编者按
《互联网基础设施与软件安全年度发展研究报告(2020)》第一章《我国互联网基础设施安全测量与分析报告》,共七个小节,分别为:互联网基础设施安全的范畴与形势、域名系统安全现状、HTTPS部署与公钥证书现状、内容分发网络安全现状、电子邮件安全拓展协议现状、IPv6安全现状、互联网基础设施安全前景展望。我们已经发布了前五节,本文为第六小节《IPv6安全现状》。
本文共3879字。文末有惊喜!
IPv6作为下一代互联网中的重要基础设施,以其海量的地址资源和改进的协议标准为现在以及未来的互联网提供寻址和路由服务。其作为IPv4的继承者,不仅保持了原有的良好的网络特性(如分组交换、路由寻址等),还引入128位的地址空间、全球可路由地址、简化版的包头、地址自动配置等特性,使“端对端”的通信重现互联网,也使未来的“大网”“家网”“多网”“物联网”的组建更为便捷高效。
目前,IPv6在中国处于持续部署的阶段,客户端、服务端和应用设施的部署程度稳步推进并不断提升。然而随着下一代互联网网络和运行环境的成熟,相关安全问题也不断突显。
(注:本文数据均为截至2020年7月的数据)
IPv6发展趋势
1. DNS流量所反映出的趋势
DNS作为互联网中的一项服务,提供域名到IP地址映射的基本功能。而其中的AAAA记录,即域名到IPv6地址的映射记录,更是众多网络服务对外提供IPv6请求访问的前提。根据RFC官方文档Happy Eyeballs:在访问域名时,IPv4、IPv6地址的双栈终端会同时发起A记录和AAAA记录解析请求,而在纯IPv4网络中的终端只会发起A记录请求。因此,DNS流量中的AAAA记录请求和解析出的服务端IPv6地址可以被利用进行IPv6部署趋势的观测。根据Passive DNS数据库,统计出以下关于IPv6客户端、服务端的发展趋势。
(1) 客户端IPv6域名解析请求飞速提升
如图1-46所示,2020年8月,我国客户端发出的IPv6域名解析请求数量达543亿次,相对于2019年7月的178亿次,提升近2倍。自2019年7月以来,请求数量整体处于提升的趋势,于2019年下半年飞速增长,并于2020年1月至2020年6月保持相对稳定。AAAA记录解析请求次数的提升说明越来越多的客户端具备了IPv6网络访问能力,即ISP为更多的用户分配了IPv6地址。
图1-46 我国客户端IPv6域名解析请求数量变化趋势
(说明:数量统计自数据集中对于我国域名发起AAAA记录请求的总计数)
(2) 服务端IPv6活跃地址数量有所提升
如图1-47所示,2020年7月,服务端活跃IPv6地址数量约为2万,相对于2019年7月的1.2万,提升近70%。自2019年8月以来,请求数量整体呈现稳定提升的趋势。活跃IPv6地址数量的提升说明更多的网络服务在逐步支持IPv6网络访问,但增长幅度较为缓慢。
图1-47 我国服务端IPv6活跃数量变化趋势
(说明:数量统计自数据集中对于我国域名发起AAAA记录请求的域名IPv6地址记录)
DNS流量所反映的IPv6发展趋势在客户端与服务端之间形成了一定的反差局面:客户端突飞猛进,服务端进展缓慢,这其实正暴露出IPv6部署过程中的一些问题。
对于客户端的部署,主要取决于网络运营商是否提供IPv6服务以及进行相关配置等。现实中也正由于网络运营商提供IPv6功能相对容易,致使IPv6用户数量得到较快提高,而且目前三大运营商网络已经为客户端部署了IPv6服务。这也进一步说明,客户端IPv6域名解析请求的数量在短时间内剧增并非“天方夜谭”,在具有IPv6地址的终端的庞大基数下,IPv6域名解析请求的数量也就容易得到提升。同时IPv6域名解析请求数量的提升也反过来说明具有IPv6地址的终端数量的增多。
对于服务端的部署,涉及因素颇多:其一,服务端服务内容本身需要支持IPv6访问,并进行相关服务配置;其二,服务端主机本身,诸如云主机等产品,需要配置IPv6访问功能;其三,服务端本身需要接入IPv6网络,能够进行IPv6访问;其四,与服务访问相关的任务(如路由寻址、内容分发、负载均衡)均需要支持IPv6功能。服务端IPv6的部署并不像客户端那样“一蹴而就”,而是需要各方人员协力而为。各种服务不仅需要服务商的内容支持IPv6服务,更需要与服务相关的各种路由、广告、DNS解析、CDN服务支持IPv6功能。因此,虽然服务端IPv6的活跃数量变动少,但也有了新的起色,并且各大云厂商基本都提升了云产品的IPv6支持度,也表明即便服务端IPv6的部署相对复杂,国内厂商也在不断推进着IPv6部署活动。
2.教育网流量所观测的趋势
教育网CERNET2作为世界上规模最大的采用纯IPv6技术的下一代互联网主干网,及早地部署并提供了IPv6网络环境和服务,其流量的变化可以从一定程度上反映出我国IPv6的发展趋势。
据教育网IPv6发展检测平台的统计(见图1-48),自2019年7月至2019年底,教育网中活跃IPv6地址的数量及流量处于稳步增长的趋势。由于春节及疫情影响,活跃趋势于2020年1月前后迅速下降,此后至2020年6月呈现缓慢恢复的趋势。
图1-48 教育网活跃IPv6地址及流量指数趋势
相反,如图1-49所示,疫情之后,教育网中的三大运营商的活跃地址数量迅速增长,反映出教育网用户位于教育网之外,以ISP的网络访问教育网资源的特点。
图1-49 教育网中ISP活跃IPv6地址指数趋势
IPv6安全策略
近年来,IPv6的部署程度无论在我国还是全世界均有所提升。据Google数据统计,2012年只有不足1%的用户通过IPv6访问其服务,而在2020年7月该数据增长至33%。据测量统计,Alexa Top 100万的网络服务在2012年仅有1.2%公布了IPv6地址,而在2020年7月增长至22%。同时,DNS流量反映的IPv6发展趋势以及SecRank Top网络服务的IPv6支持率,均可以体现IPv6部署程度提升的趋势。因此,任何与IPv6相关的安全问题都会波及巨大的范围,也需要在IPv6部署的过程中尽早地暴露出来。主机安全策略作为访问控制的重要机制,在主机与网络防护中处于必不可缺的位置。然而由于IPv6的实践不足与受IPv4的历史经验影响,现阶段的IPv6相关安全策略,如端口过滤策略,可能存在防护不足的安全问题。
1.双栈主机的安全策略
双栈主机是指同时具备IPv4和IPv6两种协议栈及其支持能力的主机。在双栈环境下,主机采取IPv4与IPv6并存的通信模式,因任何一种协议安全问题导致的影响都会通过IPv4和IPv6网络双向渗透传播,扩散至网络中的多个节点。
2020年6月,通过主动探测SecRank Top100 万域名的IPv4与IPv6地址,共得到30,000个双栈服务器(同时具备IPv4和IPv6地址),并选取了如下20个应用服务进行主动探测:
ICMPecho、FTP(TCP/21)、SSH(TCP/22)、Telnet(TCP/23)、SMTP(TCP/25)、HTTP(TCP/80)、HTTP(TCP/81)、POP3(TCP/110)、IMAP(TCP/143)、BGP(TCP/179)、HTTPS(TCP/443)、SMB(TCP/445)、MySQL(TCP/3306)、RDP(TCP/3389)、HTTP(TCP/8000)、HTTP(TCP/8080)、HTTP(TCP/8081)、DNP3(TCP/20000)、DNS(UDP/53)、NTP (UDP/123)、SNMPv2(UDP/161)
测量结果如图1-50所示。整体而言,我国双栈服务器对应的应用服务于IPv6网络中的开放程度不如IPv4网络,推测与支持IPv6访问的网络服务数量偏少有关。
图1-50 双栈服务器主机上应用服务对应的IPv4、IPv6网络开放情况
对于主要提供Web功能的应用,如HTTP、HTTPS,其在IPv4与IPv6上的开放比例相差不大且均占比98%~99%,说明数据集中的98%~99%的双栈服务器基本均对外提供Web服务。IPv4比IPv6的开放比例仅多0.2%~0.5%的水平,而仅开放在IPv6网络的比例也只有0.1%。
其中,仅开放在IPv6网络中的双栈服务器数量占比较高的为SSH,占比0.88%,远高于其他应用服务,推测这可能与IPv6支持全球路由有关系,可以穿越内网的限制直接登录。IPv6网络中的SSH服务一方面便利了远程登录,另一方面也增加了公网暴露与枚举破解的风险,更需要得到和IPv4相同甚至更高的安全策略防护。
存在一定数量的SMTP、SMB、POP3、IMAP、FTP等仅开放在IPv6网络,虽然比例低,但考虑到IPv6目前在服务端部署程度不高以及未来必将支持的趋势,应该尽早地配置安全策略以未雨绸缪。SMB端口所面临的漏洞早已公布,却仍有开放,也说明了服务器的安全策略防护仍未做到100%,需要进一步关注与改进。
2.网关主机的安全策略
IPv6在引入128位地址解决地址空间不足的同时,也带来了全球可路由的单播地址。互联网中的用户可以向任何IPv6单播地址发送数据包,而不受IPv4网络中地址转换机制的影响(在IPv4网络中,实际通信的主机可能隐藏在某台公共对外主机的NAT后面而无法被直接探测到)。而且传输到IPv6主机的数据包,通常情况下会经过其前一跳的路由网关(路由器);如果该网关主机未配置相关的包过滤安全策略,其会对于传输的数据包产生对应的回复。比如,如果数据包的目标主机不存在,根据ICMPv6的协议标准,则该网关或路由器会回复目标主机不可达的消息给源主机,同时回复的数据包的源地址为网关或路由器本身。如此,该数据包便暴露了网关的IPv6地址。
实际上,对于32位IPv4地址而言,网络探测主机发现目前已经可以通过枚举扫描的方式在小时级别完成。对于IPv6地址而言,128位巨大的地址空间大大降低了终端主机扫描的可行性,因为对于一个64位前缀下的子网,存在264位的地址空间需要遍历,几乎不具备可行性。通过地址模式识别、种子生成、路由探测等手段可以得到的地址数量也十分受限,因此,IPv6网络中的地址发现可能不存在高效的方法。
然而,如果网关主机的包过滤安全策略并不完善或者不存在ICMPv6包过滤策略,则可以通过每个IPv6子网前缀探测随机地址来暴露网关。对于每个网络服务提供商的IPv6地址而言,分配给终端的128位的地址数量十分庞大,但用于子网前缀分配的前缀数量却有限并且可以在可接受的时间内完成探测。此种探测技术已经经过完善的测试,具备广泛可行性。
(未完待续……)
版权声明:本研究报告由清华大学(网络研究院)-奇安信集团网络安全联合研究中心撰写完成,版权属于双方共有,并受法律保护。转载、摘编或利用其它方式使用本研究报告文字或者观点的,应注明来源。
相关阅读
本报告剩余最后100册,关注公众号七折优惠,欢迎订阅!