gsn ipv6 資安問題 白皮書 - ipv6.org.t · 附件二十二、gsn ipv6 資安問題白皮書...
TRANSCRIPT
-
附件二十二、GSN IPv6資安問題白皮書
805
附件二十二
九十八年度「新一代網際網路協定互通認證計畫」 期末研究報告附件
GSN IPv6資安問題
白皮書
移轉技術分項 協同主持人徐武孝 博士 中華民國 九十八年十月
-
附件二十二、GSN IPv6資安問題白皮書
806
-
附件二十二、GSN IPv6資安問題白皮書
807
摘要
當網路環境從 IPv4 移轉到 IPv6 時,網路安全的問題還是存在的。依照目前業者的
評估,IPv6網路安全的問題幾乎和 IPv4一模一樣,兩者差異在協定(Protocol)的攻擊方
式不一樣;例如 IPv4的 ARP攻擊對照在 IPv6稱為 ND攻擊。
因此,本白皮書會探討網路安全四個較為重要的問題:封包安全性、網路異常流量、
駭客入侵防禦與 P2P 軟體的影響。封包安全性表示封包在傳遞的途中可能遇到的封包
安全性為中斷(interruption)、攔截(interception)、修改(modification)或是偽造
(fabrication)。網路異常流量有可能是駭客使用大量的封包來造成企業的核心路由器
及伺服器等因承載過大的流量而造成當機或使用大量的封包來進行 IP位址及埠(Port)
的掃描,並做攻擊。駭客入侵防禦為駭客會針對有系統漏洞的作業系統或程式來進行
緩衝溢位攻擊(Buffer Overflow Attack)。P2P軟體下載檔案時可能會導致許多的病毒
與木馬程式偽裝成正常的檔案,當使用者下載這些檔案到電腦中時,便會造成電腦中
毒或是成為殭屍電腦,也有可能使電腦的重要檔案被竊取。以上攻擊本白皮書都會加
以敘述並提出相關解決方案。
-
附件二十二、GSN IPv6資安問題白皮書
808
-
附件二十二、GSN IPv6資安問題白皮書
809
目錄
摘要 ........................................................................................................807
目錄 ........................................................................................................809
圖目錄 ....................................................................................................810
第一章 緒論 ....................................................................................... 811
第一節 IPv6網路安全概述 ....................................................... 811
第二節 四個較為重要的網路安全問題 ....................................812
第二章 安全問題探討 ..........................................................................815
第一節 封包的安全性 ................................................................815
第二節 網路流量異常 ................................................................818
第三節 駭客入侵防禦 ................................................................820
第四節 P2P軟體的影響..............................................................821
第三章 結論 ..........................................................................................822
參考文獻 ................................................................................................823
-
附件二十二、GSN IPv6資安問題白皮書
810
圖目錄
圖 1 IPSec示意圖 .............................................................................. 811
圖 2 IPSec運作示意圖 ......................................................................812
圖 3 安全攻擊示意圖 .......................................................................813
圖 4 中斷後的處理 ...........................................................................815
圖 5 IPSec連線範例 ..........................................................................816
圖 6 經授權IP位址的存取................................................................817
圖 7 廣播放大攻擊示意圖 ...............................................................818
圖 8 網路異常流量示意圖 ...............................................................819
圖 9 IPv6 路由器或防火牆可以對ICMPv6做Policy的設定
(Source:CISCO) .....................................................................................820
圖 10 IPS阻擋緩衝溢位攻擊示意圖 .................................................821
圖 11 校園使用IPS範例圖 .................................................................822
-
附件二十二、GSN IPv6資安問題白皮書
811
第一章 緒論
網際網路已經是每個人生活之中,不可或缺的一部分。它的便利性,也讓我們在處
理事情上,節省了許多時間與資源。但是,我們也應該要注意網路上資料的傳遞,是
不是有安全的保護,以避免資料外洩;而填寫個人資料的網頁,也有可能是騙取個人
資料的假網頁,要小心確認,以防止個資洩漏。在我們方便地使用網路同時,也應該
要更加注意個人資料的安全。
第一節 IPv6網路安全概述
當網際網路從IPv4協定,移轉到IPv6協定的同時,網路安全也應該要從IPv4協定,
延伸到IPv6協定上。依照目前業者的評估,IPv6網路安全的問題幾乎和IPv4一模一樣,
兩者差異在協定(Protocol)的攻擊方式不一樣;例如IPv4的ARP攻擊對照在IPv6稱為ND
攻擊。IPv6協定內定使用IP Security(IPSec),為其網路安全協定,如圖 1;IPSec在兩
台電腦之間提供了認證功能(Authentication)與保密功能(Confidentiality),其意義就像是
在兩台電腦之間建立一個專用的通道(Tunnel),只有兩台電腦之間的資料可以在通到之
間傳送,因此IPSec能夠保護封包的內容。
圖 1 IPSec示意圖
如 圖 2 所示,IPSec的運作方式主要有兩個步驟:第一、傳送端與目的端必須使用
IKE(Internet Key Exchange)來建立安全聯結(Security Associations),這個步驟的主要目
-
附件二十二、GSN IPv6資安問題白皮書
812
的是讓傳送端與目的端決定加密的演算法及使用單KEY 或雙KEY來對資料做加密
等。第二、IPSec會使用所建立的加密的演算法及KEy來對所要傳送的封包做加密並傳
送封包。
圖 2 IPSec運作示意圖
對 IPv4及 IPv6應用程式來說,都使用 SSL(Secure Sockets Layer)與 TLS(Transport
Layer Security),來對封包做保護。SSL及 TLS讓資料傳輸的過程更加安全,也同時確
保了資料的完整性。
第二節 四個較為重要的網路安全問題
以下簡要敘述四個較為重要的網路安全問題:
1. 封包的安全性。
在IP協定之中,最重要就是封包的安全。如圖 3所示,封包在傳遞的途中可能會被
中斷(interruption)、攔截(interception)、修改(modification)或是偽造(fabrication)。
如前所述,IPv6會使用『IPSec』來進行封包的內容驗證與來源驗證及對封包做加密的
保護。
-
附件二十二、GSN IPv6資安問題白皮書
813
圖 3 安全攻擊示意圖
2. 網路流量異常。
當網路發生流量異常的時候,通常是駭客發動封包攻擊。網路發生流量異常通常有
兩種可能:第一、駭客使用大量的封包來造成企業的核心路由器及伺服器等因承載過
大的流量而造成當機。第二、駭客也有可能使用大量的封包來進行 IP位址及埠(Port)
的掃描,並做攻擊。
3. 駭客入侵攻擊。
一般而言,駭客會針對有系統漏洞的作業系統或程式來進行緩衝溢位攻擊(Buffer
Overflow Attack)。這種攻擊都是針對沒有檢查輸入資料長度的程式或系統,當攻擊發
生時,輕則導致系統錯誤或當機,嚴重的話,會讓駭客取得系統控制權,竊取企業重
要機密檔案。
4. P2P軟體的影響。
P2P 軟體因為使用方便,使用者常會使用 P2P 軟體來大量抓取影音資料。使用 P2P
軟體可能會出現下列四點問題:第一、P2P 軟體會佔用大量網路頻寬。第二、許多的
病毒與木馬程式會偽裝成正常的檔案,當使用者下載這些檔案到電腦中時,便會造成
電腦中毒或是成為殭屍電腦,也有可能使電腦的重要檔案被竊取。第三、許多使用者
-
附件二十二、GSN IPv6資安問題白皮書
814
因不瞭解 P2P 軟體如何設定,因而造成公司重要機密文件被共享或下載,導致公司的
嚴重損失。第四、許多在 P2P 軟體上面共享的檔案可能都是合法的音樂、影片或是軟
體,因此任意下載可能會法律問題。
-
附件二十二、GSN IPv6資安問題白皮書
815
第二章 安全問題探討
本章將詳細及深入的討論當網路從 IPv4移轉至 IPv6時,如何因應這四個較為重要
的網路安全問題。
第一節 封包的安全性
如前所述,封包在傳遞的途中可能會被中斷(interruption)、攔截(interception)、修
改(modification)或是偽造(fabrication)。
第一、當封包資料被中斷後,根據 TCP的運作原理,經過一段時間後,傳送端如果
沒有收到目的端回傳的確認封包,傳送端就會將資料重傳。因此當網路從 IPv4移至 IPv6
時,封包資料被中斷的問題很容易被解決。
重傳封包
沒有回應
圖 4 中斷後的處理
第二、當封包被攔截以後,封包中的資料就有可能會外洩。因此如果在封包傳送
前對封包進行加密的動作,即使封包被攔截要解密也是相當困難,如此可有效提高資
料的安全性。IPv6 協定因為使用 IPSec 來對封包做加密,因此封包被攔截的問題也可
容易被解決。
第三、修改(modification)與偽造(fabrication)。IPv6 協定使用 IPSec 來對封包
-
附件二十二、GSN IPv6資安問題白皮書
816
做加密,因此修改(modification)與偽造(fabrication)的問題並不會在 IPv6 的網路
中出現。
使用 IPSec 就可以解決偽造(fabrication)的問題,因為駭客並不清楚安全聯結
(Security Associations)的內容,也不知道正確的金鑰內容,自然無法偽裝成目的端。
對修改(modification)封包的問題,除非駭客擷取到所有的封包資料,並且偽裝成傳
送端來進行逆運算,進而求得金鑰與安全聯結(Security Associations)的內容,不然要
對加密後的封包做修改是相當不容易的。
圖 5 說明如何利用IPSec來保護資料。首先筆記型電腦為了要能夠與企業主機取得連
線,需要先和安全驗證伺服器建立一條IPSec通道(Tunnel),安全驗證伺服器會和筆記型
電腦建立一個安全聯結(Security Associations);當通道建立完之後,筆記型電腦便會
使用所建立的安全聯結來對封包做加密並傳送。
圖 5 IPSec 連線範例
以下我們會列出在實際網路環境中,與封包安全性相關的安全問題並針對這些問題
提出解決方案。
1. 未經授權的存取(Unauthorized access)。一般IPv6 路由器或防火牆對於未經授權存
取的管理兩種方式:第一:設定可以存取的IP位址。如圖 6中,IPv6 路由器或防火牆
設定只有 2001:DC5:E11:D22::1這組IP才能夠和網路主機進行連線的,所以當其他的
IPv6位址要和網路主機進行連線的時候,IPv6 路由器或防火牆都會將其阻擋。第二:
過濾尚未被分配或是尚未被使用的網路位址(Bogon Filtering)。
-
附件二十二、GSN IPv6資安問題白皮書
817
圖 6 經授權 IP位址的存取
在 IP位址分配上,尚未被分配或是尚未被使用的 IP位址稱為 Bogon space。當 IPv6 路
由器或防火牆收到一個封包時,如果發現該封包的 IPv6位址是未被使用或未分配的,
就會自動過濾並丟棄。
2. 封包的操縱(manipulation)或切割(fragmentation)。一般而言,Manipulation 或
Fragmentation 這兩種方式都是藉由修改封包的內容或使用不同的切割方式來通過防火
牆的偵測,以達到攻擊企業內部網路的目地。在 IPv6要解決此問題有兩種方式:第一、
IPv6 路由器或防火牆要能夠有效過濾封包 Fragment。例如,IPv6 路由器或防火牆如果
收到一個長度小於 1280 的封包則必須將其丟棄。第二、當 IPv6 路由器或防火牆收到
沒有列出 Source 位址的封包時,必須將其丟棄。
3. 廣播放大攻擊(Broadcast Amplification Attacks)。此攻擊又稱為小精靈(Smurf),其
運作方式為攻擊的電腦發送ping給多台電腦,此ping的Source位址為駭客想要攻擊的電
腦主機;當這些電腦收到ping後,就會一一的傳送回應給電腦主機,因此會造成電腦主
機癱瘓及網路頻寬被過度使用。圖 7 說明此攻擊方式。在IPv6 路由器或防火牆要解決
此問題主要是當收到大量的Ping封包時會將其過濾。
-
附件二十二、GSN IPv6資安問題白皮書
818
圖 7 廣播放大攻擊示意圖
第二節 網路流量異常
網路流量有異常的現象(短時間內有大量的封包存於網路)發生通常都是由以下兩種
狀況之一所造成,:
1. 異常的通訊協定。例如:有大量的過長封包存於網路、大量的碎片(Fragment)封包、
異常的 TCP 通訊協定連線狀態、被截斷的封包、無法重組的封包及突然產生大量
的 TCP SYN、TCP、UDP、ICMPv4、ICMPv6、IGMP等封包。
2. IP/Port的異常掃瞄。駭客可透過程式掃瞄目的端的內部 IP及已開啟的服務埠(Port)。
一般駭客可透過以上方法來攻擊企業內部網路,因此可能會造成企業內部網路
Server當機,以至於無法對外提供正常的服務,如圖 8所示。
-
附件二十二、GSN IPv6資安問題白皮書
819
圖 8 網路異常流量示意圖
IPv6 路由器或防火牆可用如下的方法來解決這兩個網路流量異常現象:
1. IP/Port的異常掃瞄。IPv6 路由器或防火牆可以對ICMPv6 做Policy的設定。如 圖 9
所示,IPv6 路由器或防火牆可以允許外面任何電腦使用Ping連線至Server A。但如果有
大量Ping封包被收到時,IPv6 路由器或防火牆加以攔截並丟掉這些封包。除此之外,IPv6
路由器或防火牆也只會讓所允許的 Port通過,這樣就可以避免埠(Port)的掃瞄。
-
附件二十二、GSN IPv6資安問題白皮書
820
圖 9 IPv6 路由器或防火牆可以對 ICMPv6做 Policy的設定 (Source:CISCO)
2. 異常的通訊協定。最常見的攻擊方式有 ARR攻擊、DHCP攻擊及第三層與第四層的
欺騙(spoofing)攻擊。ARP攻擊在 IPv6協定稱為鄰居探索(Neighbor Discovery, ND)
攻擊,根據 RFC 3756所定義 ND攻擊分為三個項目:第一、重導攻擊(Redirect attacks),
第二、阻斷服務攻擊(Denial-of-service attacks),第三、洪水阻斷服務攻擊(Flooding
Denial-of-Service attack)。RFC 3971針對這三種攻擊提出了三個解決方案。第一、產生
加密位址(Cryptographically Generated Addresses,簡稱為 CGA),第二、RSA簽名(RSA
signature),第三、時間戳記與 Nonce(Timestamp and Nonce)。IPv6 路由器或防火牆可
以根據 RFC 3971 來阻止 ARR攻擊。
由於 IPv6網路環境很少使用DHCP來取得 IPv6位址,因此DHCP攻擊並不會在 IPv6
發生。至於第三層與第四層的欺騙(spoofing)攻擊,IPv6 路由器或防火牆必須知到每
個子網路未使用的 IPv6位址才能解決此問題。
第三節 駭客入侵防禦
-
附件二十二、GSN IPv6資安問題白皮書
821
一般而言駭客最常使用的攻擊方式為緩衝溢位攻擊(Buffer Overflow Attack)。這一
類型的攻擊都是針對作業系統與程式的漏洞,因此要避免這些攻擊,只能藉由下載作
業系統的修補程序(Patch),或是更新程式的版本,來避免駭客攻擊漏洞。
除了經常性的更新系統與程式外,還可以使用入侵防禦系統(IPS);如圖 10所示,
IPS設備能夠針對應用層(Application layer)的資料進行特徵碼(signatures)的檢查與比
對,進而發現內含緩衝溢位攻擊(Buffer Overflow Attack)資訊的封包,並將之過濾掉,
降低漏洞被攻擊的可能。因此支援IPv6的IPS也必須使用相似的演算法以避免被攻擊的
可能。
圖 10 IPS阻擋緩衝溢位攻擊示意圖
第四節 P2P軟體的影響
為了要能夠有效管理P2P的流量,IPS必須能支援各種的P2P軟體並能夠設定是否允
許在企業內部或學校使用,如圖 11所示。
-
附件二十二、GSN IPv6資安問題白皮書
822
圖 11 校園使用 IPS範例圖
第三章 結論
由於目前 IPv6網路的佈置並不普及,因此資安問題無法像 IPv4那樣有系統的被解
決,所以本白皮書只有就現有的資料並根據 IPv4的攻擊模式做一簡單的說明;期望在
明年 IPv6網路更成熟之後,能提出更實際的 IPv6資安問題白皮書,以做為 GSN佈置
IPv6網路時的參考。
-
附件二十二、GSN IPv6資安問題白皮書
823
參考文獻
[1] 網路層的護身符(上):IPSec簡介
http://technet.microsoft.com/zh-tw/library/dd125445.aspx
[2] 網路層的護身符(下):IPSec協定與應用
http://technet.microsoft.com/zh-tw/library/dd125446.aspx
[3] 維基百科,自由的百科全書
http://zh.wikipedia.org/zh-tw/IPsec
http://en.wikipedia.org/wiki/IPsec
http://en.wikipedia.org/wiki/Transport_Layer_Security
http://en.wikipedia.org/wiki/Cross-site_scripting
[4] 網路安全:理論與實務(第二版) Network Security: Theory and Practice, 2nd Ed.
http://crypto.nknu.edu.tw/textbook/
[5] 國立東華大學所編寫的 IPv6教材
http://6book.niu.edu.tw/lab_html/material.htm
http://6book.ndhu.edu.tw/download/IPv6/ch5.pdf
http://6book.ndhu.edu.tw/download/IPv6/ch6.pdf
[6] “IPv6 Security ” 6NET, Zagreb, May ’03 Eric Marin
http://www.6net.org/events/workshop-2003/marin.pdf
http://technet.microsoft.com/zh-tw/library/dd125445.aspxhttp://technet.microsoft.com/zh-tw/library/dd125446.aspxhttp://zh.wikipedia.org/zh-tw/IPsechttp://en.wikipedia.org/wiki/IPsechttp://en.wikipedia.org/wiki/Transport_Layer_Securityhttp://en.wikipedia.org/wiki/Cross-site_scriptinghttp://crypto.nknu.edu.tw/textbook/http://6book.niu.edu.tw/lab_html/material.htmhttp://6book.ndhu.edu.tw/download/IPv6/ch5.pdfhttp://6book.ndhu.edu.tw/download/IPv6/ch6.pdfhttp://www.6net.org/events/workshop-2003/marin.pdf
-
附件二十二、GSN IPv6資安問題白皮書
824
摘要 目錄 圖目錄第一章 緒論第一節 IPv6網路安全概述第二節 四個較為重要的網路安全問題
第二章 安全問題探討第一節 封包的安全性第二節 網路流量異常第三節 駭客入侵防禦第四節 P2P軟體的影響
第三章 結論 參考文獻