RFC 6724規定瞭一種算法來從IPv6和IPv4地址列表中選擇目標地址。RFC 6555(名為“快樂的眼球:雙協議棧主機的成功”)中討論瞭選擇最合適的目的地址面臨的挑戰,並推薦瞭可行的部署方法。
意外的VPN流量泄露並不是這個問題的唯一關註點。通過假裝為本地IPv6路由器,本地攻擊者可以發送偽造的ICMPv6路由器通告消息來故意觸發受害主機上的IPv6連接。這些數據包可以使用標準軟件(例如rtadvd)或者數據包編寫工具(例如IPv6工具包)來發送。一旦啟用瞭IPv6連接,與雙協議棧系統的通信將可能導致VPN流量泄露。
由於支持IPv6的網站越來越多,這種攻擊是可行的,但隻有當目標系統是雙協議棧,才會導致流量泄露。然而,給任何目標系統帶來這樣的VPN泄露並不是難事。攻擊者可以簡單地發送偽造的路由器通告消息(包含相應的RDNSS選項),就可以假裝成本地遞歸DNS服務器,然後執行DNS欺騙攻擊變成中間人,並攔截流量。對於無意泄露的情況,數據包編寫工具(例如IPv6工具包)可以很容易地執行這種攻擊。
VPN泄漏的緩解措施
我們可以通過很多緩解措施來避免雙協議棧網絡中的VPN泄露問題。最簡單的方法(雖然不一定是最可取的)是在采用VPN連接時,禁用所有網絡接口卡中的IPv6連接。運行VPN客戶端軟件的主機上的應用將隻能夠采用IPv4,對此,VPN軟件應該做好準備來保護其安全。
網絡可以通過部署第一跳安全模型,例如路由器通告防護(RA-Guard)和DHCPv6-Shield,來防止本地攻擊者成功地執行針對其他本地主機的上述攻擊。然而很明顯,當連接到開放網絡時,主機不能依靠這些緩解措施。請記住,即使RA-Guard大量部署,也很容易受到泄露攻擊。
有些人可能認為最全面的緩解措施應該是在VPN軟件中加入IPv6支持,並讓VPN服務器提供IPv6連接。雖然這種辦法在當前很多情況下不可行,但這種辦法可能有一定意義,因為IPv6的自動配置為路由器(同時還為攻擊者)插入其他路由信息提供瞭多種方法。例如,攻擊者仍然能夠通過執行一些“鄰居發現”攻擊來造成IPv6流量泄露,例如發送偽造ICMPv6重定向消息、偽造有路由信息選項(例如,“更具體的路由”)的路由廣播、偽造的宣傳“高優先級”路由器的路由廣播等。即使VPN軟件支持IPv6,一些VPN部署將很有可能在短期內仍然容易受到這種類型的攻擊。
結論
IPv6和IPv4協議的微妙互動,以及(不幸的)既定的說法:如果有人計劃部署IPv6,安全性將是一個問題,可能造成不良後果,例如無意的VPN流量泄露。由於大多數通用操作系統是雙協議棧的,大多數網絡至少部分是雙協議棧的,這意味著IPv6的安全影響不容忽視。互聯網對地址空間不斷增加的需求必然導致廣泛采用和部署IPv6協議。在采用和部署之前,企業應該全面瞭解相應的安全隱患。
Orignal From: 如何避免雙協議棧網絡VPN流量泄露
留言列表
