2011 年 5 月 香 港 特 別 行 政 區 政 府 這 份 文 件 的 內 容 為 香 港 特 別 行 政 區 政 府 的 財 產, 未 經 香 港 特 別 行 政 區 政 府 的 明 文 批 准, 不 得 轉 載 全 部 或 部 份 文 件 內 容 免 責 聲 明 : 政 府 盡 力 確 保 本 文 資 料 準 確, 但 不 明 示 或 隱 含 保 證 資 料 準 確 無 誤 對 於 因 使 用 本 文 資 料 而 引 致 或 與 之 有 關 的 任 何 錯 誤 或 遺 漏, 香 港 特 別 行 政 區 政 府 概 不 承 擔 任 何 法 律 責 任
目 錄 摘 要... 2 I. 介 紹... 3 II. 保 安 考 慮... 5 A. 針 對 IPv4 的 保 安 改 進... 5 B. 潛 在 的 威 脅 與 對 策... 6 C. IPv4 與 IPv6 之 常 見 攻 擊... 8 D. IPv6 之 轉 換... 9 III. 良 好 作 業 模 式... 10 第 1 頁
摘 要 互 聯 網 規 約 版 本 6(IPv6) 規 約 雖 解 決 了 一 些 在 互 聯 網 規 約 版 本 4(IPv4) 網 絡 中 所 發 現 的 保 安 問 題, 但 並 非 全 部 都 已 解 決 舉 例 而 言, 在 IPv6 規 約 中, 互 聯 網 規 約 保 安 (IPsec) 是 強 制 的, 比 舊 版 之 IPv4 標 準 更 加 安 全 然 而, 即 使 IPv6 規 約 擁 有 彈 性, 依 然 會 產 生 新 的 問 題 IPv6 規 約 建 構 了 一 個 流 動 的 互 聯 網 規 約, 但 針 對 這 個 流 動 互 聯 網 規 約 的 保 安 解 決 方 案 則 尚 未 開 發 完 成 此 外,IPv6 之 動 態 配 置 彈 性 ( 如 Stateless Address Auto-Configuration) 如 果 沒 有 正 確 執 行, 也 會 成 為 一 個 嚴 重 的 保 安 問 題 整 體 強 化 的 IPv6 可 以 在 某 些 特 定 領 域 提 供 更 好 的 保 安, 但 有 些 地 方 可 能 仍 然 會 被 攻 擊 者 利 用 以 作 攻 擊 本 文 將 針 對 IPv6 在 保 安 上 的 改 進, 可 能 的 威 脅, 應 注 意 的 保 安 事 項, 和 部 署 IPv6 的 良 好 作 業 模 式 第 2 頁
I. 介 紹 目 前 通 行 的 互 聯 網 規 約 標 準 可 以 追 溯 到 1970 年 代 所 開 發 的 IPv4( 互 聯 網 規 約 版 本 4) IPv4 有 許 多 眾 所 皆 知 的 限 制, 包 括 有 限 的 互 聯 網 規 約 位 址 空 間 以 及 缺 乏 保 安 性 IPv4 的 互 聯 網 規 約 位 址 字 段 設 計 是 32 數 元, 因 此 可 用 位 址 空 間 很 快 便 用 盡 IPv4 所 提 供 的 1 唯 一 保 安 功 能 是 讓 主 機 以 安 全 方 式 送 出 並 處 理 限 制 參 數 的 保 安 選 項 因 此, 互 聯 網 工 程 專 責 組 (Internet Engineering Task Force, IETF) 開 始 著 手 進 行 IPv6 ( 互 聯 網 規 約 版 本 6) 的 詳 細 規 格, 以 解 決 這 些 限 制 以 及 性 能 易 於 配 置 和 網 絡 管 理 等 問 題 IPv6 核 心 規 格 是 根 據 好 幾 個 Request for Comments(RFCs) 所 制 訂, 如 RFC 2460 2 (IPv6 規 約 ),RFC4861(IPv6 3 Neighbour Discovery), RFC4862(IPv6 4 Stateless Address Auto-Configuration ), RFC4443 5 ( 針 對 IPv6 之 Internet Control Message Protocol ( ICMPv6 ), RFC4291 6 ( IPv6 Addressing Architecture ) 以 及 RFC4301 7 ( Security Architecture for IP or IPSec) IPv6 也 作 為 下 一 代 的 互 聯 網 規 約 (Next Generation Internet Protocol, IPng) 標 準 IPv6 與 IPv4 標 頭 格 式 (header format) 上 的 不 同 概 述 如 下 : 1. IPv6 標 頭 格 式 1 http://www.ietf.org/rfc/rfc0791.txt 2 http://tools.ietf.org/html/rfc2460 3 http://tools.ietf.org/html/rfc4861 4 http://tools.ietf.org/html/rfc4862 5 http://tools.ietf.org/html/rfc4443 6 http://tools.ietf.org/html/rfc4291 7 http://tools.ietf.org/html/rfc4301 第 3 頁
2. IPv4 標 頭 格 式 有 關 IPv6 規 約 新 的 特 徵 概 述 如 下 : 1. 新 的 標 頭 格 式 2. 更 大 的 位 址 空 間 (IPv6 為 128 數 元,IPv4 則 為 32 數 元 位 址 空 間 ) 3. 有 效 率 以 及 具 階 層 性 的 定 址 與 路 由 基 礎 建 設 4. 兼 具 stateless 與 stateful 的 位 址 配 置 5. 互 聯 網 規 約 保 安 6. 較 佳 的 服 務 質 素 (Quality of Service, QoS) 支 援 7. 有 關 鄰 近 節 點 互 動 的 新 規 約 8. 可 伸 展 性 強 化 的 IPv6 在 某 些 地 方 提 供 較 佳 的 保 安, 但 亦 有 一 些 範 圍 仍 是 開 放 給 攻 擊 者 入 侵 的 第 4 頁
II. 保 安 考 慮 A. 針 對 IPv4 的 保 安 改 進 1. 大 量 的 互 聯 網 規 約 位 址 空 間 增 加 埠 掃 描 (port scanning) 的 難 度 攻 擊 者 在 開 始 入 侵 前, 通 常 會 先 執 行 埠 掃 描 的 偵 察 技 術, 以 盡 可 能 蒐 集 受 害 者 網 絡 的 資 8 料 根 據 估 計, 在 足 夠 的 帶 寬 下, 整 個 以 IPv4 為 基 礎 的 互 聯 網 可 以 在 約 十 小 時 左 右 便 掃 描 完 畢, 因 為 IPv4 位 址 寬 度 只 有 32 數 元 IPv6 則 把 位 址 寬 度 擴 充 至 128 數 元 如 此 大 量 位 址 空 間 就 形 成 一 個 有 效 屏 障, 阻 止 攻 擊 者 進 行 完 整 埠 掃 描 的 企 圖 然 而, 除 了 較 大 互 聯 網 規 約 位 址 空 間 外, 用 於 IPv6 的 埠 掃 描 偵 察 技 術 基 本 上 和 用 於 IPv4 的 技 術 是 一 樣 的 因 此, 現 行 用 於 IPv4 的 最 佳 作 業 實 務, 如 過 濾 邊 界 路 由 器 (border routers) 中 的 內 部 使 用 之 IPv6 位 址, 以 及 過 濾 防 火 牆 的 非 使 用 服 務, 應 在 IPv6 網 絡 中 繼 續 使 用 Cryptographically Generated Address (CGA) 在 IPv6 中, 將 一 個 公 開 簽 署 密 碼 匙 和 一 個 IPv6 位 址 連 結 在 一 起 是 可 能 的 這 樣 所 產 生 的 IPv6 位 址 稱 為 Cryptographically Generated Address (CGA) 9 這 可 爲 IPv6 鄰 邊 路 由 器 (neighbourhood router) 的 探 索 機 制 (discovery mechanism) 提 供 額 外 的 安 全 保 護, 並 且 允 許 使 用 者 爲 特 定 的 IPv6 位 址 提 供 所 有 權 證 以 證 明 其 擁 有 權 這 是 IPv6 和 IPv4 的 主 要 差 別, 而 將 這 項 功 能 運 用 於 僅 有 32 數 元 位 址 空 間 限 制 的 IPv4 是 不 可 能 的 CGA 提 供 以 下 三 項 主 要 優 點 : 1. 使 仿 冒 與 竊 取 IPv6 位 址 的 攻 擊 更 加 困 難 2. 允 許 擁 有 者 利 用 私 人 密 碼 匙 替 信 息 簽 署 3. 毋 需 對 整 個 網 絡 基 礎 作 任 何 的 升 級 或 修 改 8 http://www.opte.org/history/ 9 http://www.ietf.org/rfc/rfc3972.txt 第 5 頁
2. 互 聯 網 規 約 保 安 (IPsec) 10 互 聯 網 規 約 保 安, 或 簡 稱 IPsec, 爲 互 聯 網 規 約 層 (IP layer) 上 的 傳 輸, 提 供 互 用 的 高 質 素 及 以 加 密 為 基 礎 的 保 安 服 務 IPsec 的 功 能 在 IPv4 中 是 選 擇 性 的, 但 在 IPv6 規 約 裡 則 是 一 項 提 昇 強 制 性 的 功 能 IPsec 藉 著 提 供 真 確 性 完 整 性 保 密 性 以 及 透 過 AH (Authentication header) 和 ESP(Encapsulating Security Payload) 兩 個 規 約 對 每 個 IP 小 包 的 接 達 控 制 來 提 昇 原 本 的 互 聯 網 規 約 3. 以 鄰 居 發 現 (ND) 規 約 取 代 ARP 規 約 在 IPv4 規 約 裡, 第 二 層 (L2) 位 址 並 非 與 第 三 層 (L3) 位 址 靜 態 地 連 結 因 此, 在 規 約 沒 有 作 出 明 顯 改 動 的 情 況 下,IPv4 可 在 任 何 L2 媒 體 之 上 執 行 L2 與 L3 位 址 的 連 結 是 由 一 個 名 為 ARP 的 規 約 所 建 立 的 ARP 在 區 域 網 絡 區 段 上, 建 立 了 L2 與 L3 位 址 之 間 的 動 態 對 映 ARP 也 有 其 保 安 漏 洞 ( 如 ARP 仿 冒 ) IPv6 規 約 則 不 需 要 ARP, 因 為 L3 上 IPv6 位 址 的 interface identifier(id) 部 份 是 直 接 取 於 一 個 裝 置 專 用 的 L2 位 址 ( MAC 位 址 ) 在 L3 上 的 IPv6 位 址, 加 上 它 在 區 域 取 得 的 界 面 ID 部 份, 會 用 於 整 個 IPv6 網 絡 的 所 有 位 址 層 因 此, 與 ARP 相 關 的 保 安 問 題 就 不 再 存 在 於 IPv6 中 RFC4861 11 所 定 義 的 一 個 名 為 鄰 居 發 現 (ND) 的 新 規 約, 將 取 代 ARP 而 用 於 IPv6 之 上 B. 潛 在 的 威 脅 與 對 策 1. IP 位 址 的 構 造 IP 位 址 的 構 造 決 定 網 絡 的 結 構 設 計 良 好 的 位 址 構 造 可 減 少 由 IPv6 新 功 能 所 帶 來 的 潛 在 風 險 當 設 計 IPv6 網 絡 時, 應 考 慮 下 列 因 素 編 號 計 劃 (numbering plan) 與 階 層 性 的 定 址 編 號 計 劃 記 錄 如 何 分 割 其 IPv6 位 址 的 編 配 例 如, 一 個 機 構 採 用 一 個 16 子 網 絡 位 元 (subnet bit)( 即 /48) 的 地 址 區 塊 (address block) 的 話, 它 可 支 持 最 多 65,000 個 子 網 絡 一 個 好 的 編 號 計 劃, 能 在 日 常 保 安 操 作 上, 簡 化 接 達 控 制 清 單 (access control list) 和 防 火 牆 規 則 它 亦 更 易 辨 識 網 站 連 結 和 界 面 的 擁 有 權 機 構 應 考 慮 以 下 列 的 子 網 絡 方 式, 小 心 地 計 劃 並 建 立 一 個 階 層 性 的 網 絡 10 RFC4301 (http://tools.ietf.org/html/rfc4301) 11 http://tools.ietf.org/html/rfc4861 第 6 頁
順 序 編 號 子 網 絡 VLAN 編 號 IPv4 子 網 絡 編 號 網 絡 的 所 在 位 置 機 構 內 的 功 能 單 位 ( 如 會 計 營 運 等 ) 可 追 蹤 的 EUI-64 位 址 的 問 題 12 IEEE EUI-64 位 址 代 表 IPv6 的 一 種 新 的 網 絡 界 面 的 定 址 網 絡 界 面 的 EUI-64 位 址, 是 從 網 絡 界 面 的 物 理 位 址 (MAC 位 址 ) 演 算 出 來 的 通 過 自 動 配 置, 界 面 的 整 體 IPv6 位 址 (global IPv6 address) 可 以 從 網 絡 識 別 碼 (network identifier) 和 EUI-64 位 址 中 產 生 攻 擊 者 透 過 EUI-64 位 址, 有 可 能 探 知 遙 距 電 腦 的 品 牌 和 型 號, 並 藉 此 找 尋 攻 擊 目 標 為 減 低 風 險, 應 利 用 加 密 算 法 ( 例 如 CGA) 或 以 DHCPv6 分 配 位 址 的 方 式, 使 用 不 可 預 測 的 位 址 2. 未 獲 授 權 的 IPv6 客 戶 端 大 多 數 流 行 的 操 作 系 統 和 儀 器 支 援 IPv6, 因 此 用 戶 很 容 易 甚 至 不 知 不 覺 間 啟 用 了 IPv6 由 於 IPv6 加 大 了 功 能, 以 及 IPv6 主 機 可 能 擁 有 數 個 整 體 IPv6 位 址 的 關 係, 一 旦 接 達 控 制 的 設 置 不 當, 攻 擊 者 很 容 易 利 用 這 弱 點 來 進 行 網 絡 層 面 的 接 達 應 考 慮 下 列 措 施 以 減 低 風 險 : 找 出 啟 用 了 IPv6 的 儀 器, 並 關 閉 其 IPv6 在 網 絡 周 邊 偵 測 並 封 鎖 IPv6 或 IPv6 隧 道 的 通 訊 在 機 構 的 保 安 計 劃 內 加 入 IPv6 使 用 政 策 3. 鄰 居 發 現 與 不 可 設 定 狀 況 的 位 址 自 動 設 定 鄰 居 發 現 (ND) 是 用 來 取 代 ARP 的 而 不 可 設 定 狀 況 的 位 址 自 動 設 定 (Stateless Address Auto-Configuration) 則 是 一 個 ICMPv6 裡 類 似 DHCP 的 輕 量 式 功 能 它 允 許 一 個 IPv6 主 機 在 與 IPv6 網 絡 作 連 結 時 進 行 自 動 配 置 這 兩 個 都 是 IPv6 規 約 裡 有 力 且 靈 活 的 選 項 然 而 鄰 居 發 現 仍 然 可 能 受 到 攻 擊, 導 致 網 絡 小 包 流 向 意 想 不 到 的 地 方, 拒 絕 服 務 攻 擊 就 是 其 中 一 種 可 能 的 後 果 這 種 攻 擊 亦 可 能 被 用 來 攔 截, 甚 至 修 改 傳 到 其 它 節 點 的 小 包 這 保 安 問 題 除 了 可 由 IPSec AH 來 加 以 保 護 外, RFC3756 13 (IPv6 ND Trust Models and Threats) 還 預 計 了 IPv6 鄰 居 發 現 的 安 全 機 制 可 運 行 在 那 些 網 絡 上 這 三 種 不 同 信 賴 模 式, 大 致 可 對 應 為 保 安 機 構 內 聯 網 公 開 無 線 接 達 網 絡 和 純 粹 臨 機 操 作 的 網 絡 此 外, SEcure Neighbor Discovery (SEND) 規 約 亦 提 供 另 一 以 加 密 方 式 來 保 護 鄰 居 發 現 的 機 制 12 EUI 為 Extended Unique Identifier 的 首 字 母 縮 略 字 例 如, 3BA7:94FF:FE07:CBD0 便 是 一 個 以 冒 號 十 六 進 位 法 進 行 標 記 的 EUI-64 識 別 代 號 13 http://tools.ietf.org/html/rfc3756 第 7 頁
互 聯 網 規 約 網 絡 ( 版 本 4 或 版 本 6) 的 鄰 居 發 現 以 及 路 由 請 求 (router solicitation) 是 使 用 ICMP 的 ICMPv4 是 一 個 獨 立 於 IPv4 的 個 別 規 約, 而 ICMPv6 則 是 可 以 直 接 在 IPv6 規 約 上 執 行 的 完 整 規 約, 因 此 也 會 導 致 保 安 問 題 在 IPv6 規 約 之 上 交 換 含 有 重 要 網 絡 健 康 狀 況 及 環 境 請 求 的 ICMPv6 信 息, 對 於 IPv6 通 訊 而 言 是 很 重 要 的 然 而, 因 拒 絕 服 務 傳 輸 再 路 由 (traffic re-routing) 或 其 它 惡 意 目 的 所 送 出 精 心 偽 造 的 回 應 信 息, 會 導 致 ICMPv6 之 信 息 交 換 遭 到 濫 用 基 於 保 安 上 的 理 由,IPv6 規 約 建 議 所 有 的 ICMP 信 息 使 用 IPsec AH, 使 其 能 夠 提 供 完 整 性 認 證 以 及 反 轉 送 (anti-relay) 功 能 不 使 用 鄰 居 發 現, 而 使 用 預 設 路 由 器 把 重 要 系 統 作 為 靜 態 鄰 邊 入 口 (static neighbour entries), 是 比 較 好 的 做 法 這 樣 可 以 避 免 許 多 典 型 的 鄰 居 發 現 攻 擊 但 這 樣 做, 需 要 一 定 的 管 理 工 作 4. 雙 操 作 機 構 不 可 能 在 一 夜 之 間 將 其 所 有 網 絡 轉 換 為 IPv6 在 逐 步 設 置 IPv6 的 同 時, 亦 要 維 持 IPv4, 以 支 援 舊 有 客 戶 端 和 服 務 一 個 雙 規 約 的 環 境, 會 令 操 作 和 保 安 變 得 更 加 複 雜 無 論 如 何, 機 構 必 須 維 持 現 有 針 對 IPv4 的 措 施, 並 確 保 同 等 程 度 的 措 施 也 應 用 於 IPv6 上 機 構 在 執 行 保 安 政 策 時, 須 確 保 針 對 IPv4 和 IPv6 的 政 策 ( 包 括 防 火 牆 和 小 包 過 濾 方 法 ) 為 一 致 操 作 期 間, 管 理 者 應 意 識 到 兩 種 規 約 的 相 關 威 脅 和 漏 洞, 並 採 取 適 當 措 施 以 減 低 風 險 C. IPv4 與 IPv6 之 常 見 攻 擊 IPv6 無 法 解 決 所 有 的 保 安 問 題 基 本 上,IPv6 無 法 避 免 在 對 網 絡 層 以 上 各 層 之 攻 擊 IPv6 無 法 處 理 的 可 能 攻 擊 包 括 : 1. 應 用 層 (Application layer) 攻 擊 : 在 應 用 層 (OSI 第 7 層 ) 上 所 執 行 的 攻 擊, 如 緩 衝 溢 出 電 腦 病 毒 與 惡 性 程 式 碼, 網 上 應 用 系 統 攻 擊 等 等 2. 對 認 證 模 組 的 暴 力 攻 擊 與 猜 測 密 碼 攻 擊 3. 虛 假 設 備 (Rogue Device): 未 經 授 權 的 裝 置 進 入 網 絡 中 裝 置 可 能 是 一 部 個 人 電 腦, 但 也 可 能 是 轉 接 器 路 由 器 領 域 名 稱 系 統 (DNS) 伺 服 器 DHCP 伺 服 器 甚 至 是 一 個 無 線 接 駁 點 4. 拒 絕 服 務 : 拒 絕 服 務 攻 擊 的 問 題 依 然 存 在 於 IPv6 裡 5. 採 用 社 交 網 絡 的 攻 擊 : 諸 如 濫 發 電 子 郵 件 仿 冒 詐 騙 等 技 術 第 8 頁
D. IPv6 之 轉 換 轉 換 工 具 允 許 IPv4 應 用 程 式 連 結 到 IPv6 服 務, 以 及 IPv6 應 用 程 式 連 結 到 IPv4 服 務 然 而, 若 沒 有 周 詳 的 計 劃 應 對 保 安 問 題, 攻 擊 者 會 利 用 保 安 漏 洞 入 侵 網 絡 的 IPv6 版 本 轉 換 技 術 有 好 幾 種, 如 6to4( 定 義 於 RFC3056 14 ) 簡 單 互 聯 網 轉 換 (SIT) 隧 道 15 與 IPv6 上 之 用 戶 數 據 報 規 約 (UDP 如 Teredo 16 ) IPv6 的 傳 輸 會 經 由 這 些 方 法 進 入 網 絡 裡, 但 是 管 理 者 並 不 意 識 到 使 用 IPv6 已 經 造 成 網 絡 漏 洞 此 外, 許 多 防 火 牆 允 許 UDP 的 傳 輸, 讓 IPv6 上 的 UDP 在 管 理 者 不 知 情 下 避 開 防 火 牆 攻 擊 者 也 可 使 用 6to4 通 道 避 開 入 侵 偵 測 或 防 禦 系 統 的 偵 測 一 些 防 火 牆 產 品 只 能 夠 過 濾 IPv4 的 傳 輸, 而 無 法 過 濾 IPv6 的 傳 輸 攻 擊 者 會 利 用 這 個 漏 洞, 使 用 IPv6 的 小 包 進 入 網 絡 SIT 隧 道 與 隧 道 路 由 器 (tunnelling router) 容 許 在 眾 多 IPv4 網 絡 中 單 獨 設 置 IPv6, 而 無 需 IPv6 路 由 器 直 接 相 互 連 結 這 特 性 令 入 侵 者 可 以 破 壞 簡 單 的 工 作 站, 從 而 利 用 它 們 作 為 路 由 器, 在 無 需 破 解 作 為 基 礎 建 設 的 路 由 器 或 防 火 牆 的 情 況 下, 直 接 通 行 整 個 子 網 絡 要 檢 查 包 裹 在 隧 道 內 的 傳 輸, 應 部 署 可 理 解 該 等 隧 道 傳 輸 的 裝 置 此 外, 應 在 隧 道 的 出 入 口 執 行 保 安 政 策 在 IPv4 與 IPv6 混 合 型 網 絡 的 主 機 保 安 方 面, 需 注 意 主 機 應 用 程 式 同 樣 可 能 遭 受 來 自 於 IPv4 與 IPv6 網 絡 的 攻 擊 因 此, 如 果 要 阻 斷 傳 輸, 就 必 須 一 併 阻 斷 這 兩 個 互 聯 網 規 約 版 本 在 任 何 主 機 控 制 系 統 ( 防 火 牆 虛 擬 私 有 網 絡 客 戶 端 入 侵 偵 測 系 統 等 等 ) 上 的 傳 輸 應 該 監 察 IPv6 網 絡 的 傳 輸, 審 計 網 絡 上 的 路 由 請 求 和 鄰 居 發 現, 以 偵 測 插 入 到 網 絡 內 的 虛 假 路 由 器 和 未 經 授 權 設 備 14 http://tools.ietf.org/html/rfc3056 15 http://playground.sun.com/ipv6/ipng-transition.html 16 http://technet.microsoft.com/en-us/network/cc917486.aspx 第 9 頁
III. 良 好 作 業 模 式 下 面 是 一 些 建 設 和 維 護 安 全 的 IPv6 網 絡 的 良 好 作 業 模 式, 以 供 參 考 : 為 關 鍵 系 統 使 用 標 準, 非 顯 而 易 見 的 靜 態 位 址 ; 確 保 IPv6 網 絡 有 足 夠 的 過 濾 能 力 ; 在 邊 界 路 由 器 過 濾 器 內 部 使 用 的 IPv6 位 址 ; 在 只 限 IPv4 的 網 絡 上, 阻 擋 所 有 的 IPv6 流 量 ; 在 防 火 牆 過 濾 不 必 要 的 服 務 ; 制 定 一 個 細 緻 的 ICMPv6 過 濾 策 略 並 過 濾 所 有 不 必 要 的 ICMP 信 息 類 型 ; 維 護 主 機 和 應 用 程 序 的 安 全, 為 IPv4 和 IPv6 使 用 一 致 的 安 全 性 原 則 ; 使 用 IPsec 來 認 證 和 為 資 產 提 供 保 密 ; 記 錄 last-hop traceback 當 中 的 程 序 ; 和 密 切 注 意 過 渡 機 制 的 保 安 第 10 頁