IPv6规模化部署下互联网企业IPv6安全升级与实践

阿里安全猎户座实验室高级专家 东帆

 

0x00  引言

随着国家对IPv6的发展战略高度重视,2017年11月26日中共中央办公厅、国务院办公厅发布《推进互联网协议第六版(IPv6)规模部署行动计划》,2018年5月2日工信部发布工业和信息化部关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知。其中针对IPv6安全,计划中特别提到并重点要求升级安全系统,强化IPv6地址管理,增强IPv6安全防护,加强IPv6环境工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究,构筑新兴领域安全保障能力。

同时技术和市场角度来看,随着5G、IoT、云计算技术的不断成熟,万物互联时代即将到来,随之而来的是海量的终端设备接入需求,目前IPv4地址空间已不足以支撑未来发展要求,由于IPv4地址的枯竭,其交易价格也在不断攀升,各相关企业也有实际的IPv6升级需求。

当前运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等IPv6规模化部署均按照行动计划要求大力推进中,加速构建高速率、广普及、全覆盖、智能化的下一代互联网,按照部署计划,到2018年末,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,到2020年末,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址,到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位。

我国整个网络环境将随网络、应用、终端全面支持IPv6以及IPv6网络规模、用户规模、流量规模的增长发生翻天覆地的变化, 新的网络环境以及新兴领域将同时面临新的安全挑战。

当前IPv6规模化部署实际推行过程中面临众多问题与挑战,如网络设备升级、IPv6路由管理分配、IPv6编址规范及分配、双栈、过渡技术、应用与业务兼容适配等,与此同时IPv6安全解决方案及产品升级也遇到极大的挑战,而且IPv6规模化部署与安全升级互相促进互相影响。

前文《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》,已从IPv6协议安全威胁结合互联网网络安全运营视角介绍了面临的新的安全威胁及加固建议,本文重点从互联网企业IPv6规模化部署实际推行过程中面临的问题、安全影响及IPv6安全方案视角进行分析,同时介绍互联网企业IPv6网络安全升级的相关实践。

 

0x01  互联网企业IPv6规模部署改造升级

IPv6改造涉及应用、云、管、端等整体改造,涵盖运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等,IPv6是网络,是IT infrastructure,更是整个生态能力的提升。

互联网企业IPv6规模部署改造升级主要涉及网络设备、IPv6协议栈(含DNS/BGP/OSPF等协议栈)、网络管理(含海量自动化、监控工具开发等)、L4-L7网关(SLB/WAF/FW/LVS等)、IPv6地址/路由管理等、互联网质量监控和流量调度、全球质量探测系统、安全产品及防护(DDoS防护、流量清洗、网络隔离监控、业务风控等)等。

自2012年全球IPv6网络正式启动以来,阿里巴巴就已开始着手IPv6的网络研发的设备选型及升级路线改造,6年厚积薄发,阿里云已是目前国内唯一一家全面提供IPv6服务的云厂商。

阿里巴巴IPv4到IPv6的演进以及IPv6规模化部分改造遵循先外部后内部,以双栈技术为过渡的原则。

截止目前阿里云现已上线发布SLB、IPv6转换服务、云解析DNS、CDN、OSS、RDS六款产品,按照国家IPv6行动计划和统筹安排,阿里巴巴正在大力推进IPv6改造升级,2018年底前TOP50互联网企业应用(淘宝、天猫等)改造完成,可具备IPv6访问能力,同时阿里云产品会为客户提供端到端的IPv6解决方案,完成IPv4和IPv6双栈改造,50%云产品支持IPv6,包括VPC,ECS等。

阿里安全在阿里巴巴IPv6升级改造过程中基于新一代网络架构演进、协议栈变化、中间件、应用及业务等升级改造提前识别新的安全威胁、攻击面及影响,结合互联网业务改造节奏确定IPv6安全解决方案,升级整体IPv6安全检测能力及安全产品,支撑各产品为客户提供安全可靠的服务。

 

0x02互联网企业IPv6规模部署下的八大安全挑战

  1. IPv6协议栈安全

新的协议栈开始规模化部署,会带来新的攻击方式和攻击面,例如分片攻击、扩展头攻击、NDP攻击等,需要提前做好服务器以及网络设备等协议栈安全配置及加固,可以参考《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》。

  1. IPv6安全检测及扫描

IPv6 128位地址空间解决了网络地址资源数量的问题,也为物联网的发展提供了基础,同时地址空间变大使得攻击方实施IPv6扫描非常困难,但对于安全防护人员进行网络安全检测扫描也带来了新的挑战。

  1. IPv6 DNS安全

IPv6网络扫描困难难以实施的情况下攻击方可能会寻找新的攻击方式,公共节点例如DNS等可能会成为优先的攻击目标,需要提前考虑应对。

  1. IPv6 DDoS防护及黑洞

DDoS防护涉及用户IPv6编址规范、运营商IPv6黑洞路由支持以及互联网企业安全产品改造并对接,需要多部门及各厂商共同改造并协同配合,挑战很大。

  1. IPv6 业务风控

IPv6地址是业务风控策略中关键的一环,如何更快更智能化地升级安全防控能力,并精确快速区分恶意用户及精确溯源,涉及网络、业务、应用等,需要更全面更系统地梳理应对。

  1. IPv6 安全产品改造

安全产品(WAF/FW/IDS/IPS等)IPv6升级后与IPv6地址相关的策略及逻辑均要改造涉及,涉及面大,改造成本高。

  1. IPv6 网络安全

IPv6地址空间大,需要做好规划及地址分配策略,同时网络访问控制及隔离、扫描都要配套升级。

  1. IPv6过渡技术安全

IPv6各种过渡技术(例如隧道技术、翻译技术、IPv6/IPv4双栈技术等)安全控制措施默认情况下并不完善,需要结合认证、加密、完整性、访问控制等其他方案综合控制风险。

 

0x03  互联网企业IPv6安全升级及实践

从互联网企业安全架构来看,IPv6安全升级主要改造在系统层、网络层、存储层、应用业务层以及安全管理。

系统层:主要涉及端(PC、移动端以及IoT等)、服务器、网络设备相关系统改造,安全升级主要包括:IPv6协议栈安全配置加固、IPv6服务端口最小化开放、安全补丁、IPv6协议扫描及漏洞检测等。

网络层:安全升级主要包括网络设备IPv6安全配置加固、IPv6网络地址/路由规划、IPv6访问控制及隔离、IPv6网络路由安全策略、IPv6黑洞路由防DDoS、DNS/SLB/LVS/FW/IDS IPv6、定向IPv6网络扫描等。

存储层:安全升级主要包括IPv6地址库数据、黑灰产恶意IPv6数据、规则算法模型等。

应用业务层:安全升级主要包括应用漏洞扫描、WAF、CC防御、反爬虫、反欺诈/作弊及其他业务风控策略等升级改造,特别是基于IP的访问控制、基于IP的地址位置、基于IP的关系网等方面。

安全管理:安全升级主要包括IPv6相关的认证、鉴权、审计以及SIEM安全信息和事件管理。

另外,互联网企业IPv6规模部署和安全升级过程中,涉及到“云、管、端”,除了移动终端等厂商外,运营商是非常重要的,云和端的设备占到中国网民99%以上的规模,像中国联通、中国移动、中国电信以及教育网也是IPv6推动里面最强的一股力量,也是最核心的一部分,特别是用户IPv6地址编址及分配规范、精确溯源以及防DDoS等方面,在IPv6安全升级落地终端、运营商以及互联网企业IPv6安全需要统筹同步建设,各方协同配合才能更好地共建更安全更高效的新一代IPv6网络。

 

0x04  互联网IPv6安全未来展望

随着新一代互联网络的规模化部署和发展,IPv6网络规模、用户规模、流量规模快速增长,对于互联网IPv6安全未来发展有几点自己的看法,希望对大家做好IPv6安全防护有所帮助。

1、建立自主可控完备高效的IPv6安全防护网络需要从标准、应用、端、管、云及各行各业的共同努力,特别是IPv6编址、精确溯源等方面需要政府主导规范、行业间共建共享。

2、IPv6协议栈稳定会有一个过程,随着支持IPv6应用逐步上线,用户流量上一定规模,会有新一轮新形式的IPv6攻防对抗,特别是在业务风控、防DDoS、IPv6协议漏洞挖掘等方面。

3、IPv6随着政策牵引以及5G、IoT、云计算等对于IP地址需求大的业务不断成熟,会迎来一个快速发展期, IPv6安全产品及检测防护升级需要重点投入并提前READY,确保新一代IPv6网络安全风险可控。

(完)