启明星辰叶润国-IPv4-IPV6过渡中的安全

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

IPv4/IPv6过渡中的安全核心研究院叶润国(青山)2013-01-18提纲IPv4-IPv6网络过渡背景IPv6协议特有安全问题IPv4-IPv6过渡机制简介IPv4/IPv6过渡安全问题IPv6对网络安全产品影响IPv4存在的问题•IP地址严重不足(32位)–基本分配完毕–NAT能缓解地址消耗速度,但带来很多问题•IPv4设计时并没有考虑安全问题–协议设计安全•拒绝服务攻击(smarfattack)•假冒攻击(ARP欺骗)–协议实现安全•缓冲区溢出•缺乏对QoS的有效支持(Flowtuple/ToS)–intServ和DiffServ服务IPv6比较优势与IPv4相比,IPv6具有以下特点:•近乎无限的地址空间(128位)•更简洁的报文头部(基本报头加扩展报头)•内置的安全性(IPSec支持)•更好的QoS支持(流标签)•更好的移动性(MobileIPv6)……IPv4与IPv6功能上的比较•IPV4和IPv6在很多功能上相似IPv4IPv6Addressing32bits128bitsAddressresolutionARPICMPv6NS/NA(+MLD)Auto-configurationDHCP&ICMPRS/RAICMPv6RS/RA&DHCPv6(optional)(+MLD)FaultIsolationICMPv4ICMPv6IPsecsupportOptionalMandatory(tooptional)FragmentationBothinhostsandroutersOnlyinhosts6IPv4和IPv6协议兼容性RemovedChanged向IPv6过渡的必要性•IPv4和IPv6协议完全不兼容性,意味着过渡不是一个简单问题;•现有IPv4互联网规模非常大,过渡不可能一夜之间完成,是一个渐进和长期过程•IPv4和IPv6将在很长一段时间内共存,直到IPv6完全取代IPv4•IPv6在设计时就考虑了如何将现有IPv4过渡到IPV6的问题–过渡场景的考虑(v6ops)–过渡机制的设计(ngtrans)IPv6网络部署进程•循序渐进,降低成本IPv6孤岛IPv6孤岛IPv4Internet协议转换IPv6孤岛IPv6孤岛IPv6InternetIPv6InternetIPv4孤岛IPv4孤岛IPv4InternetIPv6孤岛IPv4/IPv6过渡中的安全IPv4IPv6IPv6协议特有安全安全考虑IPv6对传统安全体系影响IPv4/IPv6过渡安全各种安全威胁汇总内部网络信息资产内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫拒绝服务攻击原理mbehringISPCPEInternetZombie(僵尸)发现漏洞取得用户权取得控制权植入木马清除痕迹留后门做好攻击准备Hacker(黑客)攻击来自于众多来源,发出不计其数的IP数据包攻击的众多来源来自不同的地理位置会过渡地利用网络资源拒绝合法用户访问在线资源洪水般的攻击包堵塞住企业与互联网的全部连接终端客户的内部设备都不能有效抵御这种攻击DDOS攻击是黑客利用攻击软件通过许多台“肉鸡”同时展开拒绝服务攻击,规模更大,危害更大MasterServerIPv6协议特有安全问题探讨对IPv6安全的争议IPv6网络关注的安全领域•IPv6安全涉及到以下领域–系统安全–提供节点级别的安全保护。这涉及到主机防火墙、操作系统漏洞、以及节点威胁模型的构建.–网络安全–提供网络级别的安全保护。涉及到安全网关(路由器ACL,包过滤防火墙和代理),入侵检测防御系统。–应用安全–提供应用级别的安全保护。需要理解网络应用威胁模型(包括客户端和服务器端)。–过渡安全–这涉及到和双协议栈、隧道机制和协议翻译机制相关的安全问题。IPv6安全现状•培训和经验方面–当前,很多安全专家都深入了解IPv4协议和相关的安全问题,但是,大多数人都对新的IPv6协议没有多少知识和实践经验,更没有时间去考虑和IPV4相比其安全差别在哪里。•当前的IPv6应用、操作系统和网络都缺少被黑客攻击的考验。他们都还没有像IPV4那样久经黑客攻击,从而使得安全专家不知道真正的脆弱点在哪里。•黑客方面–很多黑客有多年的IPV6学习经验。他们知道在IPV6环境下哪些攻击不再有效(比如ARP攻击),以及IPv6的引入会带来哪些新的攻击(ND欺骗)。•大多数现有的网络安全产品和工具并不完全支持IPv6,存在IPv6监控死角。IPv4/IPv6安全方面相似性•在网络威胁和防御方法方面,IPv6和IPv4相似–认证方面–在IPv6环境中,用户名/密码认证仍然是不安全的,需要采用基于证书的强认证机制。–私密方面–IPv6环境中,未加密网络流量仍然可以被窃听(Wireshark全面支持IPv6),SSL/TLS在IPv6环境下同样具有优势和劣势。好的消息是,由于IPV6具有端到端特性,因此,Ipsec安全将比IPV4环境中工作的更好(没有NAT)–网络方面–IPv6网络仍然可能遭受到拒绝服务攻击,仍然需要采取措施来防御DDoS。–DNS方面,DNS仍然可能被攻击(除非采用DNSSEC进行保护).DNSSEC可以确保DNS的安全。–应用方面–缓冲区溢出等攻击在IPV6环境中依然存在。没有DPI能力的简单包过滤机制仍然可能被欺骗。Web应用仍然可能遭受Web安全攻击(SQL注入、XSS攻击)。–补丁方面-操作系统和应用程序仍然需要及时的打补丁。IPv6相关漏洞统计02468101214161820200120022003200420052006200720082009201020112012漏洞数量漏洞数量IPv6与IPv4安全不同方面•地址解析方面–IPv6不再采用ARP协议(L2层).IPV6采用邻居发现协议(L3层)来解析MAC地址,因此,ARP攻击不再有效,但ND面临很多安全问题,需要采取技术来解决。•碎片攻击方面–IPV6环境更容易检测出,因为,在IPv6环境中,只有源端点可以进行报文分片,中间节点不允许执行报文分片,且要求关键信息必须出现在第一碎片报文中。•NAT问题–IPV6环境中将不再存在NAT,NAT并不能提升网络安全(NAT穿越技术可以将NAT后的主机直连到IPV6网络),NAT反而增加了攻击溯源难度。•报头方面–IPv4环境中只有一个IP头,而在IPv6中,可以存在一个基本IP头和很多扩展头。黑客可能利用扩展头来躲避各种安全过滤机制(RA-GuardEvasion)。•IPSec方面–由于不再有NAT,IPsec(AH&ESP)工作得更好,IKE变得越来越成熟,密钥协商完全自动化,可挫败窃听攻击。IPv6特有的具体安全问题IP报头涉及的安全问题地址解析方面的安全问题自动地址配置方面安全问题IPSec网络安全方面安全问题DNS域名解析方面安全问题IP报头涉及的安全问题•IPv6协议中,存在一个基础报头和很多扩展报头,扩展报头可以无限多•无限制的扩展报头将增加包过滤设备的处理复杂度–导致安全设备被DDoS攻击–攻击者可以躲避攻击检测•如果IPv6报头中的FLOWID字段可预测,则可能导致IPv6IDLESCAN攻击IPv6IdleScanOpenportClosedport22地址自动配置方面的安全问题RS报文RA报文地址自动配置过程主机生成64位接口标识ID主机发送RouterSolicitation报文路由器回应RouterAdvertisement报文主机获得前缀及其它参数,和接口标识合并得到IPv6地址其实路由器会周期性地向外发送RA报文地址自动配置方面安全问题主机标识生成方面安全问题RA消息伪造导致的安全问题1::1/64SLAAC接口ID生成安全问题•最初IPv6规范(RFC2460)规定采用EUI-64算法生成接口标识•EUI-64基于MAC地址生成接口标识,最终用来生成全局IPv6地址•一般情况下MAC地址信息仅局限于局域网内,EUI-64使得MAC暴露到公网上,会导致很多安全问题–当你下载盗版电影,或者攻击别人,很容易根据IPv6地址中的MAC信息定位到你–任何人可以根据MAC信息对网络上的事件进行分类,导致隐私暴露•解决方案–采用随机生成的接口标识–采用CGA算法生成接口标识自动配置中的RS/RA安全问题•IPv6中有两种IP地址自动配置方案:–无状态:SLAAC(StatelessAddressAuto-Configuration),采用ICMPv6中的路由请求和路由宣告消息–有状态:DHCPv6,类似于IPv4•SLAAC是强制性实现的,DHCPv6是可选实现项•在SLAAC时,RA路由宣告消息中包含如下信息:–IPv6prefixes–IPv6routes–其它配置参数(HopLimit,MTU)–DNS服务器信息•但是,RA消息很容易被伪造,从而导致拒绝服务攻击和中间人攻击。自动配置中的RS/RA欺骗过程•主动发送伪造的RA消息•响应式发送伪造RA消息RS报文1::1/64•IPv6prefixe•IPv6route•HopLimit,MTU•DNSServerHostRouterRA报文RA保护方案:RA-Guard•RFC6105:在L2硬件设备上通过设置基于port或者SRCIP的过滤规则,来禁止未授权主机发送RA消息。(Cisco交换机)•但是,RA-Guard很容易被绕过•被绕过问题分析在RA消息中,可以使用IPv6扩展头(特别是分片报头)。因此,导致网络报文结构复杂,使得很多包过滤设备无法正常工作。IPv6HeaderIPv6HeaderDestinationOptionsHeaderDestinationOptionsHeaderICMPv6RouterAdvertisementICMPv6RouterAdvertisementNH=60NH=5828可用于RA-Guard绕过的扩展报头•IPv6扩展报头实现了一些IP层的可选功能,扩展报头位于上层封装和IPv6基本报头之间•主要的扩展报头:–Hop-by-HopOptionsheader–DestinationOptionsheader–Routingheader–Fragmentheader–Authenticationheader–EncapsulatingSecurityPayloadheaderRA-Gurad机制被绕过原因•在RA消息中,可以使用IPv6扩展头(特别是分片报头),因此,导致网络报文结构复杂,使得很多包过滤设备无法正常工作。OriginalPacketFirstFragmentSecondFragmentIPv6HeaderIPv6HeaderFragmentHeaderFragmentHeaderNH=44NH=60Dest.OptionsHeaderDest.OptionsHeaderNH=60IPv6HeaderIPv6HeaderFragmentHeaderFragmentHeaderNH=44NH=60D.Opt.Hdr.D.Opt.Hdr.Dest.OptionsHeaderDest.OptionsHeaderICMPv6RouterAdvertisementICMPv6RouterAdvertisementNH=58IPv6HeaderIPv6HeaderDestinationOptionsHeaderDestinationOptionsHeaderNH=60NH=60Dest.OptionsHeaderDest.OptionsHeaderICMPv6RouterAdvertisementICMPv6RouterAdvertisementNH=58IPv6地址解析方面的攻击•在IPV6环境中,MAC地址的解析不再采用ARP协议(位于L2层),而是采用ICM

1 / 96
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功