美國(guó)行政管理和預(yù)算局的最新備忘錄要求,2025年前實(shí)現(xiàn)至少80%的純IPv6網(wǎng)絡(luò)升級(jí),無(wú)法升級(jí)的基礎(chǔ)設(shè)施將逐年淘汰。
部署IPv6過(guò)程中,最大的威脅就是專(zhuān)業(yè)操作知識(shí)的缺乏。IPv6作為新協(xié)議,很多實(shí)施過(guò)程中的Bug還未被發(fā)現(xiàn)和修復(fù),且很少有人具備安全運(yùn)行IPv6網(wǎng)絡(luò)所需的專(zhuān)業(yè)安全知識(shí)。
為實(shí)現(xiàn)IPv6安全,美國(guó)聯(lián)邦政府備忘錄要求確保將生產(chǎn)環(huán)境全面支持IPv6納入IT安全計(jì)劃、架構(gòu)和采購(gòu)中。
在雙棧網(wǎng)絡(luò)中,除了要考慮IPv4和IPv6共存時(shí)兩者之間交互及轉(zhuǎn)換的安全因素外,還需要考慮兩者的安全實(shí)現(xiàn)。
一、美國(guó)政府全面轉(zhuǎn)向IPv6協(xié)議
2020年11月19日,美國(guó)行政管理和預(yù)算局簽發(fā)了關(guān)于全面過(guò)渡到IPv6協(xié)議的備忘錄(M-21-07),旨在推進(jìn)聯(lián)邦機(jī)構(gòu)的IPv6全面升級(jí)。該備忘錄從基礎(chǔ)設(shè)施、采購(gòu)要求、USGv6計(jì)劃、網(wǎng)絡(luò)安全等角度介紹了聯(lián)邦政府對(duì)IPv6業(yè)務(wù)部署和使用的指導(dǎo),其戰(zhàn)略意圖是讓聯(lián)邦政府使用純IPv6(IPv6-only)提供信息服務(wù)、運(yùn)營(yíng)網(wǎng)絡(luò)和訪問(wèn)其他服務(wù)。該備忘錄特別指出,同時(shí)支持IPv4和IPv6的雙棧方案由于運(yùn)維過(guò)于復(fù)雜,長(zhǎng)遠(yuǎn)來(lái)看是不必要的路徑。
選擇純IPv6部署能夠降低復(fù)雜性和運(yùn)營(yíng)成本,現(xiàn)在看來(lái)已日趨明朗化。該備忘錄為美國(guó)聯(lián)邦政府網(wǎng)絡(luò)的純IPv6升級(jí)設(shè)置了行動(dòng)計(jì)劃和時(shí)間表,備忘錄要求2023年前實(shí)現(xiàn)至少20%的純IPv6網(wǎng)絡(luò)升級(jí),2024年前實(shí)現(xiàn)至少50%的純IPv6網(wǎng)絡(luò)升級(jí),2025年前實(shí)現(xiàn)至少80%的純IPv6網(wǎng)絡(luò)升級(jí),無(wú)法升級(jí)的基礎(chǔ)設(shè)施將逐年淘汰。
本文將闡述美國(guó)聯(lián)邦政府轉(zhuǎn)向IPv6的歷史背景、過(guò)渡的具體要求以及未來(lái)的規(guī)劃目標(biāo),以及聯(lián)邦政府對(duì)IPv6的安全要求,介紹了IPv6部署實(shí)施時(shí)可能遇到的安全問(wèn)題。
1、歷史背景
IP地址是全球唯一的數(shù)字標(biāo)識(shí)符,用于區(qū)分在互聯(lián)網(wǎng)上進(jìn)行通信的各個(gè)實(shí)體。隨著連接到互聯(lián)網(wǎng)上的用戶、設(shè)備和虛擬實(shí)體數(shù)量的不斷增加,全球?qū)P地址的需求成倍增長(zhǎng),導(dǎo)致世界上所有地區(qū)的IPv4地址消耗殆盡。隨著時(shí)間的推移,人們開(kāi)發(fā)了許多技術(shù)和經(jīng)濟(jì)上的權(quán)宜之計(jì),試圖延長(zhǎng)IPv4的使用壽命,但所有這些措施都增加了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的成本和復(fù)雜性,并為創(chuàng)新帶來(lái)了巨大的技術(shù)和經(jīng)濟(jì)阻礙。
IPv6是下一代互聯(lián)網(wǎng)協(xié)議,旨在取代自1983年以來(lái)一直使用的IPv4。人們普遍認(rèn)為,全面過(guò)渡到IPv6是確保互聯(lián)網(wǎng)技術(shù)和服務(wù)未來(lái)增長(zhǎng)和創(chuàng)新的唯一可行選擇。美國(guó)聯(lián)邦政府將擴(kuò)大和加強(qiáng)向IPv6過(guò)渡的戰(zhàn)略承諾,以適應(yīng)行業(yè)趨勢(shì)。
從2005年開(kāi)始,聯(lián)邦政府的IPv6計(jì)劃為IPv6技術(shù)的商業(yè)開(kāi)發(fā)推廣起到了重要的催化作用。2005年8月,美國(guó)行政管理和預(yù)算局發(fā)布了M-05-22《互聯(lián)網(wǎng)協(xié)議版本6(IPv6)過(guò)渡規(guī)劃》,要求各機(jī)構(gòu)在2008年6月30日前在其骨干網(wǎng)上啟用IPv6,該政策概述了部署和采購(gòu)要求。2010年9月,行政管理和預(yù)算局發(fā)布了題為“向IPv6過(guò)渡”的備忘錄,要求聯(lián)邦機(jī)構(gòu)為公共互聯(lián)網(wǎng)服務(wù)器和與公共服務(wù)器通信的內(nèi)部應(yīng)用程序?qū)嶋H部署“原生IPv6”(指在系統(tǒng)或服務(wù)中直接支持IPv6,而無(wú)需通過(guò)IPv4進(jìn)行基本通信)。具體而言,2010年備忘錄要求各機(jī)構(gòu)在2012財(cái)政年度結(jié)束前,將面向公眾/外部的服務(wù)器和服務(wù)(如網(wǎng)絡(luò)、電子郵件、DNS、ISP服務(wù))升級(jí)為實(shí)際使用原生IPv6;并在2014財(cái)政年度結(jié)束前,將與公共互聯(lián)網(wǎng)服務(wù)器通信的內(nèi)部客戶端應(yīng)用程序和企業(yè)支撐性網(wǎng)絡(luò)升級(jí)為實(shí)際使用原生IPv6。
在過(guò)去的5年里,IPv6在產(chǎn)業(yè)界的發(fā)展勢(shì)頭急劇上升。目前,出于降低成本、降低復(fù)雜性、提高安全性和消除網(wǎng)絡(luò)信息系統(tǒng)創(chuàng)新障礙的考慮,在許多商業(yè)領(lǐng)域(例如大型網(wǎng)絡(luò)運(yùn)營(yíng)商、軟件供應(yīng)商、服務(wù)提供商、企業(yè)、國(guó)家政府和外國(guó)政府)已經(jīng)部署了大量IPv6基礎(chǔ)設(shè)施。
許多組織已經(jīng)或正計(jì)劃遷移到“純IPv6”基礎(chǔ)架構(gòu)(NIST USGv6 Profile定義了產(chǎn)品在純IPv6環(huán)境中運(yùn)行的技術(shù)要求),以減少維持兩種不同網(wǎng)絡(luò)體系帶來(lái)的運(yùn)營(yíng)問(wèn)題。對(duì)于公共互聯(lián)網(wǎng)服務(wù)來(lái)說(shuō),前端基礎(chǔ)設(shè)施可能需要保留IPv4接口和過(guò)渡機(jī)制很長(zhǎng)時(shí)間,但這并不排斥后端基礎(chǔ)設(shè)施在純IPv6環(huán)境下運(yùn)行。
2、具體要求
(1)準(zhǔn)備純IPv6基礎(chǔ)設(shè)施
美國(guó)行政管理和預(yù)算局曾發(fā)布政策,討論了各機(jī)構(gòu)在可預(yù)見(jiàn)的未來(lái)運(yùn)行雙棧(IPv4和IPv6)的前景;然而近年來(lái),這種方法顯得過(guò)于復(fù)雜、難以維持、并且沒(méi)有必要。因此,標(biāo)準(zhǔn)機(jī)構(gòu)和領(lǐng)先的技術(shù)公司開(kāi)始向純IPv6部署的方向遷移,以消除運(yùn)行兩種網(wǎng)絡(luò)協(xié)議帶來(lái)的復(fù)雜性、運(yùn)營(yíng)成本和威脅向量。
許多聯(lián)邦機(jī)構(gòu)已在面向公眾的系統(tǒng)上部署IPv6,其訪問(wèn)量已經(jīng)與IPv4相當(dāng),甚至超過(guò)了IPv4。隨著信息技術(shù)不斷向移動(dòng)平臺(tái)、物聯(lián)網(wǎng)(IOT)和無(wú)線網(wǎng)絡(luò)發(fā)展,IPv6的增長(zhǎng)將持續(xù)加速。
(2)遵循聯(lián)邦I(lǐng)Pv6采購(gòu)要求
2009年12月,聯(lián)邦采購(gòu)條例委員會(huì)發(fā)布了聯(lián)邦采購(gòu)條例的最終修訂規(guī)則,以確保未來(lái)的網(wǎng)絡(luò)信息技術(shù)采購(gòu)包含IPv6需求。該修訂案的關(guān)鍵內(nèi)容是:“除非機(jī)構(gòu)的首席信息官放棄這一要求,否則在采購(gòu)使用IP協(xié)議的信息技術(shù)時(shí),需求文檔必須包含參考USGv6 Profile(NIST特別出版物500-267)中定義的相應(yīng)技術(shù)能力,以及USGv6測(cè)試計(jì)劃中定義的相應(yīng)一致性聲明。”
這種戰(zhàn)略性的采購(gòu)方法能夠?qū)崿F(xiàn)自然的技術(shù)更新周期,以升級(jí)已安裝的聯(lián)網(wǎng)IT產(chǎn)品和服務(wù)底層,使其能夠“支持IPv6”(IPv6-capable,指系統(tǒng)或服務(wù)已經(jīng)正確地實(shí)現(xiàn)了一套完整的IPv6功能)。NIST USGv6 Profile描述了不同產(chǎn)品類(lèi)型的IPv6功能詳細(xì)技術(shù)要求。這樣做可以確保聯(lián)邦I(lǐng)T系統(tǒng)能夠發(fā)揮IPv6的技術(shù)和經(jīng)濟(jì)效益,并使聯(lián)邦首席信息官能夠在適當(dāng)?shù)臅r(shí)候最終遷移到純IPv6環(huán)境。根據(jù)現(xiàn)有的聯(lián)邦采購(gòu)條例委員會(huì)要求,各機(jī)構(gòu)應(yīng):
在購(gòu)買(mǎi)網(wǎng)絡(luò)信息技術(shù)和服務(wù)時(shí),繼續(xù)使用USGv6 Profile來(lái)確定機(jī)構(gòu)或采購(gòu)對(duì)IPv6能力的具體要求。展望未來(lái),應(yīng)明確要求硬件和軟件能夠運(yùn)行在純IPv6環(huán)境中;
持續(xù)督促潛在的供應(yīng)商通過(guò)USGv6測(cè)試計(jì)劃來(lái)證明其符合IPv6的需求描述;
在極少數(shù)情況下,如果要求證明IPv6能力會(huì)對(duì)采購(gòu)行動(dòng)造成不必要的負(fù)擔(dān),則允許機(jī)構(gòu)的首席信息官針對(duì)某些個(gè)案放棄這一要求。在這種情況下,采購(gòu)機(jī)構(gòu)應(yīng)要求供應(yīng)商提供文件,詳細(xì)說(shuō)明其產(chǎn)品納入IPv6能力的明確計(jì)劃(如時(shí)間表)。
(3)推進(jìn)USGv6計(jì)劃
為了繼續(xù)保護(hù)聯(lián)邦在IPv6技術(shù)上的投資,并確保采購(gòu)中IPv6功能的高質(zhì)量和完整性,NIST將繼續(xù)更新和擴(kuò)大USGv6計(jì)劃。NIST將繼續(xù)定期更新USGv6 Profile,以納入最新的互聯(lián)網(wǎng)工程任務(wù)組(IETF)規(guī)范相關(guān)的IPv6技術(shù)。特別強(qiáng)調(diào)的是,應(yīng)確保納入IPv6安全技術(shù)以及那些支持其他聯(lián)邦計(jì)劃所需的網(wǎng)絡(luò)功能,如物聯(lián)網(wǎng)、采用基于云共享的服務(wù)、先進(jìn)的無(wú)線通信以及軟件定義和虛擬化網(wǎng)絡(luò)。
USGv6測(cè)試計(jì)劃將繼續(xù)為商業(yè)產(chǎn)品提供政府范圍內(nèi)的一致性和一般互操作性測(cè)試。該計(jì)劃將繼續(xù)由經(jīng)認(rèn)可的外部測(cè)試實(shí)驗(yàn)室實(shí)施,并繼續(xù)與現(xiàn)有的行業(yè)主導(dǎo)的測(cè)試計(jì)劃進(jìn)行最大程度的協(xié)調(diào),以盡量減少供應(yīng)商的負(fù)擔(dān)。為避免對(duì)通用檢測(cè)要求的不必要重復(fù),各機(jī)構(gòu)應(yīng):
利用USGv6測(cè)試計(jì)劃對(duì)商業(yè)產(chǎn)品進(jìn)行基本的一致性和一般互操作性測(cè)試;
確保機(jī)構(gòu)或采購(gòu)的特定測(cè)試側(cè)重于USGv6測(cè)試計(jì)劃中未涉及的特定系統(tǒng)集成、性能和信息保障測(cè)試。
(4)不同政府機(jī)構(gòu)的責(zé)任
以下機(jī)構(gòu)牽頭在整個(gè)政府范圍內(nèi)支持向IPv6過(guò)渡的工作。
商務(wù)部:
繼續(xù)加強(qiáng)和維護(hù)USGv6 Profile和測(cè)試計(jì)劃;
與國(guó)土安全部合作,為整個(gè)聯(lián)邦信息技術(shù)基礎(chǔ)設(shè)施采用IPv6制定增強(qiáng)性安全指南。
國(guó)土安全部:
與商務(wù)部合作,為整個(gè)聯(lián)邦信息技術(shù)基礎(chǔ)設(shè)施采用IPv6制定增強(qiáng)安全指南和操作指引。
加強(qiáng)相關(guān)的安全彈性程序和服務(wù)(如可信互聯(lián)網(wǎng)連接、持續(xù)診斷和處置、愛(ài)因斯坦計(jì)劃),以全面支持IPv6在所有聯(lián)邦信息技術(shù)系統(tǒng)中投入生產(chǎn)使用;
加強(qiáng)測(cè)量及報(bào)告聯(lián)邦信息系統(tǒng)內(nèi)IPv6和IPv4部署程度和使用水平的能力。
總務(wù)管理局:
確保相關(guān)的總務(wù)管理局程序和服務(wù)全面支持IPv6,并在功能和性能上與現(xiàn)有的IPv4服務(wù)持平。
確保政府范圍內(nèi)涉及IP協(xié)議的采購(gòu)合同模板包含IPv6需求;
與各機(jī)構(gòu)和企業(yè)基礎(chǔ)設(shè)施解決方案(EIS)供應(yīng)商合作,確保所有EIS網(wǎng)絡(luò)服務(wù)在部署時(shí)按照機(jī)構(gòu)IPv6實(shí)施計(jì)劃和EIS任務(wù)單的規(guī)定啟用IPv6。
聯(lián)邦首席信息官委員會(huì)以及聯(lián)邦首席采購(gòu)官委員會(huì):
協(xié)助行政管理和預(yù)算局和各機(jī)構(gòu),在必要時(shí)為IPv6的實(shí)施提供指導(dǎo)。
提供一個(gè)機(jī)構(gòu)間論壇來(lái)分享經(jīng)驗(yàn)和最佳實(shí)踐,并在適當(dāng)時(shí)機(jī)與外部合作伙伴協(xié)同努力,協(xié)助向IPv6的過(guò)渡;
酌情與工業(yè)界接觸,學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)和最佳實(shí)踐,確保產(chǎn)品和服務(wù)滿足聯(lián)邦政府的需求。
3、規(guī)劃目標(biāo)
簡(jiǎn)單、現(xiàn)代和可擴(kuò)展的網(wǎng)絡(luò)基礎(chǔ)設(shè)施可帶來(lái)技術(shù)、經(jīng)濟(jì)和安全效益。這是私營(yíng)部門(mén)向純IPv6演進(jìn)的動(dòng)力。為了跟上并利用這種網(wǎng)絡(luò)技術(shù)的演變,各機(jī)構(gòu)應(yīng):
(1)在本政策發(fā)布后45天內(nèi),指定一個(gè)全機(jī)構(gòu)范圍的IPv6綜合項(xiàng)目組(包括采購(gòu)、政策和技術(shù)成員)或其他治理結(jié)構(gòu),以有效地管理和執(zhí)行IPv6工作。
(2)在本備忘錄發(fā)布后的180天內(nèi),發(fā)布并在機(jī)構(gòu)的公開(kāi)訪問(wèn)網(wǎng)站上提供全機(jī)構(gòu)范圍的IPv6政策,要求在2023財(cái)政年度(FY)之前,所有新聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)在部署時(shí)都必須啟用IPv6(IPv6-enabled),并闡明本機(jī)構(gòu)將在所有系統(tǒng)中逐步停止使用IPv4。
(3)尋求IPv6試點(diǎn)機(jī)會(huì),在2021財(cái)年結(jié)束前至少完成一個(gè)純IPv6業(yè)務(wù)系統(tǒng)的試點(diǎn),并根據(jù)要求向行政管理和預(yù)算局報(bào)告試點(diǎn)結(jié)果。
(4)在2021財(cái)政年度結(jié)束前制定IPv6實(shí)施計(jì)劃,該計(jì)劃必須確保IPv6實(shí)施計(jì)劃與其他相關(guān)部門(mén)的現(xiàn)代化舉措相協(xié)調(diào),并要求機(jī)構(gòu)提供的所有共享服務(wù)都能提供全面的IPv6支持(包括在純IPv6模式下運(yùn)行的能力),并在功能和性能上與現(xiàn)有的IPv4服務(wù)持平。此外,酌情更新信息資源管理IRM戰(zhàn)略計(jì)劃,以升級(jí)所有聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)(以及與這些系統(tǒng)相關(guān)的IP資產(chǎn)),使其能夠完全實(shí)現(xiàn)原生IPv6運(yùn)行。該計(jì)劃應(yīng)說(shuō)明機(jī)構(gòu)的過(guò)渡過(guò)程,并包括以下里程碑和行動(dòng):
到2023財(cái)政年度末,聯(lián)邦網(wǎng)絡(luò)上至少20%啟用IP協(xié)議的資產(chǎn)在純IPv6環(huán)境中運(yùn)行。
到2024財(cái)政年度末,聯(lián)邦網(wǎng)絡(luò)上至少50%啟用IP協(xié)議的資產(chǎn)在純IPv6環(huán)境中運(yùn)行。
到2025財(cái)政年度末,聯(lián)邦網(wǎng)絡(luò)上至少80%啟用IP協(xié)議的資產(chǎn)在純IPv6的環(huán)境中運(yùn)行。
查明不能切換到IPv6的聯(lián)邦信息系統(tǒng)并說(shuō)明理由,提供更換或停用這些系統(tǒng)的時(shí)間表。
自2010年以來(lái),行政管理和預(yù)算局指南要求各機(jī)構(gòu)在一些系統(tǒng)中采購(gòu)并部署IPv6功能。我們建議各機(jī)構(gòu)在制定計(jì)劃時(shí),參考從試點(diǎn)活動(dòng)和以往生產(chǎn)部署中獲得的實(shí)際經(jīng)驗(yàn)。各機(jī)構(gòu)的計(jì)劃會(huì)隨著時(shí)間的推移而變化,因此,重要的是確定哪些系統(tǒng)已經(jīng)具備運(yùn)行IPv6的條件,并制定和實(shí)施計(jì)劃,首先在這些系統(tǒng)中啟用IPv6,然后評(píng)估將這些系統(tǒng)遷移到純IPv6環(huán)境的潛力。
(5)與外部伙伴合作,確定與聯(lián)邦信息系統(tǒng)聯(lián)網(wǎng)的系統(tǒng),并制定計(jì)劃將所有這些網(wǎng)絡(luò)接口遷移到使用IPv6。
(6)完成面向公共/外部的服務(wù)器和服務(wù)(如Web、電子郵件、DNS和ISP服務(wù))以及與公共互聯(lián)網(wǎng)通信的內(nèi)部客戶端應(yīng)用程序和企業(yè)支撐網(wǎng)絡(luò)的升級(jí),以使用原生IPv6。
二、IPv6的安全問(wèn)題與特點(diǎn)
1、 IPv6的安全問(wèn)題
RFC4942討論了在部署IPv6時(shí),以及使用相關(guān)過(guò)渡機(jī)制運(yùn)行雙棧網(wǎng)絡(luò)時(shí),需要考慮哪些安全問(wèn)題。
概括起來(lái),主要安全問(wèn)題包括三種:由于IPv6協(xié)議引起的問(wèn)題、由于過(guò)渡機(jī)制引起的問(wèn)題,以及由于IPv6部署引起的問(wèn)題。
(1)IPv6協(xié)議引起的問(wèn)題包括:
協(xié)議本身的問(wèn)題:路由頭、移動(dòng)IPv6、站點(diǎn)范圍的多播地址、ICMPv6、任播流量、地址隱私擴(kuò)展與DDoS防御、動(dòng)態(tài)DNS、擴(kuò)展頭、分片、鏈路本地地址和鄰居發(fā)現(xiàn)、安全路由通告、多路由器負(fù)載分擔(dān)等;
使用嵌入IPv4地址的IPv6地址繞過(guò)防護(hù)問(wèn)題;
端到端透明性問(wèn)題(無(wú)NAT);
將IPv6隱藏于IPv6隧道帶來(lái)的繞過(guò)安全檢查問(wèn)題。
(2)過(guò)渡機(jī)制引起的問(wèn)題包括:6to4隧道機(jī)制、自動(dòng)隧道和中繼、IPv6隧道可能會(huì)破壞IPv4網(wǎng)絡(luò)等。
(3)IPv6部署引起的問(wèn)題包括:缺乏安全保護(hù)的IPv6試運(yùn)行、DNS拒絕服務(wù)、尋址和安全路由、多播地址、ICMPv6、IPSec的傳輸模式、設(shè)備缺少相關(guān)功能、鄰居發(fā)現(xiàn)代理等。
2、IPv6安全問(wèn)題的特點(diǎn)
IPv6與IPv4并沒(méi)有太大的區(qū)別:它是無(wú)連接的網(wǎng)絡(luò)協(xié)議,使用與IPv4相同的下層服務(wù)并向上層提供相同的服務(wù)。因此,除了下文所列舉的例外,IPv6和IPv4的安全問(wèn)題和處置技術(shù)基本上大同小異。
(1)IPv6并不比IPv4更安全
因?yàn)镮Pv6是新的協(xié)議,有些人就認(rèn)為IPv6天生就比IPv4更安全。這種觀點(diǎn)大錯(cuò)特錯(cuò)。事實(shí)上,作為一個(gè)新的協(xié)議,很多實(shí)施過(guò)程中的bug還沒(méi)有被發(fā)現(xiàn)和修復(fù),而且很少有人具備安全運(yùn)行IPv6網(wǎng)絡(luò)所需的專(zhuān)業(yè)安全知識(shí)。在部署IPv6的過(guò)程中,最大的威脅就是專(zhuān)業(yè)操作知識(shí)的缺乏:因此我們需要不斷強(qiáng)調(diào)培訓(xùn)的重要性。
關(guān)于IPv6的一個(gè)安全神話是:由于其巨大的地址空間,無(wú)法通過(guò)枚舉/64子網(wǎng)中所有的IPv6地址來(lái)進(jìn)行網(wǎng)絡(luò)掃描,因此懷有惡意的人無(wú)法定位攻擊目標(biāo)。但是,[RFC5157]描述了可用來(lái)尋找網(wǎng)絡(luò)上潛在目標(biāo)的替代技術(shù),例如,枚舉區(qū)域內(nèi)所有的DNS名稱(chēng)。[HOST-SCANNING]中也給出了有關(guān)這方面的其他做法。
另一個(gè)安全神話是:由于IPv6強(qiáng)制要求所有地方使用IPsec,因此它更安全。雖然最初的IPv6規(guī)范可能暗示了這一點(diǎn),但[RFC6434]明確指出:并不強(qiáng)制性要求支持IPsec。此外,如果企業(yè)內(nèi)部的所有流量都被加密,那么不僅是惡意軟件,那些依靠檢測(cè)有效載荷的安全工具(入侵防御系統(tǒng)(IPS)、防火墻、訪問(wèn)控制列表(ACL)、IP流信息導(dǎo)出(IPFIX)([RFC7011]和[RFC7012])等)都會(huì)受到影響。因此,IPv6中的IPsec與在IPv4中一樣有用(例如,用于在非可信網(wǎng)絡(luò)上建立VPN通道,或?yàn)槟承┨囟☉?yīng)用預(yù)留)。
最后一個(gè)安全神話是:因?yàn)椴辉儆袕V播,因此在IPv6中不存在放大攻擊(如[SMURF])。這種說(shuō)法也是不準(zhǔn)確的,因?yàn)槁酚善骱椭鳈C(jī)在轉(zhuǎn)發(fā)或接收組播消息時(shí),會(huì)產(chǎn)生ICMP錯(cuò)誤(在某些情況下)或信息消息(見(jiàn)[RFC4443]的2.4節(jié))。因此,必須像IPv4一樣限制ICMPv6報(bào)文的生成和轉(zhuǎn)發(fā)速率。
需要注意的是,在雙棧網(wǎng)絡(luò)中,除了要考慮IPv4和IPv6共存時(shí)兩者之間交互及轉(zhuǎn)換的安全因素外,還需要考慮兩者的安全實(shí)現(xiàn)。
(2)IPv6和IPv4安全的相似之處
如前所述,IPv6與IPv4十分相似,因此,有幾種攻擊同時(shí)適用于這兩個(gè)協(xié)議族,包括:
應(yīng)用層攻擊:如跨站腳本或SQL注入。
流氓設(shè)備:如流氓Wi-Fi接入點(diǎn)。
泛洪和所有基于流量的拒絕服務(wù):包括對(duì)IPv6流量使用控制平面策略(見(jiàn)[RFC6192])。
舉例來(lái)說(shuō),IPv6的唯一本地地址(ULA)[RFC4193]和IPv4的私有地址 [RFC1918]類(lèi)似,它們并不能像“魔法”一樣提供安全性。使用這兩種地址時(shí),邊緣路由器必須采用嚴(yán)格的過(guò)濾器來(lái)阻止這些私有地址進(jìn)入網(wǎng)絡(luò),同時(shí)也要阻止它們離開(kāi)網(wǎng)絡(luò)。這種過(guò)濾可以由企業(yè)來(lái)完成,也可以由ISP來(lái)完成,但謹(jǐn)慎的管理員會(huì)傾向于在自己的企業(yè)中完成。
(3)IPv6的特定安全問(wèn)題
即使IPv6與IPv4類(lèi)似,也存在一些差異會(huì)使IPv6產(chǎn)生特有的漏洞或問(wèn)題。在本節(jié)中,我們將舉例說(shuō)明這些差異。
隱私擴(kuò)展地址使安全人員或網(wǎng)絡(luò)運(yùn)營(yíng)商想要追溯到其網(wǎng)絡(luò)中的主機(jī)日志記錄時(shí),很難跟蹤審計(jì)線索。隱私擴(kuò)展地址[RFC4941]通常用于保護(hù)個(gè)人隱私,通過(guò)定期改變IPv6地址中的接口標(biāo)識(shí)符部分,以避免由于64位擴(kuò)展唯一標(biāo)識(shí)符EUI-64(基于媒體訪問(wèn)控制MAC地址)保持不變而導(dǎo)致主機(jī)被追蹤。雖然在互聯(lián)網(wǎng)上這是算得上是優(yōu)點(diǎn),但它也使安全人員或網(wǎng)絡(luò)運(yùn)營(yíng)商想要追溯到其網(wǎng)絡(luò)中的主機(jī)日志記錄時(shí),很難跟蹤審計(jì)線索(即使前綴部分保持不變):因?yàn)楫?dāng)跟蹤完成時(shí),搜索到的IPv6地址可能已經(jīng)從網(wǎng)絡(luò)中消失了。因此,使用隱私擴(kuò)展地址通常需要對(duì)IPv6地址與MAC地址的綁定進(jìn)行額外的監(jiān)控和記錄(也可參見(jiàn)[IPv6-SECURITY]第2.5節(jié)中的監(jiān)控部分)。為提供地址問(wèn)責(zé)制,早期一些企業(yè)化部署采用了從交換機(jī)和路由器設(shè)備收集IP/MAC地址映射的方法。盡管可能需要收集比同樣規(guī)模的IPv4網(wǎng)絡(luò)更多的地址數(shù)據(jù),但這種方法也被證明卓有成效。另一種方法是通過(guò)強(qiáng)制使用DHCPv6來(lái)防止隱私擴(kuò)展地址,這樣主機(jī)只能獲得DHCPv6服務(wù)器分配的地址。這可以通過(guò)配置路由器(在RA中設(shè)置M位,搭配包含所有通告的前綴且不設(shè)置A位)來(lái)實(shí)現(xiàn)(防止使用無(wú)狀態(tài)自動(dòng)配置)。當(dāng)然,這種技術(shù)要求所有主機(jī)都支持有狀態(tài)的DHCPv6。需要注意的是,并不是所有的操作系統(tǒng)在處理帶有M位集合的RA時(shí)都表現(xiàn)出相同的行為。由于鄰居發(fā)現(xiàn)協(xié)議(NDP)中缺乏相關(guān)對(duì)A、M和O位的規(guī)范性定義,因此不同的操作系統(tǒng)行為各異。[DHCPv6-SLAAC-PROBLEM]對(duì)M位和DHCPv6的交互作用進(jìn)行了更詳細(xì)的分析。
擴(kuò)展頭使ACL等無(wú)狀態(tài)數(shù)據(jù)包過(guò)濾器的任務(wù)復(fù)雜化。如果使用ACL來(lái)執(zhí)行安全策略,那么企業(yè)必須驗(yàn)證其ACL(也包括有狀態(tài)的防火墻)是否能夠處理擴(kuò)展頭(這意味著為了找到上層的有效負(fù)載,需要完全理解協(xié)議并解析擴(kuò)展頭),并阻止不需要的擴(kuò)展頭(例如,實(shí)現(xiàn)[RFC5095])。這個(gè)話題在[RFC7045]中有深入討論。
分片可能導(dǎo)致包過(guò)大“消不能過(guò)濾,并用來(lái)逃避某些安全機(jī)制。分片在IPv6中有所不同,因?yàn)樗挥稍粗鳈C(jī)完成,而不發(fā)生在轉(zhuǎn)發(fā)操作期間。這意味著必須允許ICMPv6的”包過(guò)大“消息通過(guò)網(wǎng)絡(luò),而不能過(guò)濾[RFC4890]。分片也可以用來(lái)逃避一些安全機(jī)制,如RA-Guard[RFC6105]。另見(jiàn)[RFC5722]和[RFC7113]。
IPv6引入的NDP同樣缺乏安全性。 IPv4和IPv6之間最大的區(qū)別之一是后者引入了NDP[RFC4861],包括各種重要的IPv6協(xié)議功能,包括IPv4中由地址解析協(xié)議(ARP)[RFC0826]提供的功能。NDP在ICMPv6上運(yùn)行(如上所述,這意味著安全策略必須允許某些ICMPv6報(bào)文通過(guò),如RFC 4890所述),但與ARP等一樣缺乏安全性,因?yàn)槿狈?nèi)置的報(bào)文驗(yàn)證。雖然已經(jīng)定義了安全鄰居發(fā)現(xiàn)(SEND)[RFC3971]和加密生成地址(CGA)[RFC3972],但它們并沒(méi)有被廣泛實(shí)現(xiàn)。NDP套件中RA的威脅模型與DHCPv4(和DHCPv6)的威脅模型類(lèi)似,因此惡意主機(jī)可以是惡意路由器或惡意DHCP服務(wù)器。在邊緣交換機(jī)中借助DHCPv4 snooping技術(shù)可以使IPv4網(wǎng)絡(luò)更加安全,同樣RA snooping也可以提高IPv6網(wǎng)絡(luò)的安全性(在純IPv4網(wǎng)絡(luò)中亦是如此)。因此,對(duì)IPv4使用此類(lèi)技術(shù)的企業(yè)應(yīng)該對(duì)IPv6使用等效的技術(shù),包括RA-Guard[RFC6105]和源地址驗(yàn)證改進(jìn)(SAVI)工作組的所有正在進(jìn)行的工作(例如[RFC6959]),帶來(lái)的保護(hù)效果類(lèi)似于IPv4中的動(dòng)態(tài)ARP監(jiān)控。其他拒絕服務(wù)漏洞與NDP緩存耗盡有關(guān),處置技術(shù)可以在([RFC6583])中找到。
如前所述,運(yùn)行雙棧網(wǎng)絡(luò)會(huì)使攻擊風(fēng)險(xiǎn)加倍,因?yàn)閻阂庹攥F(xiàn)在有兩個(gè)攻擊載體:IPv4和IPv6。這意味著,所有在雙棧環(huán)境中運(yùn)行的路由器和主機(jī),如果啟用了兩個(gè)協(xié)議族(即使是默認(rèn)設(shè)定),則必須為兩個(gè)協(xié)議版本制定一致的安全策略。例如:所有Web服務(wù)器開(kāi)放TCP 80和443端口,并拒絕其他端口的連接,這一點(diǎn)必須在IPv4和IPv6中同時(shí)實(shí)現(xiàn)。因此,管理員使用的工具需要支持這種操作。
三、部署IPv6的安全策略
顯然,IPv6網(wǎng)絡(luò)應(yīng)該以安全的方式部署。關(guān)于IPv6安全部署,除了聯(lián)邦指南之外,還有詳細(xì)的行業(yè)指南和最佳實(shí)踐文檔。關(guān)于如何保障IPv6安全的知識(shí)庫(kù)已經(jīng)非常成熟,但人們往往忽略了IPv6可以更有效地實(shí)現(xiàn)整體安全。例如,那些使用IPv6尋址(這與網(wǎng)絡(luò)安全架構(gòu)密切相關(guān))的組織發(fā)現(xiàn),他們的安全配置復(fù)雜度顯著降低。
RFC7381討論了IPv6部署時(shí)應(yīng)采取的安全策略。業(yè)界在IPv4的網(wǎng)絡(luò)安全方面已經(jīng)頗有心得,網(wǎng)絡(luò)運(yùn)營(yíng)商在部署IPv6時(shí),應(yīng)該充分利用這些知識(shí)和經(jīng)驗(yàn)。
為了幫助聯(lián)邦政府獲得這些安全效益,各機(jī)構(gòu)應(yīng):
確保將生產(chǎn)環(huán)境全面支持IPv6納入IT安全計(jì)劃、架構(gòu)和采購(gòu)中。
確保所有支撐網(wǎng)絡(luò)運(yùn)行或企業(yè)安全服務(wù)的系統(tǒng)(如身份和訪問(wèn)管理系統(tǒng)、防火墻和入侵檢測(cè)/保護(hù)系統(tǒng)、終端安全系統(tǒng)、安全事件管理系統(tǒng)、訪問(wèn)控制和政策執(zhí)行系統(tǒng)、威脅情報(bào)和聲譽(yù)系統(tǒng))都支持IPv6,并能在純IPv6環(huán)境中運(yùn)行。
酌情遵循相應(yīng)的聯(lián)邦指南,并充分利用行業(yè)最佳實(shí)踐,確保IPv6網(wǎng)絡(luò)的安全部署和運(yùn)行。
確保所有安全和隱私政策評(píng)估、授權(quán)和監(jiān)測(cè)程序能夠充分解決聯(lián)邦信息系統(tǒng)中IPv6的生產(chǎn)使用問(wèn)題。