如何安全部署IPv6网络

  • 美国行政管理和预算局的最新备忘录要求,2025年前实现至少80%的纯IPv6网络升级,无法升级的基础设施将逐年淘汰。
  • 部署IPv6过程中,最大的威胁就是专业操作知识的缺乏。IPv6作为新协议,很多实施过程中的Bug还未被发现和修复,且很少有人具备安全运行IPv6网络所需的专业安全知识。
  • 为实现IPv6安全,美国联邦政府备忘录要求确保将生产环境全面支持IPv6纳入IT安全计划、架构和采购中。
  • 在双栈网络中,除了要考虑IPv4和IPv6共存时两者之间交互及转换的安全因素外,还需要考虑两者的安全实现。

一、美国政府全面转向IPv6协议

2020年11月19日,美国行政管理和预算局签发了关于全面过渡到IPv6协议的备忘录(M-21-07),旨在推进联邦机构的IPv6全面升级。该备忘录从基础设施、采购要求、USGv6计划、网络安全等角度介绍了联邦政府对IPv6业务部署和使用的指导,其战略意图是让联邦政府使用纯IPv6(IPv6-only)提供信息服务、运营网络和访问其他服务。该备忘录特别指出,同时支持IPv4和IPv6的双栈方案由于运维过于复杂,长远来看是不必要的路径。
选择纯IPv6部署能够降低复杂性和运营成本,现在看来已日趋明朗化。该备忘录为美国联邦政府网络的纯IPv6升级设置了行动计划和时间表,备忘录要求2023年前实现至少20%的纯IPv6网络升级,2024年前实现至少50%的纯IPv6网络升级,2025年前实现至少80%的纯IPv6网络升级,无法升级的基础设施将逐年淘汰

本文将阐述美国联邦政府转向IPv6的历史背景、过渡的具体要求以及未来的规划目标,以及联邦政府对IPv6的安全要求,介绍了IPv6部署实施时可能遇到的安全问题。
1、历史背景
IP地址是全球唯一的数字标识符,用于区分在互联网上进行通信的各个实体。随着连接到互联网上的用户、设备和虚拟实体数量的不断增加,全球对IP地址的需求成倍增长,导致世界上所有地区的IPv4地址消耗殆尽。随着时间的推移,人们开发了许多技术和经济上的权宜之计,试图延长IPv4的使用寿命,但所有这些措施都增加了网络基础设施的成本和复杂性,并为创新带来了巨大的技术和经济阻碍。
IPv6是下一代互联网协议,旨在取代自1983年以来一直使用的IPv4。人们普遍认为,全面过渡到IPv6是确保互联网技术和服务未来增长和创新的唯一可行选择。美国联邦政府将扩大和加强向IPv6过渡的战略承诺,以适应行业趋势。
从2005年开始,联邦政府的IPv6计划为IPv6技术的商业开发推广起到了重要的催化作用。2005年8月,美国行政管理和预算局发布了M-05-22《互联网协议版本6(IPv6)过渡规划》,要求各机构在2008年6月30日前在其骨干网上启用IPv6,该政策概述了部署和采购要求。2010年9月,行政管理和预算局发布了题为”向IPv6过渡”的备忘录,要求联邦机构为公共互联网服务器和与公共服务器通信的内部应用程序实际部署“原生IPv6”(指在系统或服务中直接支持IPv6,而无需通过IPv4进行基本通信)。具体而言,2010年备忘录要求各机构在2012财政年度结束前,将面向公众/外部的服务器和服务(如网络、电子邮件、DNS、ISP服务)升级为实际使用原生IPv6;并在2014财政年度结束前,将与公共互联网服务器通信的内部客户端应用程序和企业支撑性网络升级为实际使用原生IPv6。
在过去的5年里,IPv6在产业界的发展势头急剧上升。目前,出于降低成本、降低复杂性、提高安全性和消除网络信息系统创新障碍的考虑,在许多商业领域(例如大型网络运营商、软件供应商、服务提供商、企业、国家政府和外国政府)已经部署了大量IPv6基础设施。
许多组织已经或正计划迁移到“纯IPv6”基础架构(NIST USGv6 Profile定义了产品在纯IPv6环境中运行的技术要求),以减少维持两种不同网络体系带来的运营问题。对于公共互联网服务来说,前端基础设施可能需要保留IPv4接口和过渡机制很长时间,但这并不排斥后端基础设施在纯IPv6环境下运行。
2、具体要求
(1)准备纯IPv6基础设施
美国行政管理和预算局曾发布政策,讨论了各机构在可预见的未来运行双栈(IPv4和IPv6)的前景;然而近年来,这种方法显得过于复杂、难以维持、并且没有必要。因此,标准机构和领先的技术公司开始向纯IPv6部署的方向迁移,以消除运行两种网络协议带来的复杂性、运营成本和威胁向量。
许多联邦机构已在面向公众的系统上部署IPv6,其访问量已经与IPv4相当,甚至超过了IPv4。随着信息技术不断向移动平台、物联网(IOT)和无线网络发展,IPv6的增长将持续加速。 (2)遵循联邦IPv6采购要求
2009年12月,联邦采购条例委员会发布了联邦采购条例的最终修订规则,以确保未来的网络信息技术采购包含IPv6需求。该修订案的关键内容是:”除非机构的首席信息官放弃这一要求,否则在采购使用IP协议的信息技术时,需求文档必须包含参考USGv6 Profile(NIST特别出版物500-267)中定义的相应技术能力,以及USGv6测试计划中定义的相应一致性声明。”
这种战略性的采购方法能够实现自然的技术更新周期,以升级已安装的联网IT产品和服务底层,使其能够“支持IPv6”(IPv6-capable,指系统或服务已经正确地实现了一套完整的IPv6功能)。NIST USGv6 Profile描述了不同产品类型的IPv6功能详细技术要求。这样做可以确保联邦IT系统能够发挥IPv6的技术和经济效益,并使联邦首席信息官能够在适当的时候最终迁移到纯IPv6环境。根据现有的联邦采购条例委员会要求,各机构应:

  • 在购买网络信息技术和服务时,继续使用USGv6 Profile来确定机构或采购对IPv6能力的具体要求。展望未来,应明确要求硬件和软件能够运行在纯IPv6环境中;
  • 持续督促潜在的供应商通过USGv6测试计划来证明其符合IPv6的需求描述;
  • 在极少数情况下,如果要求证明IPv6能力会对采购行动造成不必要的负担,则允许机构的首席信息官针对某些个案放弃这一要求。在这种情况下,采购机构应要求供应商提供文件,详细说明其产品纳入IPv6能力的明确计划(如时间表)。

(3)推进USGv6计划
为了继续保护联邦在IPv6技术上的投资,并确保采购中IPv6功能的高质量和完整性,NIST将继续更新和扩大USGv6计划。NIST将继续定期更新USGv6 Profile,以纳入最新的互联网工程任务组(IETF)规范相关的IPv6技术。特别强调的是,应确保纳入IPv6安全技术以及那些支持其他联邦计划所需的网络功能,如物联网、采用基于云共享的服务、先进的无线通信以及软件定义和虚拟化网络。
USGv6测试计划将继续为商业产品提供政府范围内的一致性和一般互操作性测试。该计划将继续由经认可的外部测试实验室实施,并继续与现有的行业主导的测试计划进行最大程度的协调,以尽量减少供应商的负担。为避免对通用检测要求的不必要重复,各机构应:

  • 利用USGv6测试计划对商业产品进行基本的一致性和一般互操作性测试;
  • 确保机构或采购的特定测试侧重于USGv6测试计划中未涉及的特定系统集成、性能和信息保障测试。

(4)不同政府机构的责任
以下机构牵头在整个政府范围内支持向IPv6过渡的工作。
   商务部:

  • 继续加强和维护USGv6 Profile和测试计划;
  • 与国土安全部合作,为整个联邦信息技术基础设施采用IPv6制定增强性安全指南。

   国土安全部:

  • 与商务部合作,为整个联邦信息技术基础设施采用IPv6制定增强安全指南和操作指引。
  • 加强相关的安全弹性程序和服务(如可信互联网连接、持续诊断和处置、爱因斯坦计划),以全面支持IPv6在所有联邦信息技术系统中投入生产使用;
  • 加强测量及报告联邦信息系统内IPv6和IPv4部署程度和使用水平的能力。

  总务管理局:

  • 确保相关的总务管理局程序和服务全面支持IPv6,并在功能和性能上与现有的IPv4服务持平。
  • 确保政府范围内涉及IP协议的采购合同模板包含IPv6需求;
  • 与各机构和企业基础设施解决方案(EIS)供应商合作,确保所有EIS网络服务在部署时按照机构IPv6实施计划和EIS任务单的规定启用IPv6。


联邦首席信息官委员会以及联邦首席采购官委员会:

  • 协助行政管理和预算局和各机构,在必要时为IPv6的实施提供指导。
  • 提供一个机构间论坛来分享经验和最佳实践,并在适当时机与外部合作伙伴协同努力,协助向IPv6的过渡;
  • 酌情与工业界接触,学习经验教训和最佳实践,确保产品和服务满足联邦政府的需求。

3、规划目标
简单、现代和可扩展的网络基础设施可带来技术、经济和安全效益。这是私营部门向纯IPv6演进的动力。为了跟上并利用这种网络技术的演变,各机构应:
(1)在本政策发布后45天内,指定一个全机构范围的IPv6综合项目组(包括采购、政策和技术成员)或其他治理结构,以有效地管理和执行IPv6工作。
(2)在本备忘录发布后的180天内,发布并在机构的公开访问网站上提供全机构范围的IPv6政策,要求在2023财政年度(FY)之前,所有新联网的联邦信息系统在部署时都必须启用IPv6(IPv6-enabled),并阐明本机构将在所有系统中逐步停止使用IPv4。
(3)寻求IPv6试点机会,在2021财年结束前至少完成一个纯IPv6业务系统的试点,并根据要求向行政管理和预算局报告试点结果。
(4)在2021财政年度结束前制定IPv6实施计划,该计划必须确保IPv6实施计划与其他相关部门的现代化举措相协调,并要求机构提供的所有共享服务都能提供全面的IPv6支持(包括在纯IPv6模式下运行的能力),并在功能和性能上与现有的IPv4服务持平。此外,酌情更新信息资源管理IRM战略计划,以升级所有联网的联邦信息系统(以及与这些系统相关的IP资产),使其能够完全实现原生IPv6运行。该计划应说明机构的过渡过程,并包括以下里程碑和行动:

  • 到2023财政年度末,联邦网络上至少20%启用IP协议的资产在纯IPv6环境中运行。
  • 到2024财政年度末,联邦网络上至少50%启用IP协议的资产在纯IPv6环境中运行。
  • 到2025财政年度末,联邦网络上至少80%启用IP协议的资产在纯IPv6的环境中运行。
  • 查明不能切换到IPv6的联邦信息系统并说明理由,提供更换或停用这些系统的时间表。

自2010年以来,行政管理和预算局指南要求各机构在一些系统中采购并部署IPv6功能。我们建议各机构在制定计划时,参考从试点活动和以往生产部署中获得的实际经验。各机构的计划会随着时间的推移而变化,因此,重要的是确定哪些系统已经具备运行IPv6的条件,并制定和实施计划,首先在这些系统中启用IPv6,然后评估将这些系统迁移到纯IPv6环境的潜力。
(5)与外部伙伴合作,确定与联邦信息系统联网的系统,并制定计划将所有这些网络接口迁移到使用IPv6。
(6)完成面向公共/外部的服务器和服务(如Web、电子邮件、DNS和ISP服务)以及与公共互联网通信的内部客户端应用程序和企业支撑网络的升级,以使用原生IPv6。

二、IPv6的安全问题与特点

1、 IPv6的安全问题
RFC4942讨论了在部署IPv6时,以及使用相关过渡机制运行双栈网络时,需要考虑哪些安全问题。
概括起来,主要安全问题包括三种:由于IPv6协议引起的问题、由于过渡机制引起的问题,以及由于IPv6部署引起的问题。
(1)IPv6协议引起的问题包括:

  • 协议本身的问题:路由头、移动IPv6、站点范围的多播地址、ICMPv6、任播流量、地址隐私扩展与DDoS防御、动态DNS、扩展头、分片、链路本地地址和邻居发现、安全路由通告、多路由器负载分担等;
  • 使用嵌入IPv4地址的IPv6地址绕过防护问题
  • 端到端透明性问题(无NAT);
  • 将IPv6隐藏于IPv6隧道带来的绕过安全检查问题

(2)过渡机制引起的问题包括:6to4隧道机制、自动隧道和中继、IPv6隧道可能会破坏IPv4网络等。
(3)IPv6部署引起的问题包括:缺乏安全保护的IPv6试运行、DNS拒绝服务、寻址和安全路由、多播地址、ICMPv6、IPSec的传输模式、设备缺少相关功能、邻居发现代理等。
2、IPv6安全问题的特点
IPv6与IPv4并没有太大的区别:它是无连接的网络协议,使用与IPv4相同的下层服务并向上层提供相同的服务。因此,除了下文所列举的例外,IPv6和IPv4的安全问题和处置技术基本上大同小异。
(1)IPv6并不比IPv4更安全
因为IPv6是新的协议,有些人就认为IPv6天生就比IPv4更安全。这种观点大错特错。事实上,作为一个新的协议,很多实施过程中的bug还没有被发现和修复,而且很少有人具备安全运行IPv6网络所需的专业安全知识。在部署IPv6的过程中,最大的威胁就是专业操作知识的缺乏:因此我们需要不断强调培训的重要性。
关于IPv6的一个安全神话是:由于其巨大的地址空间,无法通过枚举/64子网中所有的IPv6地址来进行网络扫描,因此怀有恶意的人无法定位攻击目标。但是,[RFC5157]描述了可用来寻找网络上潜在目标的替代技术,例如,枚举区域内所有的DNS名称。[HOST-SCANNING]中也给出了有关这方面的其他做法。
另一个安全神话是:由于IPv6强制要求所有地方使用IPsec,因此它更安全。虽然最初的IPv6规范可能暗示了这一点,但[RFC6434]明确指出:并不强制性要求支持IPsec。此外,如果企业内部的所有流量都被加密,那么不仅是恶意软件,那些依靠检测有效载荷的安全工具(入侵防御系统(IPS)、防火墙、访问控制列表(ACL)、IP流信息导出(IPFIX)([RFC7011]和[RFC7012])等)都会受到影响。因此,IPv6中的IPsec与在IPv4中一样有用(例如,用于在非可信网络上建立VPN通道,或为某些特定应用预留)。
最后一个安全神话是:因为不再有广播,因此在IPv6中不存在放大攻击(如[SMURF])。这种说法也是不准确,因为路由器和主机在转发或接收组播消息时,会产生ICMP错误(在某些情况下)或信息消息(见[RFC4443]的2.4节)。因此,必须像IPv4一样限制ICMPv6报文的生成和转发速率。
需要注意的是,在双栈网络中,除了要考虑IPv4和IPv6共存时两者之间交互及转换的安全因素外,还需要考虑两者的安全实现。
(2)IPv6和IPv4安全的相似之处
如前所述,IPv6与IPv4十分相似,因此,有几种攻击同时适用于这两个协议族,包括:

  • 应用层攻击:如跨站脚本或SQL注入。
  • 流氓设备:如流氓Wi-Fi接入点。
  • 泛洪和所有基于流量的拒绝服务:包括对IPv6流量使用控制平面策略(见[RFC6192])。

举例来说,IPv6的唯一本地地址(ULA)[RFC4193]和IPv4的私有地址 [RFC1918]类似,它们并不能像“魔法”一样提供安全性。使用这两种地址时,边缘路由器必须采用严格的过滤器来阻止这些私有地址进入网络,同时也要阻止它们离开网络。这种过滤可以由企业来完成,也可以由ISP来完成,但谨慎的管理员会倾向于在自己的企业中完成。
(3)IPv6的特定安全问题
即使IPv6与IPv4类似,也存在一些差异会使IPv6产生特有的漏洞或问题。在本节中,我们将举例说明这些差异。
隐私扩展地址使安全人员或网络运营商想要追溯到其网络中的主机日志记录时,很难跟踪审计线索。隐私扩展地址[RFC4941]通常用于保护个人隐私,通过定期改变IPv6地址中的接口标识符部分,以避免由于64位扩展唯一标识符EUI-64(基于媒体访问控制MAC地址)保持不变而导致主机被追踪。虽然在互联网上这是算得上是优点,但它也使安全人员或网络运营商想要追溯到其网络中的主机日志记录时,很难跟踪审计线索(即使前缀部分保持不变):因为当跟踪完成时,搜索到的IPv6地址可能已经从网络中消失了。因此,使用隐私扩展地址通常需要对IPv6地址与MAC地址的绑定进行额外的监控和记录(也可参见[IPv6-SECURITY]第2.5节中的监控部分)。为提供地址问责制,早期一些企业化部署采用了从交换机和路由器设备收集IP/MAC地址映射的方法。尽管可能需要收集比同样规模的IPv4网络更多的地址数据,但这种方法也被证明卓有成效。另一种方法是通过强制使用DHCPv6来防止隐私扩展地址,这样主机只能获得DHCPv6服务器分配的地址。这可以通过配置路由器(在RA中设置M位,搭配包含所有通告的前缀且不设置A位)来实现(防止使用无状态自动配置)。当然,这种技术要求所有主机都支持有状态的DHCPv6。需要注意的是,并不是所有的操作系统在处理带有M位集合的RA时都表现出相同的行为。由于邻居发现协议(NDP)中缺乏相关对A、M和O位的规范性定义,因此不同的操作系统行为各异。[DHCPv6-SLAAC-PROBLEM]对M位和DHCPv6的交互作用进行了更详细的分析。
扩展头使ACL等无状态数据包过滤器的任务复杂化。如果使用ACL来执行安全策略,那么企业必须验证其ACL(也包括有状态的防火墙)是否能够处理扩展头(这意味着为了找到上层的有效负载,需要完全理解协议并解析扩展头),并阻止不需要的扩展头(例如,实现[RFC5095])。这个话题在[RFC7045]中有深入讨论。
分片可能导致“包过大”消息不能被过滤,并可能被用来逃避某些安全机制。分片在IPv6中有所不同,因为它只由源主机完成,而不发生在转发操作期间。这意味着必须允许ICMPv6的“包过大”消息通过网络,而不能过滤[RFC4890]。分片也可以用来逃避一些安全机制,如RA-Guard[RFC6105]。另见[RFC5722]和[RFC7113]。
IPv6引入的NDP同样缺乏安全性。 IPv4和IPv6之间最大的区别之一是后者引入了NDP[RFC4861],包括各种重要的IPv6协议功能,包括IPv4中由地址解析协议(ARP)[RFC0826]提供的功能。NDP在ICMPv6上运行(如上所述,这意味着安全策略必须允许某些ICMPv6报文通过,如RFC 4890所述),但与ARP等一样缺乏安全性,因为缺乏内置的报文验证。虽然已经定义了安全邻居发现(SEND)[RFC3971]和加密生成地址(CGA)[RFC3972],但它们并没有被广泛实现。NDP套件中RA的威胁模型与DHCPv4(和DHCPv6)的威胁模型类似,因此恶意主机可以是恶意路由器或恶意DHCP服务器。在边缘交换机中借助DHCPv4 snooping技术可以使IPv4网络更加安全,同样RA snooping也可以提高IPv6网络的安全性(在纯IPv4网络中亦是如此)。因此,对IPv4使用此类技术的企业应该对IPv6使用等效的技术,包括RA-Guard[RFC6105]和源地址验证改进(SAVI)工作组的所有正在进行的工作(例如[RFC6959]),带来的保护效果类似于IPv4中的动态ARP监控。其他拒绝服务漏洞与NDP缓存耗尽有关,处置技术可以在([RFC6583])中找到。
如前所述,运行双栈网络会使攻击风险加倍,因为恶意者现在有两个攻击载体:IPv4和IPv6。这意味着,所有在双栈环境中运行的路由器和主机,如果启用了两个协议族(即使是默认设定),则必须为两个协议版本制定一致的安全策略。例如:所有Web服务器开放TCP 80和443端口,并拒绝其他端口的连接,这一点必须在IPv4和IPv6中同时实现。因此,管理员使用的工具需要支持这种操作。

三、部署IPv6的安全策略

显然,IPv6网络应该以安全的方式部署。关于IPv6安全部署,除了联邦指南之外,还有详细的行业指南和最佳实践文档。关于如何保障IPv6安全的知识库已经非常成熟,但人们往往忽略了IPv6可以更有效地实现整体安全。例如,那些使用IPv6寻址(这与网络安全架构密切相关)的组织发现,他们的安全配置复杂度显著降低。
RFC7381讨论了IPv6部署时应采取的安全策略。业界在IPv4的网络安全方面已经颇有心得,网络运营商在部署IPv6时,应该充分利用这些知识和经验。
为了帮助联邦政府获得这些安全效益,各机构应:

  • 确保将生产环境全面支持IPv6纳入IT安全计划、架构和采购中。
  • 确保所有支撑网络运行或企业安全服务的系统(如身份和访问管理系统、防火墙和入侵检测/保护系统、终端安全系统、安全事件管理系统、访问控制和政策执行系统、威胁情报和声誉系统)都支持IPv6,并能在纯IPv6环境中运行。
  • 酌情遵循相应的联邦指南,并充分利用行业最佳实践,确保IPv6网络的安全部署和运行。
  • 确保所有安全和隐私政策评估、授权和监测程序能够充分解决联邦信息系统中IPv6的生产使用问题。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注