Обзор безопасности IPv6: маленький взгляд в будущее

Введение

Текущая версия Интернет-протокола – IPv4. Она используется для отправки данных через Интернет и делает возможным взаимодействие между различными службами. Как известно всем экспертам, этот протокол имеет значительные ограничения, такие как максимальное адресное пространство и некоторые известные проблемы безопасности. Проблемы безопасности во многом зависят от первоначального проекта разработки, в котором определенно не было «безопасности» как определяющего фактора, и вся конечная среда считалась дружественной. Однако на протяжении многих лет, в ответ на эти недостатки и с учетом быстрого роста глобальной сети, были введены новые технологии, такие как SSL/TLS и IPSec, для устранения этих проблем.

Однако, несмотря на эти усовершенствования, во всей архитектуре по-прежнему отсутствует ожидаемый уровень безопасности и гибкости. В результате этих известных ограничений IETF разработал новый проект для нового Интернет-протокола в начале 90-х, имея в виду «простоту настройки», производительность и безопасность.

В этой статье мы проанализируем особенности нового набора интернет-протоколов, его преимущества и недостатки, а также возможные последствия с точки зрения безопасности. Этот документ не претендует на то, чтобы быть исчерпывающим, и должен рассматриваться как результат учебной деятельности независимого автора.

Старая версия IPv4

Чтобы лучше понять актуальные новые функции IPv6, мы должны сначала знать его предшественник. Как уже упоминалось, IPv4 был разработан без учета безопасности. Это означает, что безопасность при обмене данными через этот набор протоколов должна или должна гарантироваться «конечными узлами». Если мне нужно отправить или получить высокочувствительные данные, а затем использовать безопасный канал (шифрование?), Это приложение отвечает за предоставление этой услуги.

В настоящее время Интернет работает таким образом. Эта и многие другие характеристики, которые не будут рассмотрены в этом документе, позволили различным типам угроз взлететь в цифровом мире. Самыми известными из них, безусловно, являются:

1) Разведывательные атаки:

Этот тип атаки происходит благодаря сравнительно небольшому размеру IPv4-адресации, поскольку можно сканировать всю сеть, чтобы найти открытые и / или непатентованные службы. На самом деле, довольно просто выполнить разведывательное сканирование сети класса C за несколько минут. В этой категории мы можем добавить «Ping Sweep» (очистка сети с помощью сообщений ping ICMP, которые запрашивают ответ), «Сканирование портов» (для поиска активных и доступных служб) и «Сканирование уязвимостей приложений» (для поиска известных уязвимостей в обнаруженных службах). ).

2) Атаки отказа в обслуживании:

При атаках такого типа служба оказывается недоступной из-за большого количества незаконных запросов. Для этой категории можно упомянуть атаку смарф (помните?).

3) Атаки «Человек посередине»:

Отсутствие собственного механизма аутентификации в коммуникациях позволяет хакерам перехватывать данные при передаче.

4) Атака отравления ARP:

В IPv4 ARP (протокол разрешения адресов) отвечает за сопоставление IP-адреса узла с его физическим MAC-адресом. Эта информация хранится локально (таблица ARP) каждым хостом, который является частью связи. Атака «Отравление ARP» происходит, когда произвольный ответ ARP с неверной внутренней информацией отправляется на хост, который является частью связи, подразумевая, что законные пакеты будут доставлены в непредвиденные места назначения.

5) Адресные спуфинговые атаки:

В современных протоколах связи один из ключей для завершения кибератак – это возможность изменить адрес источника пакета. IPv4 допускает такую возможность, поскольку он не предоставляет какого-либо механизма сквозной аутентификации.

Сегодня эти типы атак используются для распространения спама, вредоносных программ, а также для выполнения DoS / DDoS-атак. IP-спуфинг также позволяет маскировать истинное происхождение вредоносных пакетов, делая операции отслеживания более сложными.

6) вредоносные атаки:

Вредоносное ПО на сегодняшний день остается одной из самых больших проблем, связанных с безопасностью. В настоящее время с помощью IPv4 вредоносные программы могут не только повредить затронутый хост, но и насытить (или частично использовать) имеющиеся сетевые ресурсы. Необходимо пояснить, что с появлением IPv6 не было способа искоренить эти угрозы, и концепция потенциального ущерба от заражения вредоносным ПО по существу останется прежней. Однако можно предположить, что из-за более широкого спектра адресации его распространение может быть медленнее.

Что нового в IPv6?

Как уже говорилось, IPv6 – это не обновление IPv4, а совершенно новый набор протоколов.

Это означает, что различия между ними очень заметны:

1) Адресное пространство:

IPv4 предоставляет до 2 ^ 32 адресов. IPv6 предоставляет до 2 ^ 128 адресов.

2) Иерархическая адресация:

В IPv6 мы можем найти 3 основных типа адресов: Unicast, Multicast и Anycast. Одноадресные адреса присваиваются одному узлу. Адреса многоадресной рассылки присваиваются множеству узлов в пределах одной группы многоадресной рассылки, а адреса произвольной рассылки назначаются группам узлов.

3) QoS (качество обслуживания) и характеристики:

Заголовок пакета IPv6 предусматривает поля, которые облегчают поддержку QoS. Кроме того, новый стандарт является большим шагом вперед с точки зрения производительности.

4) Безопасность:

Использование IPSec в IPv6 не является обязательным, но обязательным.

5) Расширяемость:

Несмотря на новые функции и значительное увеличение адресного пространства, заголовок IPv6 лишь немного больше, чем у IPv4 (практически вдвое, 40 байт). Заголовок IPv6 не содержит никаких дополнительных полей или контрольной суммы. Для удобства сравнения ниже приведены пояснительные изображения заголовка IPv4 и заголовка IPv6:

Обзор безопасности IPv6: маленький взгляд в будущее

В IPv4 за заголовком IPv4 следуют данные транспортного протокола (TCP, UDP), также известные как «полезная нагрузка».

В IPv6 за заголовком IPv6 следует «заголовок расширений», а затем данные транспортного протокола.

6) Авто-настройка:

IPv6 обеспечивает автоматическую настройку IP-адресов с сохранением состояния и без сохранения состояния. Автоматическая конфигурация с использованием состояния использует DHCP. Автоконфигурация без сохранения состояния происходит без использования DHCP.

Улучшения безопасности

Для правильной точки зрения справедливо полагать, что IPv6 не обязательно более безопасен, чем IPv4. Внедренный подход к безопасности, хотя и значительно реализованный, все еще маргинальный и не совсем новый. Однако есть некоторые соображения, которые, без сомнения, повышают уровень надежности IPng.

1) Обязательное использование IPSec:

IPv4 также предлагает поддержку IPSec. Однако поддержка IPSec в IPv4 является необязательной. Вместо этого RFC4301 делает обязательным использование в IPv6. IPSec состоит из набора криптографических протоколов, предназначенных для обеспечения безопасности при передаче данных. IPSec имеет несколько протоколов, которые являются частью его набора: AH (заголовок аутентификации) и ESP (инкапсуляция полезной нагрузки безопасности). Первый обеспечивает аутентификацию и целостность данных, второй, в дополнение к ним, также обеспечивает конфиденциальность. В IPv6 заголовок AH и заголовок ESP определяются как заголовки расширения.

Фундаментальная концепция IPSec – «Ассоциация безопасности» (SA). SA однозначно идентифицируется некоторыми параметрами, такими как SPI (Индекс параметров безопасности – поле в заголовке AH / ESP), протокол безопасности и IP-адрес назначения. SA определяет тип служб безопасности для соединения и обычно содержит ключ для шифрования данных, а также используемые алгоритмы шифрования. IKE (Internet Key Exchange) – это процесс, используемый для согласования параметров, необходимых для установления нового SA. Ниже приведены некоторые подробности об AH и ESP:

AH (заголовок аутентификации):

Как уже было сказано, AH обеспечивает аутентификацию и целостность данных для всего пакета IPv6. «Аутентификация» означает, что если конечная точка получает пакет с конкретным адресом источника, можно быть уверенным, что IP-пакет действительно пришел с этого IP-адреса.

«Целостность», с другой стороны, означает, что если конечная точка получает данные, содержимое этих данных не было изменено на пути от источника к месту назначения. На рисунке ниже показан формат для AH:

Из только что показанного изображения мы видим несколько различных полей. Поле «Следующий заголовок» определяет тип транспорта, например, TCP. «Длина полезной нагрузки» определяет длину заголовка аутентификации. Поле SPI идентифицирует индекс параметра безопасности, который будет использоваться для идентификации SA. «Поле порядкового номера» – это счетчик, который увеличивается на 1, когда отправитель или получатель получает или передает данные. Через SNF обеспечивается защита от повторного воспроизведения, потому что, когда получатель получает пакет с повторяющимся полем порядкового номера, он отбрасывается (мы можем видеть в атаках «Повтор сеанса» в IPv4).

«Данные аутентификации» содержат ICV (значение проверки целостности), которое обеспечивает целостность данных и аутентификацию. ICV рассчитывается с использованием заголовка IP, полезной нагрузки пакета IP и заголовка AH. На самом деле происходит то, что, когда получатель получает пакет, он вычисляет ICV с помощью алгоритма и указанного ключа в SA. В соответствии с показанными деталями и используемой технологией, AH может предотвратить «IP Spoofing Attack».

ESP (инкапсуляция защищенной полезной нагрузки):

ESP обеспечивает конфиденциальность, аутентификацию и целостность данных. Под термином «конфиденциальность» мы подразумеваем, что никто другой, даже предполагаемый получатель, не может прочитать содержание сообщений при передаче. Как уже упоминалось для AH, ESP также обеспечивает защиту от повторного воспроизведения. Изображение ниже показывает формат пакета ESP:

Что касается AH, ESP также содержит поле SPI, которое используется для идентификации SA. Поле «Sequence Number», как и в AH, обеспечивает защиту от повторного воспроизведения. Интересно отметить поле «Следующий заголовок», которое описывает тип данных, содержащийся в поле «Данные полезной нагрузки» (весь пакет, если ESP используется в туннельном режиме, или только полезная нагрузка, если используется в транспортном режиме). Поле «Данные аутентификации» содержит ICV (если служба аутентификации указана SA, связанной с SPI), которая обеспечивает аутентификацию и целостность данных. Алгоритм аутентификации, используемый для расчета ICV, также определяется SA.

2) Большое адресное пространство:

Как упоминалось выше, в IPv4 разведывательные атаки и сканирование портов являются относительно простыми задачами. Наиболее распространенные сегменты сети в текущем интернет-протоколе относятся к классу C с 8 битами, выделенными для адресации. В настоящее время для выполнения атак такого типа на этих сегментах сети требуется не более нескольких минут. Выделение 64 битов для адресации (как и ожидалось в подсети IPv6) означает выполнение сканирования сети 2 ^ 64 (18446744073709551616) хостов. Это практически невозможно.

3) Открытие соседей:

ND (Neighbor Discovery) – это механизм, используемый для обнаружения маршрутизатора и префикса. Это протокол сетевого уровня, подобный IPv4-эквивалентам ARP и RARP. ND очень тесно работает с автоконфигурацией адресов, которая является механизмом, используемым узлами IPv6 для получения информации о конфигурации. Автоматическая настройка как ND, так и адреса делает IPv6 более безопасным, чем его предшественник.

IPng против старых атак

В этом разделе мы проанализируем некоторые из наиболее популярных кибератак в перспективе, сфокусированной на сравнении и возможном влиянии этих атак на IPng.

1) Разведывательные атаки:

Разведывательные атаки в IPv6 различаются по двум основным причинам. Первая заключается в том, что «сканирование портов» и / или «Ping Sweep» гораздо менее эффективны в IPv6 из-за, как уже говорилось, огромной подсети в игру. Во-вторых, новые многоадресные адреса в IPv6 позволят легче находить ключевые системы в сети, такие как маршрутизаторы и некоторые типы серверов. Кроме того, сеть IPv6 имеет гораздо более тесную связь с ICMPv6 (по сравнению с ICMP-контрагентом IPv4), что не позволяет использовать слишком агрессивные фильтры для этого протокола. В остальном техники остаются прежними.

2) через стену:

В этом классе будет обсуждаться тип атак, в которых злоумышленник пытается использовать небольшие ограничивающие политики фильтрации. В настоящее время мы привыкли к разработке списков доступа (ACL), чтобы ограничить несанкционированный доступ к сети, которую мы хотим защитить, установив определенные политики на шлюзовых устройствах между конечными точками IPv4. Необходимость контроля доступа в IPv6 такая же, как и в IPv4. В IPv6 основные функции для предотвращения несанкционированного доступа одинаковы. Однако, учитывая значительные различия между заголовками двух протоколов, можно представить различные способы их реализации.

3) Поддельные атаки:

В то время как спуфинг L4 остается тем же самым, из-за глобально агрегированного характера IPv6, ожидается, что его спуфинг будет легче развернуть. Однако хост-часть адреса не защищена. Атаки на уровне 4 не изменяются, поскольку протоколы L4 не меняются в IPv6 в отношении спуфинга.

4) DDoS-атаки:

В IPv6 мы не можем найти широковещательный адрес. Это означает, что все возникающие атаки усиления, такие как smurf, будут остановлены. Спецификации IPv6 запрещают генерацию пакетов ICMPv6 в ответ на сообщения на адрес назначения многоадресной рассылки IPv6, адрес многоадресной рассылки на канальном уровне или широковещательный адрес на канальном уровне. В целом, благодаря принятию нового стандарта мы должны найти улучшение в этом отношении.

5) Маршрутные атаки:

Маршрутные атаки относятся к действиям, которые пытаются перенаправить поток трафика в сети. В настоящее время протоколы маршрутизации защищены с помощью криптографической аутентификации (MD5 с предварительным общим ключом) между узлами. Этот механизм защиты не изменится с IPng. BGP был обновлен для переноса информации о маршрутизации IPv6.

6) Вредоносное ПО:

В IPv6 нет конкретной реализации, которая позволила бы изменить классический подход к вредоносным программам. Однако черви, использующие Интернет для поиска уязвимых хостов, могут столкнуться с трудностями при распространении из-за большого адресного пространства.

7) нюхает:

Это классическая атака, которая включает захват данных при передаче по сети. IPv6 предоставляет технологию для предотвращения подобных атак с помощью IPSec, но не упрощает проблемы управления ключами. По этой причине эту технику можно продолжать практиковать.

8) Атаки L7:

Здесь мы ссылаемся на все эти типы атак, выполняемых на уровне 7 модели OSI. Кроме того, учитывая глобальное внедрение IPSec, этот тип атак практически не изменится. Переполнение буфера, уязвимость веб-приложений и т. Д. Не могут быть остановлены с помощью принятия IPv6. Есть и другое соображение: если IPSec будет реализован в качестве стандарта для связи между конечными точками, все устройства, такие как IDS / IPS, брандмауэры и антивирус, будут видеть только зашифрованный трафик, способствующий атакам такого типа.

9) Человек посередине:

IPv6 подвержен тем же рискам безопасности, с которыми мы можем столкнуться при атаке «человек посередине», которая затрагивает набор протоколов IPSec.

10) Наводнения:

Атака наводнения – это атака типа «отказ в обслуживании» (DoS), при которой злоумышленник отправляет множество запросов SYN в систему цели, чтобы перегружать сервер и отключать сеть / отключать ее от реального трафика. Короче говоря, это именно то, на что это похоже. Основные принципы атаки с использованием наводнения остаются неизменными в IPv6.

Выводы

Без сомнения, IPv6 представляет собой большой шаг вперед по сравнению со своим предшественником. Весь набор протоколов был разработан для улучшения функциональности и безопасности. Однако, несмотря на это, IPv6 создает новые проблемы в обеих этих областях, не учитывая возникающие проблемы перехода. Короче говоря, это определенно то, что доставит массу удовольствия профессионалам информационной безопасности. Дополнительную информацию об уязвимостях безопасности IPv6 можно найти в этой статье .