文/胡金龙 陆以勤
校园IPv6网络安全新威胁分析
文/胡金龙 陆以勤
随着IPv6在校园网中的广泛部署,IPv6网络的安全问题日益突出,本文针对IPv6的新特性,对IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等典型的IPv6网络安全新威胁进行了详细分析,以便在设计、部署和维护IPv6网络中可以合理地运用安全策略,提高网络的安全性。
与IPv4协议相比,IPv6提供了更大的地址空间、集成的安全性、简易的配置和更简洁的包头结构。在IPv6中IPSec是一个必须组成部分,使得网络层的安全性得到了增强,但IPv6并未要求强制实施IPSec协议,而且IPSec对PKI基础设施的依赖、可扩展问题和效率问题,使得IPSec在实际IPv6网络环境中极少部署。
由于IP网络根本的数据传输机制没有改变,IPv6网络面临着许多与IPv4网络相同的攻击,例如报头处理和分片攻击、地址欺骗、地址解释和D H C P攻击、蠕虫和病毒攻击等。同时由于协议自身的特性,IPv6还存在许多新的安全威胁,例如IPv6的网络侦察、第三层地址欺骗与地址的隐私扩展、ICMPv6相关安全攻击、IPv6扩展头部的安全、隧道的安全等。随着IPv6在校园网中的广泛部署,IPv6网络的安全问题日益突出。
IPv6网络安全新威胁主要分为两类,如图1所示,一类是IPv6协议栈实现上的漏洞产生的威胁,例如苹果Mac OS X 操作系统的IPv6套接字选项拒绝服务攻击漏洞 (CVE-2010-1132),Linux内核IPv6分片标识远程拒绝服务攻击漏洞(CVE-2011-2 6 9 9),攻击者可以利用这些漏洞发起攻击,针对这类安全威胁, 用户应及时升级和更新系统;另一类是IPv6协议特有的新威胁,例如IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等,下面进行介绍几种典型的IPv6网络安全威胁。
IPv6的网络侦察
网络侦察往往是攻击的第一步,但是巨大的IPv6地址空间使得传统的网络地址段ping扫描在IPv6网络中是非常困难的。然而这并不能说明在IPv6 网络中无法进行扫描攻击,攻击者可以通过利用安全性较差路由器上的N D缓冲、D N S、易于记忆的地址(如::1, ::IPv4等)和采集数据包分析等方式实施攻击,另外IPv6组播机制使得某些扫描变得更容易,如所有路由器、所有DHCP服务器。典型的IPv6网络扫描技术包括以下几种:
图1 IPv6网络安全威胁分类
1. 搜集IPv6 前缀信息
攻击者通过观察路由信息,例如捕获路由器定期发送的RA报文或者伪造一个RS报文发送给所有路由器然后观察路由器回复的RA报文;或从互联网注册机构分配地址空间的信息可以学习到一些IPv6 前缀信息。
2. DNS查询
通过DNS公告的服务器可以很容易通过DNS查询得到对应的IPv6地址。而且如果管理者使用顺序的方式为主机分配地址,那么只发布一个服务器地址就可能威胁到其他主机。
3. 应用日志文件分析
攻击者通过分析日志文件,可以获得IPv6地址,例如WEB站点的日志文件,P 2 P连接的日志文件。
4. 隧道地址分析
攻击者通过分析网络使用的过渡方法(如6 t o 4 隧道、ISATAP 隧道、Teredo隧道或是其他技术)确定目标节点的地址。例如有些操作系统的6to4 实现缺省使用的地址为2002:V4ADDR::V4ADDR,如果攻击者发现目标机的IPv4地址,就有可能分析对应的IPv6地址。
5. 虚假路由通告
攻击机通过向目标网络发送目标地址为节点组播地址(FF02::1)的虚假路由通告报文,攻击者通过分析地址重复检测(DAD)的组播报文,可获得目标网络活动主机的IPv6地址。
IPv6的邻接点欺骗攻击
IPv6的邻居发现协议(ND)使ND协议集成了以前IPv4中一些协议的功能,如IPv4地址解释协议(ARP)、ICMP路由发现功能和ICMP重定向功能,并增加了一些新的功能,如网络前缀地址发现、链路参数发现和地址自动配置等。ND协议主要的安全威胁可以分为以下三种类型:拒绝服务攻击(DoS)、地址欺骗攻击和路由器欺骗攻击。ND协议安全威胁主要有:
1. 邻居请求和通告欺骗。攻击者可以通过发送包含虚假MAC地址的邻居请求(NS)报文或邻居通告(NA)报文更新被攻击者的邻居缓存,导致被攻击者将报文转发到虚假MAC地址。
2. 地址重复检测的拒绝服务攻击。攻击者通过发送虚假的NA消息,响应子网内所有的重复地址发现的NS请求报文,使被攻击节点无法获得地址,进而实现重复地址发现的拒绝服务攻击。
3. 邻居不可达发现欺骗。攻击者持续发送虚假的NA邻居通告报文来响应目标节点的邻居探测NS报文。
4. 路由器通告欺骗。攻击者发送虚假的路由器通告报文响应目标节点的路由器请求报文,以欺骗目标节点选择虚假的路由器作为缺省路由器。
5. 虚假路由参数欺骗。攻击者通过发送包含恶意参数的虚假路由器报文来控制或破坏目标节点的通信。
6. 虚假的重定向消息。攻击者假冒链路上的路由器做源地址发送虚假的重定向消息给目标节点。IPv6隧道的攻击
在IPv4和IPv6共存的过渡阶段,现提出了多种隧道机制,各种各样隧道机制的引入为网络环境增添了新的复杂性,同时也带来了一些新的安全隐患。对隧道机制的加入而产生安全的威胁主要有:
1. 通过隧道避开安全检测。隧道机制的加入给很多已存在的安全措施带来了新的挑战,包括绕过访问控制列表以及基于网络的源路由控制等。
2. 隧道机制新特性带来的新威胁。如Teredo隧道会在NAT设备上开放一个端口以方便远程访问隧道客户端,但也为攻击者提供了可以利用的入口;来自ISATAP网络外部的欺骗攻击,攻击者可将大量的协议类型为41的虚假数据包注入ISATAP网络;6to4机制本身设计成会接受和试图解封装所有的IPv4包,这会让欺骗攻击更容易发生。
3. 隧道地址带来的新威胁。由于很多隧道机制使用一组固定范围的地址,例如6to4隧道有自己特殊的地址前缀,这使得猜测隧道地址变得相对容易。
4. 针对隧道端点服务器的攻击。隧道端点的服务器是隧道机制中的重要安全环节,如果攻击者修改隧道服务器的配置或进行D O S攻击,将带来一系列安全问题。
IPv4/v6双协议栈的安全威胁
双协议栈是一种重要IPv6过渡方法,许多操作系统缺省支持双协议栈,这也使得双协议栈主机不但同时面临IPv4和IPv6两个逻辑通道的安全威胁,也面临双协议的混合攻击。在没有部署IPv6的IPv4网络中,由于部分操作系统缺省启动了IPv6自动地址配置功能,使得IPv4子网内也存在隐蔽的IPv6链路,攻击者可以利用此IPv6链路在子网内实施各种攻击。
IPv6虽然增强了网络的安全特性,但由于实施复杂等原因,IPSec在当前的IPv6网络中并未得到广泛使用,IPv6的网络安全问题日益突出,本文针对IPv6的新特性,介绍了IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等典型的IPv6网络安全新威胁,以便人们在设计、部署和维护IPv6网络中,运用正确的网络安全配置和策略,提高IPv6网络的安全。
(作者单位为华南理工大学信息网络工程研究中心)