应对方式:
- 安全邻居发现(SEND)[7]协议是邻居发现协议中的一个安全扩展,其工作原理为使网络中每个IPv6节点都有一对公私钥以及多个邻居扩展选项。采用SEND协议后,各个节点的接口标识符(IPv6地址低64比特)将基于当前的IPv6网络前缀与公钥进行计算产生,而不能由各个节点自行选择。安全邻居发现协议通过时间戳和Nonce选项抵御重放攻击,并引入了CGA(密码生成地址)与RSA签名对数据源进行验证以解决邻居请求/邻居通告欺骗的问题。SEND虽然可以解决一定的安全问题,但目前系统与设备对SEND的支持十分有限。
- RFC7113提出了IPv6安全RA方案RA-Guard[8],其通过阻断非信任端口RA报文转发来避免恶意RA可能带来的威胁,在攻击包实际到达目标节点之前阻塞二层设备上的攻击数据包。
- 使用访问控制列表或空路由过滤对地址空间中未分配的部分的访问,用以防止攻击者迫使路由解析未使用的地址。
(3) DHCPv6
安全威胁:
- 地址池耗尽攻击:攻击者可以伪装为大量的DHCPv6客户端,向DHCPv6服务器请求大量的IPv6地址,耗光IPv6地址池。
- 拒绝服务攻击:攻击者可向DHCPv6服务器发送大量的SOLICIT消息,强制服务器在一定时间内维持一个状态,致使服务器CPU与文件系统产生巨大负担,直至无法正常工作。
- 伪造DHCPv6服务器:攻击者可伪造成DHCPv6服务器向目标客户端发送伪造的ADVERTISE与REPLY报文,在伪造报文中携带虚假的默认网关、DNS服务器等信息,以此实现重定向攻击。
应对方式:
- 对客户端所有发送到FF02::1:2(所有DHCPv6中继代理与服务器)和FF05::1:3(所有DHCPv6服务器)的消息数量进行速率限制。
- DHCPv6中内置了认证机制,认证机制中的RKAP协议[9]可以对伪造DHCPv6服务器的攻击行为提供防范。
三、 IPv6 对安全硬件的影响
1. 防火墙
(1)IPv6报头的影响
针对IPv6报文,防火墙必须对IPv6基本报头与所有的扩展首部进行解析,才能获取传输层与应用层的信息,从而确定当前数据报是否应该被允许通过或是被丢弃。由于过滤策略相比IPv4更加复杂,在一定程度上将加剧防火墙的负担,影响防火墙的性能。
(2) IPSec的影响
如若在IPv6数据包中启用加密选项,负载数据将进行加密处理,由于包过滤型防火墙无法对负载数据进行解密,无法获取TCP与UDP端口号,因此包过滤型防火墙无法判断是否可以将当前数据包放行。
由于地址转换技术(NAT)和IPSec在功能上不匹配,因此很难穿越地址转换型防火墙利用IPSec进行通信。
2. IDS&IPS
面对IPv6数据包,倘若启用了加密选项,IDS与IPS则无法对加密数据进行提取与分析,无法通过报文分析获取TCP、UDP信息,进而无法对网络层进行全面的安全防护。即便只允许流量启用AH认证报头,但认证报头内部具有可变长度字段ICV,因此检测引擎并不能准确地定位开始内容检查的位置。
四、 过渡技术的安全性
1. 双栈技术
倘若双栈主机不具备IPv6网络下的安全防护,而攻击者与双栈主机存在邻接关系时,则可以通过包含IPv6前缀的路由通告应答的方式激活双栈主机的IPv6地址的初始化,进而实施攻击。
2. 隧道技术
(1) 隧道注入
攻击者可通过伪造外部IPv4与内部IPv6地址伪装成合法用户向隧道中注入流量。
(2) 隧道嗅探
位于隧道IPv4路径上的攻击者可以嗅探IPv6隧道数据包,并读取数据包内容。
3. 翻译技术
利用翻译技术实现IPv4-IPv6网络互联互通时,需要对报文的IP层及传输层的相关信息进行改动,因此可能会对端到端的安全产生影响,导致IPSec的三层安全隧道在翻译设备处出现断点。
翻译设备作为网络互通的关键节点,是DDoS攻击的主要攻击目标。同时,翻译设备还可能遭遇地址池耗尽攻击,若IPv6攻击者向IPv4服务器发送互通请求,但每条请求都具有不同的IPv6地址,则每条请求都将消耗一个地址池中的IPv4地址,当出现大量该类请求时,便会将地址池耗尽,使得翻译设备不再接受进一步的请求。
五、 参考文献
- [1]Kaufman C,Hoffman P, RFC7296: Internet Key Exchange Protocol Version 2(IKEv2)[EB/OL], https://tools.ietf.org/html/rfc7296,2014.
- [2]Deering S, Hinden R, RFC8200: Internet Protocol, Version 6 (IPv6) Specification[EB/OL], https://tools.ietf.org/html/rfc8200,2017.
- [3]Le Faucheur F, RFC6398: IP Router Alert Considerations and Usage [EB/OL], https://tools.ietf.org/html/rfc6398,2011.
- [4]Patel A, Leung K RFC4283: Mobile Node Identifier Option for Mobile IPv6 (MIPv6)[EB/OL], https://tools.ietf.org/html/rfc4283,2005.
- [5]Abley J, Savola P, RFC5095: Deprecation of Type 0 Routing Headers in IPv6 [EB/OL], https://tools.ietf.org/html/rfc5095,2007.
- [6]Davies E, Mohacsi J, RFC4890: Recommendations for Filtering ICMPv6 Messages inFirewalls [EB/OL], https://tools.ietf.org/html/rfc4890,2007.
- [7]Arkko J, Kempf J, Zill B, Nikander P,RFC3971: SEcure Neighbor Discovery (SEND) [EB/OL], https://tools.ietf.org/html/rfc3971,2005.
(编辑:衡阳站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|