本文介紹了ipv6的頭結構和ipv6防火牆對安全的影響。
ad:企業在廣域網(wan)中部署
ipv6,接著也會部署ipv6防火牆。本文介紹了一些由ipv6引起的安全問題,以及it專業人員在部署和運營ipv6防火牆時應該考慮的問題。
引入ipv6防火牆
大多數企業網路的第一道防線都是防火牆,它用於防禦公共網際網路攻擊,限制本地使用者的公共網際網路訪問。在企業網路部署ipv6之後,也會部署ipv6防火牆,這樣目前ipv4實施的安全策略也會在ipv6中實施。
雖然ipv6和ipv4各自提供的服務(最佳的資料報文服務)非常相似,但是這兩種協議之間存在一些細微差別,這對防火牆裝置和操作會影響很大。本文將介紹它們之間的差別,以及它們如何影響ipv6防火牆設計和操作。然後還會說明這些差別可能如何被惡意利用,以減少和消除ipv6防火牆的安全漏洞。
ipv6頭結構
ipv6的乙個主要變化是採用固定長度的協議頭,而不像ipv4那樣採用可變長度協議頭。任何必要的選擇都必須加到後續的擴充套件頭中,擴充套件頭位於固定的ipv6頭和封裝的ipv6上層協議之間。它會根據處理選項的不同系統而採用不同的擴充套件頭。例如,需要在目標主機中處理的選項會包含在乙個「目標選項」頭資訊中,而由路由器處理的選項則會包含在乙個「跳間選項」頭資訊中。理論上,這至少能夠讓路由器和主機解析、處理歸它們的選項——而ipv4則不同,處理資料報的所有節點必須解析所有的選項。
這個頭結構決定了ipv6頭資訊鏈:多個頭資訊會被依次鏈結在一起,首先是ipv6頭,最後是上層協議。每乙個擴充套件頭都包含具體的頭長度和下乙個頭鏈結的頭資訊型別。因此,任何ipv6流都會採用完整的ipv6頭資訊鏈,然後處理它需要的頭資訊。下圖是ipv6頭資訊鏈的示意圖
圖1:ipv6頭資訊鏈示例
分片頭是其中一種特殊型別的擴充套件頭,它包含了實現ipv6分片所需要的機制。與ipv4頭不同,ipv6不是將所有分片相關資訊儲存在固定的ipv6頭中,而是將這些資訊儲存在乙個可選的分片頭中。因此,執行分片的主機只需要在ipv6頭資訊鏈中插入乙個分片頭資訊,再新增需要分片的原始資料報。
ipv6防火牆對安全的影響
上述ipv6頭資訊鏈結構的靈活性優於ipv4,因為它不限制資料報可以包含的數量。然而,這種靈活性也是有代價的。
任何需要獲取上層資訊(如tcp埠號)的系統,都需要處理整個ipv6頭資訊鏈。而且,由於當前的協議標準支援任意數量的擴充套件頭,包括同一種擴充套件頭的多個例項,因此它會對防火牆等裝置造成多種影響:
防火牆需要解析多個擴充套件頭,才能夠執行深度資料報檢測(dpi),它可能會降低wan效能,引發拒絕服務(dos)攻擊,或者防火牆被繞過。
組合擴充套件頭和分片可能妨礙資料報檢測。
正如前面介紹的,由於當前的協議規範支援任意數量的擴充套件頭,包括同一種擴充套件頭型別的多個例項,因此防火牆必須能夠細緻地處理包括異常的多ipv6擴充套件頭資訊的資料報。而這可能被一些攻擊者利用,他們可能故意在資料報中加入大量的擴充套件頭,使防火牆在處理上述資料報時浪費過多資源。最終,這可能會引起防火牆效能下降,或者造成防火牆本身出現dos問題。此外,有一些效能不佳的防火牆在應用過濾策略時,可能無法處理整個ipv6頭資訊鏈,從而可能讓一些攻擊者利用擴充套件頭威脅相應的防火牆。
ipv6分片也可能被惡意利用,方法與ipv4的類似。例如,為了破壞防火牆的過濾策略,攻擊者可能會傳送一些重疊的分片,從而影響目標主機的分片重組過程。在ipv6中,這個問題更為嚴重,因為多個ipv6擴充套件頭和分片的組合可能產生一些錯誤分片,儘管它們的資料報大小是「正常的」,但是它們丟失了一些實施過濾策略通常需要的基本資訊,如tcp埠號。即,資料報的第乙個分片可能包含很多ipv6選項,以致上層協議頭可能屬於另乙個分片,而不是第乙個分片。
ipv6轉換/共存技術
ipv6轉換/共存技術還給ipv6防火牆帶來另乙個問題。大多數轉換技術都使用某種通道機制,它在一種網路協議(通常是ipv4)中封裝另一種網路層協議(通常是ipv6)。這會對防火牆的安全性造成很多影響。
首先,防火牆可能無法識別特定的轉換技術,也可能無法應用一些原生ipv6流量支援的過濾策略。例如,在使用原生ipv4或原生ipv6時,乙個**可以阻擋通向tcp埠25的資料報,但是在部署了teredo
等轉換機制後,它可能無法阻擋這些資料報。
其次,轉換技術可能會加劇上述問題,因為不僅封裝的流量可能使用組合的ipv6擴充套件頭和分片,其他向外傳送的資料報(通常是ipv4)也可能是分片的,因此這都會大大增加最終流量的複雜性。這種複雜性不僅會降低網路流量傳輸速度,更嚴重的是,它還可能影響防火牆的過濾策略。例如,防火牆可能無法處理整個頭資訊鏈,從而無法找到tcp分片(參見下圖)。下圖的示例顯示的是使用teredo的tcp/ipv6資料報的語法,說明了最終流量的複雜程度。
圖2:乙個使用teredo的tcp/ipv6資料報示例
這個資料報的結構可能會變得更複雜,例如,如果內外資料報都分片了。
可能的ipv6安全問題
顯然,為了應用ipv6資料報過濾策略,防火牆至少必須支援整個ipv6頭資訊鏈的處理。理想情況下,這些防火牆還應該支援ipv6轉換技術,這樣應用於原生ipv6流量的過濾策略可以同樣應用到轉換流量上。也就是說,防火牆應該有乙個「預設拒絕」策略,這樣防火牆就能夠阻擋您不需要的流量,如轉換流量。
對於可能利用多擴充套件頭的資源耗盡攻擊,在防火牆上限制乙個ipv6資料報支援的最大擴充套件頭數量可以解決這個問題。合理的限制是允許每乙個當前定義的擴充套件頭只出現乙個例項。然而,也可以使用「16」等其他限制值——例如,openbsd就採用這個限制值。這種限制允許合法流量,但不允許異常多數量的擴充套件頭。超過限制的資料報必須丟棄。雖然這可能會影響效能,但是能夠防止dos。
最後,規定在ipv6報文的第乙個分片中包含應用資料報過濾策略所需要的完整資料報頭資訊,能夠應付使用分片的防火牆繞行技術。也就是說,在防火牆接收到的報文第乙個分片中,如果不包含完整的上層協議頭資訊,如tcp頭,那麼這個資料報就會被丟棄。防火牆繞行技術還可以在應用過濾策略之前,通過在防火牆中重新組合分片的報文來解決。然而,對於基於網路的防火牆而言,至少這並不是一種推薦的方法,因為它可能會留下dos漏洞。
解決ipv6防火牆問題
正如本文所介紹的,ipv6防火牆面臨許多問題,但是它們可以通過合理的防火牆設計和操作解決。在購買防火牆裝置時,必須對ipv6防火牆支援仔細評估,因為不同產品的支援差別很大,支援不佳的防火牆可能會對企業網路安全造成負面影響。
IPV6與防火牆
過濾ipv6 2.1 與ipv4之間的異同 ipv6 與ipv4的標頭之間有一些的差異因此在設計過濾器的時候這需要被考慮進來。由於ipv6的封包標頭已經被簡化過了所以在這個層級做過濾變得更簡單,但在 ipv4選擇性標頭的部分,過濾器在實作的時候並沒有考慮到。因此,確定ipv6延伸標頭有無正確的被過濾...
IPv6的安全性
一提到了 ipv6 的安全性,會出現截然相反的兩種態度。支援 ipv6 的 專家 會說 ipv6 強制實現 ipsec 因此比可選實現 ipsec 的ipv4 更安全。反對的專家更是態度堅決,ipsec 同時相容於 ipv4 和ipv6 而且雖然在 ipv6 中的實現是必須的,但是否使用確實可選的。...
IPV6動態路由協議的配置
ipv6 1 單播 鏈路本地位址自動配置乙個為fe80 10 的位址 本地區域位址或站點本地位址字首為fec0 10 全球單播位址全球只有唯一的乙個位址,它的位址正數第三位永遠是1,全球單播位址開頭為2或3 位址格式 前48位本地路由選擇字首,16位子網id 相當於ipv4中的網路id 64位介面i...