第6章IPV6安全计划
如果计划在你的网络中引进一个新的网络层协议,必然会引起安全团队的重视。事实上,在你的网络中可能早已拥有了一些试图连接网络资源的IPv6寻址设备。因此,作为引进IPv6计划的重要组成部分,更新你的安全策略就非常关健了。本章主要从安全的视角来探讨IPv4和IPv6之间的差异,并突出了在更新安全策略时需要考虑的一些关键点。
6.1好消息:IP依然是IP
如同IPv4,IP6是属于OSl七层协议族中的一种网络层协议)。在一个
IPv4的网络中使用IPv6并不会对网络层的上层或下层有潜在的安全影响。IPv6本身并不比IP4更安全或更不安全,但它与IPv4不同,必须从安全的角度加以
考虑。因此,没有新的应用层、传输层、链路层或物理层漏洞被引入,也没有被消除。一般来说,以下的***类型应该继续包含在您的安全策略中:
- 物理安全性和访问。
- 未经授权的网络访问许可:通过第二层(如可扩展身份验证协议(Exensible Authentication Protocol, EAP), Radius/Diameter协议)或者第三层(DHCP或者 Spoofing)
- 应用层,传输层,链路层或物理层***。
- 中间人***
- 操作系统漏洞和***。
- 流量嗅探。
- 拒绝服务( Denial of Service,DOS)和分布式拒绝服务(Distributed DOS,DDOS)。
引入IP6不是为了改变网络流量,但可能会增加IPv6单协议主机的流入或流出流量。用户设备最终产生的IP流量由用户的行为决定。如果用户引入一个IPv6设备,新的IPv6流量必然会产生,与用户使用传统设备产生的IPv4流量代价是一样的。因此,除非在计划部署IPv6的同时恰巧重新设计主要网络(并不推荐这种做法),那么整体的IP流量模式在大多数情况下将会保特相同。
6.2坏消息:IPv6不是IPv4
尽管好的一面是,引人IPv6带来的漏洞会大部分受限于网络层;但坏消息是IPv6不同于IPv4,它具有必须被监督的独特特性,以及如果某些设置未被关闭,则必须详细审查。首先,IPv6不是一项新技术,大规模的P6部署却还没有实现。鉴于迄今为止IPv6的部署仍处于较低水准,“臭名昭著”的比高能见度、以IPv4为目标的少。识别和处理这些的实际经验有限。相反,伴随着一次次IPv4互联网,应对***向量的经验不断累积,就能制定相应的IPv4应对方案和流程。
尽管IPv6有某些不同的东西,也引进了必须考虑的独特特性,但是基于IPv4的安全策略也能够适用于IPv6。例如,考虑以下几点:
当IPv4使用ARP来将IP地址关联到链路层地址时,IPv6使用NDP--地址自动配置和重复地址检测需要这个协议。因此,ARP***的缓解策略也应该适用于NDP。
IPv4支持广播,而IPv6使用知名的多播来代替
,如在DHCP中。- 当需要逐跳的路由器来处理数据报时,路由器资源会被消耗。例如,在逐跳扩展报头内使用IPv6路由器警报选项。
- IPv4的分段是在路由器上进行的,而IPv6是在主机上进行分段。
- 移动IPv6和移动IPv4相似,但也有很大的区别。
- 由于P6庞大的子网,使用暴力ping来识别主机相对来说是比较困难的。当然,如果您从1始给主机分配地址并逐渐累加,将使得整个发现过程更加简单。
-
一般来说,在IPv4中,ICMP能够被关闭;而在IPv6中,ICMP是一个必需的协议,不能完全被关闭。
- IPv6扩展报头的存在使得基本IPv6报头很短小,但会导致与报头相关的IPv6协议软件的不成熟也有可能存在容易被***的漏洞。
6.6.6内部网络过滤
在其他内部网络漏洞方面,推荐将之前讨论过的以下过滤方法应用到内部
路由器来保护网络边界。
- 丢弃接口上接收的源地址不在给定接口前缀范围内的数据报。
- 过滤没有在你的网络上明确定义使用的ULA地址空间。
- 使用认证功能来保护路由协议安全。请注意, OSPFv3提供了两种形式的认证:IPSe只最初指定或结尾段认证( Authentication Trailer)
- 丢弃具有路由报头的数据报,除非你支持移动IPv6,而且只接收具有类型2的路由报头的数据报。
- 丢弃邻节点发现、重复地址检测及 SLAAC ICMP6产生的没有本地链路或未指明的地址(::/128),或不在255跳内的数据报。如果数据报从一个不同于本地网络的源地址发送过来,将会阻止这些消息的处理。考虑实现SEND,如果你的网络设备支持的话(不幸的是微软的操作系统暂时还不支特SEND),否则,可以考虑创建更多较小的子网,而不是更少的较大子网,来减少暴露始本地网络***的范国。
- 除非在特情况下需要使用,这些ICMPv6类型的数据报应该被年。
仔细考虑以下类型。
1、类型139、140。节点信息查询,响应。
2、类型138。路由重编号。
3、类型100、101、200、201。私人实验。
4、类型127、255。用于扩展的保留类型。
5、类型150。用于实验。
6、类型5-99、102-126、156-198。未定义(末分配)消息类型。 - 定期检查日志以便制定一个基准用于发现异常。
表6-1地址空间过滤建议
过滤的地址 | 原因 |
---|---|
:: | 拒绝不明确的源地址或目的地址 |
::1 | 拒绝回环的源地址或目的地址 |
::/96 | 拒绝IPv4兼容的源地址或目的地址 |
::fff:0:0/96 | 拒绝IPv4映射的源地址或目的地址 |
2002::/24,2002:7f00:/24,2002:ff00::/24,2002:e000:/19 | 拒绝非法6to4源地址或目的地址(分别对应的IPv4地址:0.0.0.0/8,127.0.0.0/8,255.0.0.0/8,224.0.0.0/3(224.0.0.0/4&240.0.0.0/4) |
2001:6440::/26,2002:0a00::/24,2002:ac10::/28,2002:c0a8::/32 | 100.64.0.0/10,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 |
2002:a9fe::/32,2002:c000:/40,2002:c000:200:/40,2002:c612::/31 | 169.254.0.0/16,192.0.0.0/24,192.0.2.0/24,198.18.0.0/15 |
2002:c633:6400::/40,2002:cb00:7100::/40 | 198.51.100.0/24,203.0.113.0/24 |
fe80::/10 | 拒绝外部或者穿过内网的连理本地源地址或目的地址 |
fec0::/10 | 拒绝不被接受的站点本地源地址或目的地址 |
ffO0::/8 | 拒绝多播地址作为源地址、拒绝带有非全网范围的日的多福地址却越界的数据报 |
2001:db8::/32 | 拒绝文件编制的源地址或目的地址 |
3ffe::/16 | 拒绝不被接收的6bone源地址或目的地址 |
fc00::/7 | 拒绝原界的IPv6“私有”源地址或目的地址 |
摘自:《ipv6部署域管理》一书
来源:51CTO
作者:cnxhsy
链接:https://blog.51cto.com/9346709/2350310