国家网络空间安全发展创新中心郭毅:IPv6协议栈脆弱性分析
国家网络空间安全发展创新中心 郭毅
在2018 ISC互联网安全大会——IPv6规模化部署与安全论坛上,国家网络空间安全发展创新中心郭毅发表题为《IPv6协议栈脆弱性分析》的演讲,他从IPv6相较于IPv4的主要改变出发,并在此基础上分析了这些改变可能带来的新的脆弱性。
IPv6较于IPv4的改变
IPv6较于IPv4的改变主要表现在四个方面:
第一,IPv6编址发生改变。由过去的32位增加到128位,极大扩展了IP地址空间,可以不受限制地获取IPv6地址。
第二,报头格式发生改变。IPv6简化基本报头,扩展报头也更为灵活。可选项被统一移到扩展报头,附加在目的IP地址字段后面,可以有0个或者多个扩展报头。中间路由器不必处理每一个选项,提高了处理数据报文的速度,也提高了转发性能。
第三,ICMPv6协议。该协议具备ICMPv4的常见功能,如提供发送和转发中的错误报告,以及用于故障分析的简单回送服务,废除不再使用的过时消息类型。协议综合了原有IPv4中分属不同协议的功能,多播侦听发现(MLD),取代IPv4中的IGMP协议,管理组播组成员。
第四,ND(邻居发现)机制。组合并改进了原有功能,工作在网络层,任何网络媒介都可以运行相同的邻居发现。
IPv6协议栈的脆弱性
IPv6协议栈脆弱性首先是非IPv6特有的安全威胁,包括:(1)应用层协议或服务导致的漏洞在网络层无法消除;(2)利用嗅探工具实施网络嗅探,可能导致信息泄露;(3)设备仿冒接入网络;(4)未实施双向认证情况下,可实施中间人攻击;(5)洪泛攻击。
其次,IPv6的特性带来新脆弱性,包括双栈环境、IPv6编址、扩展报头、ICMPv6、ND机制、协议具体实现相关等脆弱性。
扩展报头相关脆弱性问题比较多:第一个就是安全控制规避,在RFC规范中,同一个包中若有多于一个扩展选项时,建议以如下顺序排列:基本报头、HBH逐跳选项、DH目的选项、RH路由报头、FH分段报头、AH认证报头、ESP封装安全荷载报头。要求HBH须紧跟基本报头,且中间节点必须处理;第二个是处理要求带来的拒绝服务;第三个是实现错误引起的拒绝服务。
IPv6网络安全防护建议
第一,熟悉IPv6网络知识及IPv6特有安全威胁。人是网络安全最重要的环节,通过对安全人员的培训和教育,使其尽快掌握IPv6环境下安全威胁与防护技能,增强对新环境安全问题的处置能力;
第二,重视各类IPv6协议栈的漏洞挖掘与修补。漏洞挖掘是加快IPv6漏洞发现的重要手段,鼓励安全企业和个人提交与IPv6协议栈相关漏洞,使得IPv6协议栈能够尽快得到修补和完善;
第三,IPv6网络安全防护产品开发优化与防护策略。推进现有安全设备在IPv6环境中的兼容和落地,避免出现运行在IPv6下的业务系统缺少必要的安全防护措施的局面。
(本文刊登于《中国教育网络》10月刊,本文根据郭毅在2018 ISC互联网安全大会上的发言整理而成,整理:杨洁)