD)FaultIsolationICMPv4ICMPv6IPsecsupportOptionalMandatory(tooptional)FragmentationBothinhostsandroutersOnlyinhosts6IPv4和IPv6协议兼容性RemovedChanged向IPv6过渡的必要性•IPV4和IPV6协议完全不兼容性,意味着过渡不是一个简单问题•现有IPv4互联网规模非常大,过渡不可能一夜之间完成,是一个渐进和长期过程•IPv4和IPv6将在很长一段时间内共存,直到IPv6完全取代IPv4•IPV6在设计时就考虑了如何将现有IPv4过渡到IPV6的问题–过渡场景的考虑–过渡机制的设计IPv6网络部署进程•循序渐进,降低成本IPv6孤岛IPv6孤岛IPv4Internet协议转换IPv6孤岛IPv6孤岛IPv6InternetIPv6InternetIPv4孤岛IPv4孤岛IPv4InternetIPv6孤岛IPv4/IPv6过渡和共存的安全IPv4IPv6IPv6协议特有安全安全考虑IPv6对传统安全体系影响IPv4/IPv6过渡安全各种网络安全威胁内部网络信息资产内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫拒绝服务攻击原理mbehringISPCPEInternetZombie(僵尸)发现漏洞取得用户权取得控制权植入木马清除痕迹留后门做好攻击准备Hacker(黑客)攻击来自于众多来源,发出不计其数的IP数据包攻击的众多来源来自不同的地理位置会过渡地利用网络资源拒绝合法用户访问在线资源洪水般的攻击包堵塞住企业与互联网的全部连接终端客户的内部设备都不能有效抵御这种攻击DDOS攻击是黑客利用攻击软件通过许多台“肉鸡”同时展开拒绝服务攻击,规模更大,危害更大MasterServerIPv6协议特有安全问题探讨对IPv6安全的争议IPv6网络关注的安全领域•IPv6安全涉及到以下领域–系统安全–提供节点级别的安全保护。这涉及到主机防火墙、操作系统漏洞、以及节点威胁模型的构建.–网络安全–提供网络级别的安全保护。涉及到安全网关(路由器ACL,包过滤防火墙和代理),入侵检测防御系统。–应用安全–提供应用级别的安全保护。需要理解网络应用威胁模型(包括客户端和服务器端)。–过渡安全–这涉及到和双协议栈、隧道机制和协议翻译机制相关的安全问题。IPv6安全现状•培训和经验方面–当前,很多安全专家都深入了解IPv4协议和相关的安全问题,但是,大多数人都对新的IPv6协议没有多少知识和实践经验,更没有时间去考虑和IPV4相比其安全差别在哪里。•当前的IPv6应用、操作系统和网络都缺少被黑客攻击的考验。他们都还没有像IPV4那样久经黑客攻击,从而使得安全专家不知道真正的脆弱点在哪里。•黑客方面–很多黑客有多年的IPV6学习经验。他们知道在IPV6环境下哪些攻击不再有效(比如ARP攻击),以及IPv6的引入会带来哪些新的攻击(ND欺骗)。•大多数现有的网络安全产品和工具并不完全支持IPv6,存在IPv6监控死角。IPv4/IPv6安全方面相似性•在网络威胁和防御方法方面,IPV6和IPv4相似–认证方面–在IPv6环境中,用户名/密码认证仍然是不安全的,需要采用基于证书的强认证机制。–私密方面–IPv6环境中,未加密网络流量仍然可以被窃听(Wireshark全面支持IPv6),SSL/TLS在IPv6环境下同样具有优势和劣势。好的消息是,由于IPV6具有端到端特性,因此,Ipsec安全将比IPV4环境中工作的更好(没有NAT)–网络方面–IPv6网络仍然可能遭受到拒绝服务攻击,仍然需要采取措施来防御DDoS。–DNS方面,DNS仍然可能被攻击(除非采用DNSSEC进行保护).DNSSEC可以确保DNS的安全。–应用方面–缓冲区溢出等攻击在IPV6环境中依然存在。没有DPI能力的简单包过滤机制仍然可能被欺骗。Web应用仍然可能遭受Web安全攻击(SQL注入、XSS攻击)。–补丁方面-操作系统和应用程序仍然需要及时的打补丁。IPv6相关漏洞统计02468101214161820200120022003200420052006200720082009201020112012漏洞数量漏洞数量IPv6与IPv4安全不同方面•地址解析方面–IPv6不再采用ARP协议(L2层).IPV6采用邻居发现协议(L3层)来解析MAC地址,因此,ARP攻击不再有效,但ND面临很多安全问题,需要采取技术来解决。•碎片攻击方面–IPV6环境更容易检测出,因为,在IPv6环境中,只有源端点可以进行报文分片,中间节点不允许执行报文分片,且要求关键信息必须出现在第一碎片报文中。•NAT问题–IPV6环境中将不再存在NAT,NAT并不能提升网络安全(NAT穿越技术可以将NAT后的主机直连到IPV6网络),NAT反而增加了攻击溯源难度。•报头方面–IPv4环境中只有一个IP头,而在IPv6中,可以存在一个基本IP头和很多扩展头。黑客可能利用扩展头来躲避各种安全过滤机制(RA-GuardEvasion)。•IPSec方面–由于不再有NAT,IPsec(AH&ESP)工作得更好,IKE变得越来越成熟,密钥协商完全自动化,可挫败窃听攻击。IPv6特有的具体安全问题•IP报头涉及的安全问题(IPheaders)•地址解析方面的安全问题(NS/NA)•自动地址配置SLAAC安全问题(RS/RA)•IPSec方面的安全问题•DNS方面的安全问题IP报头涉及的安全问题•IPv6协议中,存在一个基础报头和很多扩展报头,扩展报头可以无限多•无限制的扩展报头将增加包过滤设备的处理复杂度–导致安全设备被DDoS攻击–攻击者可以躲避攻击检测•如果IPv6报头中的FLOWID字段可预测,则可能导致IPv6IDLESCAN攻击IPv6IdleScanOpenportClosedport22地址自动配置方面的安全问题RS报文RA报文主机发送RouterSolicitation报文路由器回应RouterAdvertisement报文主机获得前缀及其它参数其实路由器会周期性地向外发送RA报文1::1/64无状态地址自动配置(SLAAC)—前缀获得23地址自动配置方面的安全问题•IEEEEUI-64规范是其中最重要的一种生成方法•将48比特的MAC地址转化为64比特的接口ID–MAC地址的唯一性保证了接口ID的唯一性–设备自动生成,不需人为干预•48位MAC地址•64位接口IDSLAAC中的接口ID生成SLAAC接口ID生成安全问题•最初IPv6规范(RFC2460)规定采用EUI-64算法生成接口标识•EUI-64基于MAC地址来生成接口标识,最终用来生成全局IPv6地址•一般情况下MAC地址信息仅局限于局域网内,EUI-64使得MAC暴露到公网上,会导致很多安全问题。–当你下载盗版电影,或者攻击别人,很容易根据IPv6地址中的MAC信息定位到你–任何人可以根据MAC信息对网络上的事件进行分类,导致隐私暴露•解决方案–采用随机生成的接口标识生成算法–采用CGA算法生成接口标识自动配置中的RS/RA安全问题•IPv6中有两种IP地址自动配置方案:–无状态:SLAAC(StatelessAddressAuto-Configuration),采用ICMPv6中的路由请求和路由宣告消息–有状态:DHCPv6,类似于IPv4•SLAAC是强制性实现的,DHCPv6是可选实现项•在SLAAC时,RA路由宣告消息中包含如下信息:–IPv6prefixes–IPv6routes–其它配置参数(HopLimit,MTU)–DNS服务器信息•但是,RA消息很容易被伪造,从而导致拒绝服务攻击和中间人攻击。自动配置中的RS/RA欺骗过程•主动发送伪造的RA消息•响应式发送伪造RA消息RS报文1::1/64•IPv6prefixe•IPv6route•HopLimit,MTU•DNSServerHostRouterRA报文RA保护方案:RA-Guard•RFC6105:在L2硬件设备上通过设置基于port或者SRCIP的过滤规则,来禁止未授权主机发送RA消息。(Cisco交换机)•但是,RA-Guard很容易被绕过•被绕过问题分析在RA消息中,可以使用IPv6扩展头(特别是分片报头)。因此,导致网络报文结构复杂,使得很多包过滤设备无法正常工作。IPv6HeaderIPv6HeaderDestinationOptionsHeaderDestinationOptionsHeaderICMPv6RouterAdvertisementICMPv6RouterAdvertisementNH=60NH=5829可用于RA-Guard绕过的扩展报头•IPv6扩展报头实现了一些IP层的可选功能,扩展报头位于上层封装和IPv6基本报头之间•主要的扩展报头:–Hop-by-HopOptionsheader–DestinationOptionsheader–Routingheader–Fragmentheader–Authenticationheader–EncapsulatingSecurityPayloadheaderRA-Gurad机制被绕过原因•在RA消息中,可以使用IPv6扩展头(特别是分片报头),因此,导致网络报文结构复杂,使得很多包过滤设备无法正常工作。OriginalPacketFirstFragmentSecondFragmentIPv6HeaderIPv6HeaderFragmentHeaderFragmentHeaderNH=44NH=60Dest.OptionsHeaderDest.OptionsHeaderNH=60IPv6HeaderIPv6HeaderFragmentHeaderFragmentHeaderNH=44NH=60D.Opt.Hdr.D.Opt.Hdr.Dest.OptionsHeaderDest.OptionsHeaderICMPv6RouterAdvertisementICMPv6RouterAdvertisementNH=58IPv6HeaderIPv6HeaderDestinationOptionsHeaderDestinationOptionsHeaderNH=60NH=60Dest.OptionsHeaderDest.OptionsHeaderICMPv6RouterAdvertisementICMPv6Router