IPv6相关子协议及相关安全威胁,IPv6对安全硬件的影响以及过渡技术的安全威胁四个方面对IPv6可能存在的安全威胁进行了梳理和总结。梳理。
IPv6安全性
I.继续IPv4安全威胁
(1)消息监控
IPv6可以使用IPSec加密和保护其网络层的数据传输。但是,RFC6434中不再强制使用IPSec。因此,在没有IPSec的情况下监控数据包仍然是可行的。
(2)应用层攻击
在IPv6网络中,可以由IPv4网络中的应用层实现的攻击仍然可行,例如SQL注入和缓冲区溢出。 IPS,防病毒和URL过滤等应用层防御不受网络层协议更改的影响。
(3)中间人攻击
您需要在IPSec验证和加密数据之前建立SA。通常,动态SA建立是通过密钥交换协议IKE和IKEv2实现的。 DH(Diffie-Hellman)算法用于保护IKE密钥负载交换。然而,DH密钥交换不验证通信双方的身份,因此可能受到中间人攻击。
(4)洪水袭击
在IPv4和IPv6中,向目标主机发送大量网络流量仍然是一种有效的攻击模式。洪水攻击可能导致严重的资源消耗或导致目标崩溃。
(5)碎片攻击
在IPv6中,中间节点不能处理分段数据包。只有终端系统才能对IP数据包进行分段和重组。因此,攻击者可能会通过此属性构建恶意数据包。
在RFC8200中,声明禁止重组IPv6片段的重组,并且最小MTU限制为1280字节[2]。因此,在处理期间丢弃除了最后一个片段之外小于1280字节的碎片,这在某些过程中也得到了缓解。碎片攻击。
(6)路由攻击
在IPv6下,路由攻击仍然可行,因为一些路由协议没有改变。
(7)地址欺诈
IPv6使用NDP协议替换IPv4中的ARP协议。然而,ARP欺骗,ARP泛洪等在IPv6中仍然是可行的。第二,IPv6引入的安全风险
1. IPv6扩展第一威胁
(1)逐跳选项头
安全威胁:可以使用逐跳选项头发送大量包含路由提示选项的IPv6数据包。包含路由提示选项的数据包要求所有路由器处理数据包并仔细查看数据包的头信息[3]。当攻击者发送大量此类IPv6数据包时,它将消耗链路路由器上的大量资源,这可能会严重导致DoS攻击。
应对:应限制路由器应对包含路由提示选项的数据包处理的数据包数。
(2)目标选项标题
安全威胁:移动IPv6协议的数据通信以明文形式传输,因此本身就不安全。攻击者可以嗅探MIPv6数据包以识别其通信节点,转交地址,家庭地址,本地代理和其他信息。并使用此信息伪造数据包。攻击者可以通过拦截消息绑定类型的更新数据包来修改绑定关系中的转交地址。此外,移动节点标识符选项显示用户的归属关系,攻击者可以使用该归属关联来确定用户的身份并锁定特定的攻击对象[4]。
应对方式:您可以尝试启用IPSec以确保数据包不会被窃听[4]。
(3)路由头
安全威胁:在RH0路由类型(即类型0)下,攻击者可以使用route header选项伪装成合法用户以接收返回的数据包。同时,RH0提供了一种流量放大机制,攻击者可以利用该机制进行拒绝服务攻击[5]。虽然RH0已被正式弃用且RH2 [2]已启用,但较旧或未升级的设备仍可能受到RH0攻击。
应对:安全设备应尽快更新并升级到最新的IPv6协议版本,所有RH0数据包都将被丢弃。
(4)段头
安全威胁:如果密钥头信息被分成多个段,则安全设备需要大量资源来提取和检测密钥信息。构造大量此类数据包可能会导致目标主机上的DoS攻击。攻击者可以向节点发送大量不完整的段集,迫使节点等待片段集的最后一个片段。该节点只能重新组合,因为它只在超时时间内收到部分IPv6分片,最后只能丢弃该数据包。在等待期间,存储资源被消耗。
应对:防火墙应丢弃除最后一个段之外的所有小于1280字节的段。
Cisco ASA防火墙的FragGuard功能组装所有切片并执行整个数据包检查,以确定是否存在丢失或重叠的段。
根据RFC8200,IPv6节点无法再创建重叠段。当重新组装IPv6数据包时,如果确定一个或多个段是重叠段,则必须丢弃整个数据包[2]。2.协议威胁
(1)ICMPv6协议
安全威胁:
可以通过向组播地址FF02: 1发送Echo Request消息,接收Echo Reply报文以接收本地链路扫描,或者将ICMPv6 EchoRequest消息发送到具有目的地的多播地址FF02: 1来实现Smurf攻击。节点作为源地址。
可以将ICMPv6数据包太大的数据包发送到目标节点,以减少接收节点的MTU并降低传输速率。
通过向目标节点发送过多ICMPv6数据包并发送错误消息,会话被丢弃,从而破坏已建立的通信并实施DoS攻击[6]。
可以通过向主机发送格式错误的消息来刺激主机对ICMPv6的响应,从而发现潜在的攻击目标[6]。
解:
可以在交换机的每个物理端口上设置流量限制,以丢弃超过流量限制的数据包。或者在防火墙或边界路由器上启用ICMPv6数据包过滤机制。您还可以将路由器配置为拒绝转发带有多播地址的ICMPv6 EchoRequest数据包。
您可以尝试关闭PMTU发现机制,但它会影响网络数据的传输速率。
(2)邻居发现协议(NDP)
安全威胁:
中间人攻击:由于NDP协议基于可信网络,因此它没有身份验证功能。因此,可以通过伪造ICMPv6 NA/RA分组来实现中间人攻击。攻击者可以伪造NA数据包并广播自己的链路层地址,并启用覆盖标志(O)作为链路上其他主机的地址。攻击者可以伪造RA消息发送到目标节点以修改其默认网关。
重复地址检测攻击:当目标节点向FF02: 16的所有节点发送NS数据包以进行重复地址检测时,攻击者可以向节点发送NA消息进行响应,表明该地址已被自己使用。当节点重新生成新的IPv6地址并在收到地址已被占用的消息后再次重复地址检测时,攻击者可以通过执行NA响应继续执行DoS攻击。
泛洪攻击:攻击者可以伪造不同的网络前缀RA消息来泛洪FF02: 1,接收节点将根据不同的网络前缀进行更新,从而消耗大量的CPU资源。
解:
安全邻居发现(SEND)[7]协议是邻居发现协议中的安全扩展,其通过使网络中的每对IPv6节点具有一对公钥和私钥以及多个邻居扩展选项来工作。采用SEND协议后,每个节点的接口标识(IPv6地址低64位)将根据当前的IPv6网络前缀和公钥进行计算,不能由每个节点选择。安全邻居发现协议通过时间戳和Nonce选项防御重放攻击,并引入CGA(密码生成地址)和RSA签名来验证数据源以解决邻居请求/邻居通告欺骗。虽然SEND可以解决某些安全问题,但SEND的当前系统和设备支持非常有限。RFC7113提出了IPv6安全RA方案RA-Guard [8],它通过阻止不信任端口RA数据包的转发来防止恶意RA的威胁,并在攻击数据包实际到达目标节点之前阻止对第2层设备的攻击。数据包。
使用访问控制列表或空路由来过滤对地址空间未分配部分的访问,以防止攻击者强制路由解析未使用的地址。
(3)DHCPv6
安全威胁:
地址池耗尽攻击:攻击者可以伪装成大量的DHCPv6客户端,从DHCPv6服务器请求大量IPv6地址,并使用IPv6地址池。
拒绝服务攻击:攻击者可以向DHCPv6服务器发送大量SOLICIT消息,迫使服务器维持状态一段时间,给服务器CPU和文件系统带来巨大负担,直到无法正常工作正常。
伪造DHCPv6服务器:攻击者可能错误地导致DHCPv6服务器将伪造的ADVERTISE和REPLY报文发送给目标客户端,伪造的报文(如默认网关和DNS服务器)用于实现重定向攻击。
解:
客户端发送到FF02的所有消息的速率限制: 1: 2(所有DHCPv6中继代理和服务器)和FF05: 1: 3(所有DHCPv6服务器)。
身份验证机制内置于DHCPv6中。认证机制中的RKAP协议[9]可以防止伪DHCPv6服务器的攻击行为。
第三,IPv6对安全硬件的影响
火墙
(1)IPv6报头的影响
对于IPv6数据包,防火墙必须解析IPv6基本报头和所有扩展报头,以获取有关传输层和应用层的信息,以确定是否应允许当前数据报通过或被丢弃。由于过滤策略比IPv4复杂,因此会在一定程度上加重防火墙的负担,影响防火墙的性能。
(2)IPSec的影响
如果在IPv6数据包中启用了加密选项,则将对加载数据进行加密。由于包过滤防火墙无法解密有效载荷数据而无法获取TCP和UDP端口号,因此包过滤防火墙无法确定是否可以获取当前包。发布。
由于地址转换技术(NAT)和IPSec在功能上不匹配,因此很难通过IPSec通过地址转换防火墙进行通信。
2. IDS和IPS
面对IPv6数据包,如果启用了加密选项,则IDS和IPS无法提取和分析加密数据。无法通过数据包分析获取TCP和UDP信息,无法完全保护网络层。即使仅允许流量启用AH认证头,认证头内部也具有可变长度字段ICV,因此检测引擎不能准确地定位内容检查开始的位置。四是过渡技术的安全性
双堆栈技术
如果双栈主机在IPv6网络下没有安全保护,且攻击者与双栈主机相邻,则可以通过IPv6的路由通告响应激活双栈主机的IPv6地址初始化字首。
2.隧道技术
(1)隧道注入
攻击者可以将外部IPv4和内部IPv6地址欺骗为合法用户,以将流量注入隧道。
(2)隧道嗅探
隧道IPv4路径上的攻击者可以嗅探IPv6隧道数据包并读取数据包的内容。
3.翻译技术
当使用转换技术实现IPv4-IPv6网络互连时,需要改变有关IP层和分组传输层的信息。因此,端到端安全性可能会受到影响,从而导致转换设备上的IPSec第3层安全隧道。发生了断点。
作为网络互操作的关键节点,翻译设备是DDoS攻击的主要目标。同时,翻译设备也可能遇到地址池耗尽攻击。如果IPv6攻击者向IPv4服务器发送互通请求,但每个请求具有不同的IPv6地址,则每个请求将使用地址池中的IPv4地址。当发生大量此类请求时,地址池将耗尽,导致转换设备不再接受进一步的请求。