IPv6全面部署已初有成效,同时安全相关问题也开始凸显,那么有关IPv6的安全合规将会是怎样的,我们不妨大胆去设想一下。本文会分别从政策层面、技术层面、 *** 安全层面进行讨论,主要出发点是企业合规设想,旨在给大家做一个参考。
随着各国 *** 发展战略的出台,IPv6 进入快速发展阶段。2017 年 11 月中国 *** 中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,提出用五至十年时间,形成下一代互联网自主技术体系和产业生态,建成全球更大规模的?IPv6 商业应用 *** ,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。
2020年3月,为贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》(厅字〔2017〕47号)任务要求,加快提升IPv6端到端贯通能力,持续提升IPv6活跃用户和 *** 流量规模,工信部印发《2020年IPv6端到端贯通能力提升专项行动的通知(工信部通信函〔2020〕57号)》,决定于2020年开展IPv6端到端贯通能力提升专项行动。
图1?全球各国 IPv6 部署程度(来源:Cisco,2019.10)
我国目前(截止2020年5月)IPv6部署主要集中在中央、 *** 、大型企业,覆盖率约在80%左右,IPv6活跃用户约3.18亿人,占比35%。
图2 中国?IPv6 发展情况(来源:国家IPv6发展监测平台,2020.05)
在全球大力发展IPv6的同时,问题也开始逐渐显现,无论是监管部门还是 *** 、企事业单位,习惯了每年一次的等保和安全检查,但是在面对IPv6的合规性方面,目前可以说是一种不知所措的状态,尤其是企业方面。近期了解到,一些企业开始询问关于IPv6的合规都要关心哪些问题,监管会重点检查什么?
由于IPv6还没有相关的政策法规、条例或国标,只有行业(如广电、通信)标准,且大多针对部署和连通性测试。本文将根据已有 *** 安全相关标准(国标、法规)和IPv6政策文件(行动计划、专项行动)进行分析,梳理其中对企业的要求。
首先应明确,该行动计划由党中央、国务院牵头开展,依据《国民经济和社会发展第十三个五年规划纲要》、《国家信息化发展战略纲要》、《“十三五”国家信息化规划》制定,其效力并不弱于《网安法》的要求,因此, *** 、企事业单位应积极响应并推行。
《行动计划》有三个主要目标,五个重点工作(互联网应用、 *** 基础设施、应用基础设施、 *** 安全、关键前沿技术)。
对2018年末IPv6改造的要求。
到2020年末,新增 *** 地址不再使用IPv4;IPv6用户活跃数达到5亿,互联网用户中占比50%(目前3.2亿左右,占比35%);
2020年底以下企业需全面支持IPv6(注:排名是指用户量排名):
国内Top100商业网站及应用
市地级以上 *** 外网网站,新闻及广播电视媒体网站系统(能力覆盖85%+)
大型IDC(机架数量在3000-9999范围)
Top10 CDN(支持IPv6节点数达85%+)
Top10云平台100%的云产品
广电 *** ,5G *** 及业务,各类新增移动和固定终端
图3中国云产品IPv6支持情况(来源:国家IPv6发展监测平台,2020.05)
到2025年末,我国IPv6 *** 规模(部署率目前第十位)、用户规模(目前第二位)、流量规模位居世界之一位, *** 、应用、终端全面支持IPv6。
总结一下,从2020年5月的数据来看,目标2的完成时间可能会推迟。那么对于 *** 、企事业单位(下文统称为“组织”),结合《2020年IPv6端到端贯通能力提升专项行动的通知》中对完成指标的最新调整,需要关心的有几个方面:
由于当前缺乏可参考的法规和标准,不能确定未来监管会重点检查哪些方面以及衡量指标。但是,鉴于国家对电信、广电行业的强制性要求,可以将该行业(包括地方文件)的实施指南类文档作为参考,大概预测一下IPv6技术合规方面需要企业关注的重点。
对于IPv6的部署和升级改造目前比较顺利,而且已经解决要求的目标,但随之而来的安全问题也开始显现。由于IPv6涉及的安全问题较多,下文中将主要针对国家重点关注的安全问题和最近几年出现的安全问题。
尽管升级到IPv6 *** ,但是一些基于IPv4 *** 的安全问题依旧存在,组织还应继续予以关注并做好防护措施。
IPv6中可使用IPSec对其 *** 层的数据传输进行加密保护,但RFC6434中不再强制要求实施IPSec,因此在未启用IPSec的情况下,对数据包进行监听依旧是可行的。
IPv4 *** 中应用层可实施的攻击在IPv6 *** 下依然可行,比如SQL注入、缓冲溢出等,IDPS、病毒防护、URL过滤等应用层的防护不受 *** 层协议变化影响。
在IPv4与IPv6中,向目标主机发送大量 *** 流量依旧有效,泛洪攻击可能会造成严重的资源消耗或导致目标崩溃,DDoS防护依然关键。
在IPv4中,分片可以由发送主机和中间路由器执行,而IPv6分片只能由主机执行。这把IPv6路由器从昂贵的分组任务中解放了出来。
IPv6分片的一个重要方面是对分片的支持是通过IPv6扩展报头(特别是片报头)实现的。前规范的IPv6协议(即在[RFC8200]之前的协议允许一些非正常的分片情况,比如一个包的之一个分片不包含整个IPv6报头链(见[RFC7112])。这种非正常分片情况可能仍然遗留,被IPv6实施所允许,因此可能被用来规避IPv6安全控制。此外,由于分片支持是通过IPv6扩展报头实现的,所以扩展报头的所有通用安全考虑都适用于分片报头。
IPv6使用NDP协议替代了IPv4中的ARP协议,但由于实现原理基本一致,因此针对ARP协议的ARP欺骗、ARP泛洪等类似攻击方式在IPv6中依旧可行。
IPv4 *** 最常见的架构是内部节点使用私有IPv4地址,通过NAT设备连接到外部 *** 。作为转换IPv4地址和传输协议端口号的副作用,NAT设备最终强制执行“只允许传出通信”的过滤策略。
虽然这不是一种安全万能 *** ,但它确实在许多 *** 场景中减少了攻击面。由于IPv6 *** 不需要依赖于NAT设备,所以有时会假设IPv6节点造成更多的暴露面——也就是说,每个IPv6节点都可以从公共互联网直接访问。然而,这并不需要,通常也不应该出现这种情况。
例如,当前使用IPv4私有地址空间并通过NAT设备连接到Internet *** 。可以通过在IPv4 NAT设备所在的 *** 拓扑的同一点部署有状态的IPv6防火墙来限制IPv6主机的暴露。IPv6防火墙通常配置为“只允许对外通信”,这样IPv6过滤策略就可以与IPv4相对应。此外,IPv6主机可以使用基于主机的IPv6防火墙,“只允许外部通信”,就像许多IPv4主机对IPv4流量所做的一样。
这种IPv6 *** “架构”和包过滤策略是IETF推荐的用于IPv6互联网服务客户的家用默认设置之一。
每当一台双堆栈主机要连接到另一台主机时,它通常会使用DNS来获取目标主机域名的IPv4和IPv6地址。随后,它将尝试与该主机通信, *** 是按顺序尝试每个地址,或者并行尝试一些地址对。
通常,IPv4-only *** 上的主机不会配置IPv6全局单播地址或IPv6默认路由,因此使用IPv6的通信尝试会失败,只有IPv4才有可能成功。
大多数现代操作系统都支持IPv6,并且在默认情况下不管IPv6是否已经部署到连接节点的 *** 上都会启用这种支持。这意味着即使缺少全球IPv6连接,其仍然存在于IPv4专用 *** 中。换句话说,大多数“IPv4专用 *** ”是由双栈节点组成的,当IPv6可用时,这些节点可以很容易地利用IPv6连接。
因此,攻击者连接到本地子网可能触发IPv6 *** 配置(例如,通过发送伪造的路由器通告消息),随后执行基于IPv6的攻击,如拒绝服务(DoS)、中间人(MITM)、触发VPN流量泄漏。
因此,即使是纯IPv4的 *** ,也应该实施IPv6安全控制。这些控制可以从减轻对自动配置和地址解析机制的攻击,到执行IPv6 ACL或在二层完全阻止IPv6流量。
目前大多数 *** 还是处于双栈阶段,那么所面临的问题除了以往IPv4 *** 相关的,还要考虑IPv6所带来的问题。
IPv6 *** 中,对于安全的要求,目前还应参照等保2.0执行,对于新协议、新场景引入的问题,可根据实际情况执行防护策略。
IPv6协议栈只是为上层协议提供了一个可选的 *** 层服务。因此,双栈服务器通常在两个Internet协议上提供相同的 *** 服务。 *** 服务对于底层Internet协议不可知。
从安全的角度来看,相同的安全策略在两者的Internet协议强制执行,攻击者可以利用阻碍较少的协议进行攻击:无论是渗透 *** 服务器,还是执行拒绝服务攻击主机或 *** 。
一种最简单且普遍的安全控制是通过某种形式的防火墙设备执行包过滤策略。在IPv6信息包过滤策略方面,传统上认为其是弱于IPv4的(可能由于经验有限的IPv6协议和/或支持IPv6的 *** 安全设备有限),两个协议间的过滤策略不匹配是很常见的,但没有明确的迹象表明哪种协议策略比另一种弱。
对于大多数 *** 场景,组织针对IPv6实施的安全策略应该与IPv4实施的安全策略相同。
隧道机制可实现?IPv6 数据包在 IPv4 *** 中传输,其核心在于将IPv6 数据包封装在 IPv4 数据包中,以自动、手动等多种隧道配置方式,保障被?IPv4 *** 隔离开的局部 IPv6 *** 间相互通信。以 IPv6 to IPv4 和 IPv6 over IPv4 为例。
图4 隧道机制?(来源:信通院《IPv6 *** 安全白皮书》)
在隧道环境下,部分隧道机制仅要求隧道出入口节点对报文进行简单的封装和解封,缺乏内置认证、加密等安全功能,导致攻击者可能截取隧道报文,伪造用户地址并伪装成合法用户发起攻击。
由于IPv6的地址空间足够大,绝大多数IPv6 *** 将不会采用NAT。在 *** 使用提供商分配地址空间的情况下,ISP委派的 *** 前缀的任何更改都将导致整个 *** 的重新编号。
此外,如果 *** 中断影响了与上游 *** 提供商的连接,那么在一段较长时间内, *** 可能会无法使用之前提供商委托/租用的所有前缀。如果地址空间多为此类地址,则可能导致内部 *** 通信中断。
ULAs[RFC4193]相当于IPv6下的IPv4私有地址[RFC1918]。ULA前缀不是由ISP分配或租用的,而是由本地 *** 管理员选择的,通常不会受到重新编号事件的影响——因此需要对DNS、ACL等进行较少的更新。此外,由于它们不是由ISP租用/委托,即使 *** 中断影响了与ISP的长期连接,仍然可以使用ULAs与内部节点通信。
对于不应该从外部 *** 访问的节点,ULA前缀可能特别有效,因为:
在大多数场景中,ULAs将与全局单播地址一起配置,其中ULAs用于内部通信,而全局地址将用于与外部节点通信。
现阶段?IPv6 相关安全产品的研发应用情况来看,目前市场对?IPv6 安全产品发展的驱动效应尚未全面显现,我国?IPv6 安全产品仍处于起步发展阶段。
图5?中国?Ready Logo 设备类型统计(来源:全球IPv6测试中心,2019.10)
IPv6采用固定长度的基础IPv6报头,可选的扩展报头形成一个菊花链包结构。希望哪个系统处理这些选项可以使用不同的选项容器,这样节点就不必解析它们无需处理的选项。然而,当需要处理整个IPv6报头链以访问上层协议值(如传输协议类型、传输协议端口号等)时,IPv6包结构往往与现代路由器体系结构不相匹配。
IPv6扩展报头存在很多安全隐患:
为了减轻上述的安全影响,应该执行适当的包过滤策略。通常路由器应该更宽松的放行流量(使用列入黑名单的信息包过滤 *** ),而更接近 *** 的边缘节点(例如企业边界路由器)通常应该更保守,只允许他们预期想获得的流量(即采用白名单的信息包过滤 *** )。
一些 *** 使用扩展报头来过滤数据包,这影响了IPv6扩展报头在公共互联网上使用的可靠性[RFC7872]。普遍使用的丢弃包含扩展报头的IPv6数据包也会影响IPsec扩展报头。这样做的后果是,为了使IPsec数据包在IPv6互联网上存活,可能需要通过一些传输协议(例如TCP或UDP)来隧道IPsec流量。对于某些用例,可以使用TLS VPN等替代技术。
批量注册,批量薅羊毛,刷量,刷单,引流等需要操控大量的账号进行自动化攻击。在 *** 的攻防对抗中,动态切换IP来覆盖Web表单爆破,或者是利用工具进行MySQL,Redis,RDP等协议爆破,以及进行常见Web攻击,如SQL注入,0day/1day/Nday漏洞利用等。
图6 IPv4与IPv6地址资源
对于攻击者而言,他们会想尽一切办法,来不断降低攻击成本,提高攻击效率,自动化攻击便是其中的关键 *** 之一。对于防守方而言,他们会实施一系列防御 *** ,比如累积黑/白名单,创建情报库以及部署防御策略等,来提高攻击者的攻击成本,提高防守率。这实际上是资源的对抗,尤其是IP资源的对抗。企业应对秒拨IP技术引起重视,今早做好防护措施。
IPv6主机通常为每个 *** 接口配置不同范围和属性的多个地址。这与IPv4形成对比,在IPv4中,主机通常只为每个 *** 接口配置一个地址。随着地址数量的增加,每个地址都具有不同属性,这为提高安全性、保密性和弹性提供了能力。
然而,由于对可用地址的不当使用,这些潜在的优点通常无法实现。可能在某些场景中,这种对可用地址的不当使用将导致意外。
IPv6主机通常配置不同范围的多个地址,从链路本地到全局。一般来说,主机应该为每个应用程序使用尽可能小范围的地址。这种缩小的范围容易提供隔离,这层隔离是由地址范围本身所产生的(如Vlan)。
例如,一个只能从 *** 内部访问的文件服务器可能只想使用ULAs——IPv6中相当于IPv4私有地址。通过使用ULAs,有限地址范围本身可以作为与互联网隔离的一种手段。使用有限范围的地址并不排除或阻止使用其他 *** 防护手段,而是作为一个额外的防护。
使用有限范围的IPv6地址能带来额外的好处。例如,ULA地址块(fc00::/7)足够大,几乎任何大型或复杂 *** 都可以从ULA地址空间中构建。由于ULAs是本地管理,因此即使上游提供程序出现故障,它们也可以提供可用的地址;也就是说,即使与上游提供程序的连接丢失,且全局地址超,仍然可以使用ULAs进行本地通信。
当谈到IPv6和物联网,许多人认为IPv6是物联网释放其全部潜力的必要条件。然而,分析IPv6——特别是全局寻址和any?to?any连接——在何种程度上与物联网想结合是很重要。
无论使用或不使用全局地址空间,是否需要any to any连接(包括主动入站通信),以及它对物联网设备安全性的影响才是问题的关键。在IPv4中,未经请求的入站通信由于使用NAT会被阻断。随着NAT和 *** 过滤策略(可能)在IPv6中的消失,全局any to any通信可以提高灵活性——同时以增加攻击风险作为代价。
是否对IPv6和物联网设备实施同样的过滤策略将取决于相关设备的通信模型;是否期望外部实体轮询物联网设备,或是否期望物联网设备通知外部实体。如果是前者,物联网 *** 将需要接受入站、未经请求的通信。若是后者,传入的通信可能会被阻断,而物联网设备将能够根据需要来连接外部系统。
除了可能的物联网设备通信模式,当从外部 *** 向物联网 *** 通信是可行的,这种通信应该直接访问物联网设备,还是应该通过作为物联网和外部 *** 之间的网关 *** 来执行?显然,网关方式在安全方面可能会更好,而且在监管脆弱的物联网设备流量方面也可能处于有利地位。
物联网网关具有设备连接、协议转换、数据过滤和处理、安全、更新、管理等重要功能。物联网网关也可以作为应用程序代码平台,处理数据并成为支持边缘系统的智能部分。
有关IPv6的安全漏洞在逐渐被爆出,虽然可被利用的漏洞数量还不算多,但组织应该密切关注。截止今年6月,CVE官方统计IPv6漏洞数量以超过400个。企业以后的漏洞扫描工具应支持IPv6漏洞和资产发现功能。
图7 IPv6漏洞情况(来源:CVE,2020.06)
“好用”已经成为当前IPv6规模部署工作重点(其实,目前大多数企业的要求是“能有”,还没到“好用”)。“好用”不仅是简单的用IPv6替代IPv4,更要发挥基于IPv6+的下一代互联网创新优势实现业务创新和产业赋能。IPv6+提出的SRv6、VPN+、APN等关键技术,为简化 *** 结构、优化用户体验和提升 *** 智能化奠定了良好的基础,与5G、云网融合、工业互联网、车联网等应用对 *** 承载需求不谋而合,为进一步开展 *** 和业务创新提供了广阔的空间。因此,加强基于IPv6+的下一代互联网技术创新,发展增强型“IPv6+” *** 提升 *** 能力,从而驱动 *** 和业务融合创新,是下一步IPv6发展的必然方向。
自两办发布《行动计划》伊始,加强IPv6创新是贯穿整个IPv6规模部署的重点工作。2019年底,中央网信办、工信部等有关部门指导“IPv6规模部署专家委员会”成立了“IPv6+技术创新工作组”,工作组依托我国IPv6规模部署成果,整合IPv6相关产业链力量,从 *** 路由协议、管理自动化、智能化及安全等方向,积极开展创新研究、标准制定、测试验证和应用示范,针对下一代互联网技术的代际演进开展系列创新,促进提升我国在下一代互联网领域的国际竞争力。
《专项行动》提出了四项保障措施。企业层面,要做到“落实举措、责任主体、完成时限”三个明确,将IPv6相关任务完成情况作为年度考核重要指标,同时配合工信部做好各项部署监测工作。工信部组织有关方面,除了做好持续完善IPv6发展监测平台、开展IPv6改造各环节监测、加强对重点企业的督导等日常工作外,将组织成立IPv6 *** 改造攻坚专项协同推进工作组,重点针对CDN、云服务、 *** 质量等IPv6改造关键环节,从基础电信企业、主要互联网企业、研究机构、行业联盟等单位抽调技术骨干,集中优势力量攻坚克难,着力完成IPv6规模部署第二阶段重点任务。
来源:腾讯天幕团队
5月25号蚂蚁庄园小鸡宝宝问题,夏天给狗狗剃光毛有助于让狗狗降温吗,欢迎大家来到这里,能进来的小伙伴都有玩蚂蚁庄园的,支付宝蚂蚁庄园每天都会在小课堂更新一道题目,答对即可领取小鸡饲料180G,5月25...
本文导读目录: 1、黑客攻击网站犯了刑法第多少条? 2、14年全球有哪些网络被攻击的案例 3、全球最为严重的黑客入侵事件有哪几起? 4、为什么我的网站会被黑客攻击 5、网站被黑客攻击了...
宋威龙...
相信现在有很多的朋友们对于我想问下怎样计算个人公积金贷款额度的?都想要了解吧,那么今天小编就来给大家针对我想问下怎样计算个人公积金贷款额度的?进行一个介绍吧,希望小编介绍的内容能够为大家起到帮助哦 各...
工业是现代城市发展的主要因素。 大规模的工业建设带动原有城市的发展,使得许多传统城镇进入现代城市的行列,如上海的安亭镇,由于大众汽车厂的投资建设而成为全国著名的汽车城,浦东金桥镇随着出口加工区的开发...
5.代码审计从有输入的当地下手。 print 'response code: ' + str(r.status_code)SDK中的办法及字符串也在不断的进行改变,来逃避杀软静态特征辨认。 下...