IPv6是第六代互聯網協議。第四代互聯網協議IPv4經歷了移動互聯網快速發展的階段，為視頻、游戲、支付提供了服務。但隨著產業互聯網的發展，IPv4不再能滿足世界上暴增的網絡需求，IPv6應運而生。通俗地講，IPv6的地址數量可以為全世界的每一粒沙子編上一個IP地址。而IP地址，就是我們在互聯網上的“門牌號”。從企業的角度來看，IPv6對于網絡安全具備重要意義，下面將簡單講講企業最關注的IPv6 25問：

1. IPv6協議是否比IPv4協議更安全？
IPv6除了具有地址資源豐富、精準對應、信息溯源等特點外，IPv6地址之間傳輸數據將經過加密，信息不再被輕易竊聽、劫持，因此總體而言，安全性將是IPv6的一個重要特性。IPv6增加的復雜性會導致攻擊載體數量增加，讓不法黑客能夠執行不同類型攻擊的可能性增多。所以從協議方面來看，IPv6將會面臨更多的安全風險。

2. 在部署的安全性來看，IPv6與IPv4哪一方更安全？
從部署安全性的角度來看，IPv6與IPv4要通過以下四個維度來進行比較：

◎協議規范成熟度：網絡安全協議相關的漏洞都是經過安全研究人員長期觀察中發現并進行修補的。IPv4協議已經經歷了安全工作人員長期的維護和修補，現階段較IPv6的協議規范更為成熟、穩定。

◎實現的成熟度：目前來看，IPv6缺乏適當的建議來防止漏洞的實現方法，其協議設計還有待完善。

◎對協議的信心/經驗：相較于已經成熟的IPv4網絡環境，網絡安全工程師還需要一段時間來積累對抗IPv6新環境下網絡安全威脅的經驗。

◎安全設備和工具的支持：盡管安全設備和工具經過改進后能夠對IPv4和IPv6同時進行有效支持，但IPv6部署應用過程中的網絡安全風險尚未完全顯現，安全設備和工具在特性和性能方面還存在不足。

3.使用IPv4網絡的用戶，需要對針對IPv6進行安全部署嗎？
需要。
自從2017年11月底國家《推進互聯網協議第六版（IPv6）規模部署行動計劃》以來，各運營商都已經可以為用戶安裝原生的IPv6寬帶網絡了。因此用戶所使用的網絡很有可能是雙棧接入，即能和IPv4、IPv6兩種網絡進行通信。
如果攻擊者在用戶的網絡上啟用了全局IPv6連接，那么用戶網絡中的節點可能會無意中將原本用于本地流量的IPv6節點用于非本地流量，為攻擊者提供機會。

4.用戶是否需要增加IPv6互聯網安全協議（IPSec）的使用量？
現在IPv6的IPSec都是默認關閉的，用戶也不需要自行增加IPSec的使用量。以前的IPv6規范要求所有節點包括對IPSec的支持，而且IPv6網絡能夠使用本地IPSec的預期能力，可能會導致IPSec的使用變得廣泛并影響網絡傳輸速率。

5.用戶可以使用哪些工具來評估自己的網絡和設備？
可以使用SI6 Networks’ IPv6 Toolkit、The Hacker’s Choice IPv6 Attack Toolkit、Chiron這三個免費開源的IPv6工具包。

6.IPv6的網絡地址可以被掃描到嗎？
通常情況下不行，因為標準的IPv6子網是/64s，用戶端設備的網絡地址隨機分布在一個非常大的地址空間之中，無法進行全局掃描。

但是在基礎設施節點（如路由器、服務器等）通常使用可預測的地址且客戶節點（筆記本電腦、工作站等）通常使用隨機地址時，可以使用“定向”地址掃描輕松地發現基礎設施節點，再通過掃描工具針對特定的地址模式來獲取用戶端設備的網絡地址。

7.IPv6網絡中，可以進行網絡探測嗎？
◎如果目標是局域網，可以使用多播探測和多播DNS查詢這兩種技術進行網絡探測；

◎如果目標是遠程網絡，則可以使用Pattern-based address scans、DNS zone transfers、DNS reverse mappings、Certificate transparency framework、Search engines這些技術來實現網絡探測的目的。

8.在IPv6中有可能執行主機跟蹤攻擊嗎？
視情況而定。

主機跟蹤是指當主機跨網絡移動時，網絡活動的相關性。傳統的SLAAC地址需要節點將它們的MAC地址嵌入到IPv6標識接口中，從而使IPv6主機跟蹤非常微弱。臨時地址通過提供可用于(類似于客戶端)對外通信的隨機地址來緩解部分問題，而穩定隱私地址取代了傳統的SLAAC地址，從而消除了問題。

隨著時間的推移，實施已經朝著臨時地址和穩定隱私地址的方向發展。但是，應該檢查您的操作系統是否支持這些標準。

9.是否應該為服務器設置不可預知的地址？
管理員在分析每個網絡場景的相關權衡和便利后，可以為一些重要的服務器設置不可預知的地址，因為在設置不可預知的地址后，攻擊者將很難“針對給定前綴中的所有服務器“。

10.如何應對基于DNS反向映射的網絡探測行為？
可以僅為需要的系統如郵件傳輸代理配置DNS反向映射，也可以通過配置通配符反向映射，以便反向映射的每個可能的域名都包含有效的PTR記錄。

11.IPv6網絡環境中是否存在地址解析和自動配置攻擊？
IPv6的鄰居發現協議（NDP）組合IPv4中的ARP、ICMP路由器發現和ICMP重定向等協議，并對它們作了改進。作為IPv6的基礎性協議，NDP還提供了前綴發現、鄰居不可達檢測、地址解析、重復地址監測、地址自動配置等功能。

所以IPv6網絡環境中的NDP和自動配置攻擊相當于來自IPv4的基于ARP和DHCP的攻擊，如果用戶的IPv4網絡中存在遭受ARP/DHCP攻擊的威脅，那么也必須重視IPv6網絡中NDP和自動配置攻擊所帶來的安全威脅。

用戶可以通過RA-Guard和DHCPv6-Shield/DHCPv6-Guard這兩種方法來應對IPv6網絡中NDP和自動配置攻擊所造成安全隱患。

12.在地址記錄方面，SLAAC和DHCPv6有什么區別?
使用SLAAC進行地址配置時，由于地址是“自動配置”的，所以沒有IPv6地址的集中日志。

當DHCPv6被應用于地址配置時，服務器通常維護一個IPv6地址租約日志。一旦主機被入侵并檢測到IPv6地址租約日志的維護行為時，不法分子很容易通過受感染節點來發起惡意攻擊。

同時，DHCPv6也不會阻止主機自行配置地址（即不通過DHCPv6請求地址），所以DHCPv6日志應該只在節點與網絡合作的情況下使用。

13.可以用RA-Guard和DHCPv6-Guard/Shield 防御自動配置攻擊嗎？
視情況而定。
這些機制的實現很多可以通過IPv6擴展報頭輕松繞過。在某些情況下，可以通過丟棄包含“未確定傳送”的數據包來減少規避。

14.用戶應該在網絡上部署安全鄰居發現（SeND）嗎？
不建議部署。
因為目前幾乎沒有支持SeND的主機操作系統。

15.什么是鄰居緩存耗盡(NCE)攻擊，如何減輕這種攻擊？
NCE可能導致目標設備變得無響應、崩潰或重新啟動。NCE攻擊的目標是在鄰居緩存中創建任意數量的條目，這樣就不可能再創建新的合法條目，從而導致拒絕服務。NCE也可能是地址掃描遠程網絡的副作用，其中最后一跳路由器為每個目標地址創建一個條目，從而最終耗盡鄰居緩存。

緩解NCE可以限制處于不完整狀態的鄰居緩存條目數量。或是在受到點對點連接節點的NCE攻擊時，通過為點對點鏈接使用長前綴(例如/127s)來強制人為限制相鄰緩存中的最大條目數。

16.IPv6網絡的逐步普及，會推動以網絡為中心的安全范式向以主機為中心的安全范式的轉變嗎?
不會。
IPv4網絡的安全模式也不并是完全的“以網絡為中心”，而是同時基于主機的防火墻和基于網絡的防火墻。未來IPv6網絡很可能會遵循之前的混合模式。

17.部署IPv6網絡后，所有系統都將暴露在公共IPv6 Internet上嗎?
不一定。
雖然幾乎所有的IPv6網絡都可能使用全球地址空間，但這并不意味著any to any的全球可達性。例如，IPv6防火墻可能部署在網絡拓撲結構的同一點，而IPv4網絡目前使用的是NAT設備。這樣的IPv6防火墻可能會執行“只允許外部通信”的過濾策略，從而導致類似于IPv4網絡中的主機暴露。

18.IPv6環境中還能像IPv4環境中將IPv地址列入黑名單嗎？應該用什么粒度為IPv6地址設置黑名單？
可以。

因為 IPv6主機通常能夠在其/64本地子網內配置任意數量的IPv6地址，所以在發生惡意事件時，用戶應該至少將檢測到惡意活動的/64地址列入黑名單。

根據特定的上游ISP，攻擊者可以控制/48到/64之間的任意長度的前綴(例如，如果攻擊者通過DHCPv6-PD獲得一個委托的前綴)。因此，在可能的范圍內，如果惡意活動在客戶將違規的/64列入黑名單后仍然存在，你可能希望阻斷更短的前綴(更大的地址塊)—例如，開始阻斷a/64，然后在必要時阻塞a/56或/48。

19.系統/網絡出于安全原因阻止IPv6片段，這樣的做法安全嗎？
需要視情況而定，因為丟棄IPv6分片只有在滿足兩個條件時才是安全的：

◎只使用可以避免碎片的協議——例如帶有Path-MTU發現的TCP

◎同時阻止了ICMPv6“Packet Too Big”(PTB)錯誤消息，該消息會通知MTUs應小于1280字節

基于UDP的協議可能依賴于數據分片，因此在使用此類協議時，通常不建議阻斷數據分片的流量。其他協議(如TCP)可以通過Path-MTU發現等機制完全避免使用數據分片。

當ICMPv6“PTB”錯誤消息宣告小于1280字節的MTU時，可能會觸發分片的使用。因此，如果IPv6分片被丟棄，但是ICMPv6“PTB”錯誤消息會導致小于1280字節的MTU未被丟棄，攻擊者可能會利用這樣的ICMPv6錯誤消息來觸發數據分片，導致結果分片被丟棄，進而導致拒絕服務(DoS)條件。

在修訂的IPv6規范[RFC8200]中已經不支持生成響應ICMPv6 PTB消息的IPv6片段，因此最終所有實現都將消除該特性和相關漏洞。但是，您可能正在使用仍存在脆弱行為的遺留設施。

20.用戶該刪除包含IPv6擴展報頭的數據包嗎？
建議用戶根據過濾策略在網絡中的執行位置，靈活設置針對包含IPv6擴展報頭的數據包的過濾策略。

如果過濾策略是在傳輸路由器上強制執行，在可能的范圍內使用黑名單方法進行過濾，盡量避免刪除數據包；如果過濾策略在企業網絡上強制執行，這時用戶想要只允許希望接收的流量，因此應該采用白名單方法。

[IPv6-EHS-f]包含關于過濾IPv6包的建議，其中包含傳輸路由器上的擴展報頭。此外，它包含了對所有標準化IPv6擴展報頭和選項的安全評估，以及對此類數據包過濾產生的任何潛在互操作性問題的分析。

21.用戶應該如何評估網絡和設備使用擴展頭繞過安全控制？
大多數IPv6安全工具包提供了對任意IPv6擴展報頭攻擊包的支持。例如，[SI6-RA6]解釋了擴展頭和路由器的使用通告包。

22.雙棧網絡應該設置哪些包過濾策略？
IPv6協議的安全策略應該與IPv4協議的安全策略相匹配，但因為目前缺乏針對IPv6協議的設置經驗，企業在設置IPv6協議的安全策略時存在很多漏洞。

23.使用臨時地址和穩定地址的網絡，該如何配置IPv6防火墻？
配置時應允許從任何地址發出連接，但只允許從穩定地址傳入連接。因此，由于類似客戶機的活動(如Web瀏覽)而暴露的地址將不能用于外部系統來連接回內部節點或地址掃描到內部節點。

24.臨時地址會如何影響用戶的ACL？
臨時地址會隨時間變化，所以如果將使用臨時地址的節點指定為單個IPv6地址或一組地址，則通常會失敗。

如果要實施這些ACL，可以選擇以下方式：
◎在每個前綴的基礎上指定ACL(例如/64)
◎禁用受影響節點上的臨時地址
◎在穩定的地址上執行ACL，并配置節點，使穩定地址比臨時地址更適合訪問ACL中描述的服務/應用程序

25.IPv6網絡環境為企業的安全防護措施帶來了哪些新挑戰？
IPv6網絡環境下IP地址空間幾乎接近無限，攻擊者可利用的IP資源池也將無限擴大，網絡數據激增。同時，隨著攻擊者對大規模代理IP池，尤其是秒撥IP的廣泛使用，IP地址變得不再可信，這使得許多傳統安全方案對于攻擊的誤報和漏報迅速增長。基于IP地址維度的傳統安全策略已無法滿足新趨勢下的防護需求。

了解更多關于IPv6及CDN知識關注騰訊云CDN公眾號，技術干貨一手掌握！

總結

以上是生活随笔為你收集整理的企业必须关注的IPv6网络安全25问的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。