IPv6改造,仅仅支持访问就够了吗?

2020年3月24日,工业和信息化部发布《关于开展2020年IPv6端到端贯通能力提升专项行动的通知》(以下简称《通知》),要求到2020年末,IPv6活跃连接数达到11.5 亿,较2019年8亿连接数的目标提高了43%。

IPv6网络规模部署按下加速键的同时,《通知》也进一步明确要着重强化IPv6网络安全保障能力:

各相关企业要进一步完善针对IPv6的网络安全定级备案、风险评估、通报预警、灾难备份及恢复等工作。推动IPv6环境下网络安全产品和服务的应用,鼓励构建IPv6安全产品孵化平台和测试环境,推动在研IPv6安全产品孵化,强化IPv6安全产品应用性能验证。基础电信企业和重点IDC、CDN等企业要做好僵木蠕、移动互联网恶意程序监测处置系统、信息安全管理系统等安全技术手段IPv6配套改造工作,强化IPv6环境下漏洞、违法信息等的监测发现与处置。

此前,工信部已连续两年发布相关政策文件,分阶段细化IPv6安全要求:

2018 年 5 月,发布《关于贯彻落实<推进互联网协议第六版(IPv6)规模部署行动计划>的通知》,从安全管理、保障措施、安全能力三个维度提出 IPv6 安全总体要求,包括同步升级 IPv6 安全保障系统、强化新兴技术领域安全能力建设等;

2019 年 4 月,发布《关于开展 2019年 IPv6 网络就绪专项行动的通知》,提出 2019 年末 IPv6 安全主要目标,强化落实 IPv6 网络安全保障。

2019年末IPv6安全主要目标    图/中国信通院

今年,IPv6网络安全保障能力要求再一次升级,新增灾备及恢复的要求,提出IPv6安全产品的应用性能验证,以及针对IPv6环境下的监测预警。

针对IPv6网络安全保障要求的步步升级,在于国家大力推进IPv6规模部署行动计划的背景下,大量单位及企业通过购买IPv6改造设备以实现业务系统支持IPv6访问。随着IPv6网络和业务的批量上线,IPv6 网络攻击事件开始频繁出现,IPv6 网络安全问题相继浮出水面,影响范围也呈现出向各行业领域扩大趋势。

中国信通院于2019年下半年发布的《IPv6网络安全白皮书》(以下简称《白皮书》)统计指出,2019年上半年共监测发现超过 9 万起 IPv6 网络攻击,其中,攻击对象覆盖政府部门、事业单位、教育机构等单位。

图/《IPv6网络安全白皮书》

《白皮书》还指出,IPv6相关硬件终端、操作系统、软件应用等仍处部署应用初期阶段,尚不具备较为完善的安全机制,IPv6 安全漏洞客观存在。截止 2019 年 7 月,CVE 漏洞库中已收录 IPv6 相关漏洞 381 条,其中,CVSS 12 评分超过 7 的高危漏洞占比超过 50%。

图/《IPv6网络安全白皮书》

在知道创宇近年来涉及IPv6网络的安全保障过程中,所呈现出的安全态势同样不容乐观。

2019年国家两会期间,知道创宇云防御平台监控数据显示,来自IPv6的攻击呈爆炸式增长,重保期间共拦截来自IPv6的网络攻击8000万+。

2019年国庆期间,知道创宇云防御平台捕获拦截了超过1276万余次来自IPv6网络的攻击,拦截13141个恶意IPv6地址,毫无疑问,IPv6网络成为了新的攻击焦点。

除了针对IPv6的网络攻击,“天窗”问题也是IPv6升级改造过程中的一个典型状况。所谓“天窗”,即IPv6单栈用户访问IPv6的业务系统时,如果该站点有IPv4的外链,可能导致IPv4外链的网站或资源出现响应缓慢,部分内容无法显示,部分功能无法使用等情况。

为解决此问题,IPv6改造设备通常都使用代理网关对不支持IPv6的外链网站进行代理访问。然而,知道创宇云安全大数据平台发现,市面上某类IPv6改造设备存在代理域名未验证情况,导致可以通过用户网站代理访问任何其它网站内容,且存在被恶意滥用情况。

通过构造代理链接,可以实现通过该域名访问诸如博彩、色情、反动、暴恐网站的效果,对恶意攻击者来说也就实现了利用该网站域名宣传非法内容的目的。受影响的网站涵盖各级人民政府、事业单位、大型央企等,其中还包括多个部委级网站,对网站本身以及网站用户都会造成巨大影响,且目前已有部分网站页面被搜索引擎收录,社会影响巨大。

图/知道创宇《某IPv6改造设备存在代理域名滥用情况》

图/知道创宇《某部委网站IPv6改造设备存在代理域名滥用情况》

综上所述,安全问题已经成为IPv6升级改造中不容忽略的重点,知道创宇安全专家特别强调,IPv6对于国家下一代互联网建设和企业自身的信息安全都有重大意义,进行IPv6改造时建议合规性和安全性并重。

知道创宇IPv6解决方案 更快更安全

业务系统不支持IPv6的情况(NAT转换方案)

业务系统支持IPv6的情况(双栈方案)

·快速拥有IPv6访问能力

知道创宇云防御平台可以帮助业务系统在已有支持IPv4用户访问的基础上,几分钟内快速支持IPv6访客访问,业务系统无需进行任何改造、不用添加任何硬件设备。

·安全加速,安全防护

知道创宇将IPv6流量转换为IPv4流量,进行防御清洗,将安全流量转发给业务系统源站,提供安全加速和安全防护能力,保障业务系统的安全性。

·弹性资源,高可用性

知道创宇云防御平台根据IPv6访问态势以及攻击态势,动态调整资源,确保IPv6正常访问;提供跨可用区部署,单个可用区故障时,迅速切换,保障IPv6转换服务的业务连续性。

·无感知解决IPv6天窗问题

针对“天窗”问题,知道创宇云安全通过云端节点将返回页面中的外链导向至IPv6/IPv4转换节点,使其代理访问IPv4访问请求,并将外链内容转换为IPv6返回给客户端,让客户在无感知的情况下正常浏览网页,有效保障用户访问体验。

截至目前,知道创宇已积极配合包括政府单位、国企央企、金融、教育等各行各业的多家客户进行了IPv6安全改造,基于知道创宇充分的技术准备和安全能力,均圆满完成对客户业务系统IPv6/IPv4双栈访问的支持,同时具备IPv6/IPv4流量的安全防护能力。在完成IPv6合规检查同时,保障业务系统安全不受影响。

部分IPv6安全改造客户发来的感谢信

发展IPv6将推动互联网的设计、管理、运营和创新进入新阶段,也是发展5G、云计算、物联网、工业互联网等新兴应用,实现万物互联的基础条件。更重要的,IPv6的安全挑战也是我国下一代互联网建设正面临的客观问题。知道创宇建议企业用户应及时选择更具备安全防御成效的IPv4/IPv6双栈云防御服务方案,在安全风险到来之前掌握主动性,提早建立坚实的网络安全防线。在此,知道创宇也将继续全力帮助企事业单位和互联网企业积极响应国家号召,抓住发展机遇,提供更安全的IPv6互联网服务。