Day-003-IPv6 安全基础与过渡

# Day 31: IPv6 安全基础与过渡 - IPv6 特有安全问题/过渡策略/防护方案

> 网络安全基础扩展篇 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [IPv6 概述](#ipv6-概述)
2. [IPv6 安全特性](#ipv6-安全特性)
3. [IPv6 特有攻击](#ipv6-特有攻击)
4. [过渡策略安全](#过渡策略安全)
5. [防护方案](#防护方案)
6. [实战配置](#实战配置)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## IPv6 概述

### IPv6 地址结构

**地址格式**：
```
IPv6: 2001:0db8:85a3:0000:0000:8a2e:0370:7334
简化：2001:db8:85a3::8a2e:370:7334

对比 IPv4:
- IPv4: 32 位，约 43 亿地址
- IPv6: 128 位，约 3.4×10^38 地址
```

**地址类型**：
```
单播地址 (Unicast):
- 全球单播：2000::/3
- 链路本地：fe80::/10
- 唯一本地：fc00::/7

组播地址 (Multicast): ff00::/8
任播地址 (Anycast): 从单播地址空间分配
```

### IPv6 部署现状

**全球部署率** (2026)：
```
- 美国：~70%
- 印度：~75%
- 德国：~60%
- 中国：~25%
- 全球平均：~40%
```

**部署驱动**：
- IPv4 地址耗尽
- IoT 设备增长
- 5G 网络部署
- 政府政策推动

---

## IPv6 安全特性

### 内置安全功能

**IPsec 支持**：
```
IPv6 原生支持 IPsec:
- 认证头 (AH): 数据完整性/来源认证
- 封装安全载荷 (ESP): 加密/认证

但注意：IPsec 在 IPv6 中不是强制的
```

**安全优势**：
```
✓ 地址空间大，扫描困难
✓ 内置 IPsec 支持
✓ 无 NAT，端到端安全
✓ 扩展头支持新安全功能
✓ 自动配置有安全机制
```

### 安全改进

**无 NAT 环境**：
```
IPv4 问题：
- NAT 隐藏内部结构
- 但破坏端到端安全

IPv6 解决：
- 每设备公网地址
- 真正的端到端加密
- 但需要防火墙保护
```

**地址自动配置**：
```
SLAAC (无状态地址自动配置):
- 基于 MAC 生成地址
- 隐私扩展 (RFC 4941)
- 临时地址防追踪

DHCPv6:
- 有状态配置
- 集中管理
- 可审计
```

---

## IPv6 特有攻击

### 邻居发现协议 (NDP) 攻击

**NDP 概述**：
```
NDP 替代 ARP，功能包括:
- 路由器发现
- 前缀发现
- 地址解析
- 邻居不可达检测
- 重定向
```

**攻击类型**：

1. **路由器通告 (RA) 欺骗**：
```
攻击原理:
- 伪造 RA 消息
- 宣告自己为默认网关
- 劫持流量

防御:
- RA Guard (RFC 6105)
- SEND (安全 NDP)
- 静态配置
```

2. **邻居 solicitation 欺骗**：
```
攻击原理:
- 伪造 NS/NA 消息
- ARP 欺骗的 IPv6 版本
- 中间人攻击

防御:
- NDP 监控
- 动态 ARP 检测 (DAI) 类似功能
```

3. **重复地址检测 (DAD) 攻击**：
```
攻击原理:
- 响应所有 DAD 请求
- 阻止新设备接入
- 拒绝服务

防御:
- DAD 保护
- 地址分配审计
```

### 扩展头攻击

**扩展头类型**：
```
- Hop-by-Hop Options (0)
- Routing (43)
- Fragment (44)
- Destination Options (60)
- Authentication (51)
- ESP (50)
```

**攻击手法**：

1. **扩展头链攻击**：
```
攻击原理:
- 嵌套多层扩展头
- 绕过安全设备检测
- 消耗处理资源

防御:
- 限制扩展头数量
- 限制扩展头总长度
- 深度包检测
```

2. **分片攻击**：
```
攻击原理:
- 超小分片偏移
- 重叠分片
- 分片洪水

防御:
- 重组分片检查
- 限制分片数量
- 丢弃异常分片
```

3. **Routing 头攻击**：
```
攻击原理:
- Type 0 Routing Header (已废弃)
- 绕过访问控制
- 反射攻击

防御:
- 丢弃 RH0
- 限制路由头跳数
```

### 隧道攻击

**隧道类型**：
```
- 6to4: IPv6 over IPv4
- Teredo: IPv6 over UDP/IPv4
- ISATAP: 站内自动隧道
- 6rd: 快速部署
```

**攻击风险**：
```
1. 隧道绕过防火墙
2. 隐蔽 C2 通信
3. 数据渗出通道
4. 规避网络监控
```

**检测防御**：
```
检测:
- 协议 41 流量监控 (6to4)
- UDP 3544 监控 (Teredo)
- 异常隧道流量

防御:
- 隧道策略控制
- 隧道端点认证
- 隧道流量检查
```

### 组播/任播攻击

**组播监听发现 (MLD) 攻击**：
```
攻击原理:
- 伪造 MLD 消息
- 组播流量劫持
- 资源耗尽

防御:
- MLD Snooping
- 组播速率限制
```

**任播滥用**：
```
攻击原理:
- 利用任播路由
- DDoS 反射放大
- 服务劫持

防御:
- 任播前缀控制
- 路由认证
```

---

## 过渡策略安全

### 双栈策略

**双栈架构**：
```
设备同时运行:
- IPv4 协议栈
- IPv6 协议栈

安全考虑:
✓ 两种协议都要保护
✓ 安全策略同步
✗ 攻击面增加
```

**安全配置**：
```bash
# Linux 双栈安全配置
# /etc/sysctl.conf

# IPv4 安全
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

# IPv6 安全 (同样重要!)
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
```

### 隧道过渡

**6to4 安全**：
```
风险:
- 自动隧道可能被滥用
- 绕过边界安全

建议:
- 生产环境避免 6to4
- 使用手动配置隧道
- 隧道端点认证
```

**Teredo 安全**：
```
风险:
- UDP 穿透防火墙
- 隐蔽通信通道

建议:
- 企业网络禁用 Teredo
- 防火墙阻断 UDP 3544
```

### 翻译过渡

**NAT64/DNS64**：
```
功能:
- IPv6 客户端访问 IPv4 服务器
- 地址转换

安全考虑:
- 状态跟踪
- ALG 支持
- 日志记录
```

**464XLAT**：
```
功能:
- 端到端 IPv4 模拟
- 云环境常用

安全考虑:
- 翻译器保护
- 地址映射安全
```

---

## 防护方案

### 防火墙配置

**IPv6 防火墙规则**：
```bash
# ip6tables 基础配置

# 默认策略
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT

# 允许已建立连接
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许 ICMPv6 (必要!)
ip6tables -A INPUT -p icmpv6 --icmpv6-type 1 -j ACCEPT  # 目的不可达
ip6tables -A INPUT -p icmpv6 --icmpv6-type 2 -j ACCEPT  # 数据包过大
ip6tables -A INPUT -p icmpv6 --icmpv6-type 3 -j ACCEPT  # 超时
ip6tables -A INPUT -p icmpv6 --icmpv6-type 4 -j ACCEPT  # 参数问题
ip6tables -A INPUT -p icmpv6 --icmpv6-type 133 -j ACCEPT  # RS
ip6tables -A INPUT -p icmpv6 --icmpv6-type 134 -j ACCEPT  # RA
ip6tables -A INPUT -p icmpv6 --icmpv6-type 135 -j ACCEPT  # NS
ip6tables -A INPUT -p icmpv6 --icmpv6-type 136 -j ACCEPT  # NA

# 允许 SSH
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许 HTTP/HTTPS
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT

# 丢弃无效包
ip6tables -A INPUT -m state --state INVALID -j DROP

# 日志记录
ip6tables -A INPUT -j LOG --log-prefix "IPv6 DROP: "
```

### 路由器安全配置

**Cisco IOS IPv6 安全**：
```cisco
! 禁用不必要的 IPv6 功能
no ipv6 unreachables
no ipv6 redirects

! RA Guard
ipv6 nd raguard policy DEFAULT
  device-role host
!
interface GigabitEthernet0/1
  ipv6 nd raguard attach-policy DEFAULT

! 限制 RA
interface GigabitEthernet0/0
  ipv6 nd ra suppress
  ipv6 nd ra interval 200

! 扩展头检查
ipv6 extension-header check hop-by-hop
ipv6 extension-header check routing
```

### 监控检测

**NDP 监控**：
```python
# NDP 异常检测示例
from scapy.all import *

def detect_ra_spoofing(pkt):
    if ICMPv6ND_RA in pkt:
        # 检查 RA 来源
        if pkt[IPv6].src not in authorized_routers:
            print(f"[ALERT] Rogue RA from {pkt[IPv6].src}")
            # 记录/告警

# 监听 NDP 流量
sniff(filter="icmp6", prn=detect_ra_spoofing)
```

**流量分析**：
```
监控指标:
- NDP 消息频率
- 扩展头使用率
- 隧道流量比例
- 组播流量异常

告警阈值:
- RA > 10/分钟/接口
- 扩展头链 > 5 层
- 隧道流量突增 > 200%
```

---

## 实战配置

### Linux IPv6 安全加固

**系统加固**：
```bash
#!/bin/bash
# IPv6 安全加固脚本

# 禁用 IPv6 路由
echo 0 > /proc/sys/net/ipv6/conf/all/forwarding

# 禁用 RA 接收
echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra

# 禁用重定向
echo 0 > /proc/sys/net/ipv6/conf/all/accept_redirects

# 启用隐私扩展
echo 2 > /proc/sys/net/ipv6/conf/all/use_tempaddr
echo 2 > /proc/sys/net/ipv6/conf/default/use_tempaddr

# 限制扩展头
# (需要内核支持或防火墙规则)

echo "IPv6 安全加固完成"
```

### 企业网络 IPv6 部署

**分阶段部署**：
```
阶段 1: 准备 (1-3 个月)
- 审计现有设备 IPv6 支持
- 制定 IPv6 地址规划
- 更新安全策略
- 团队培训

阶段 2: 双栈部署 (3-6 个月)
- 核心网络双栈
- DNS 记录添加 AAAA
- 关键应用 IPv6 支持
- 安全监控覆盖

阶段 3: 优化 (6-12 个月)
- IPv6 流量分析
- 安全策略调优
- 性能优化
- 文档完善

阶段 4: IPv6 优先 (12+ 个月)
- IPv6 优先路由
- 逐步减少 IPv4
- 最终 IPv6 only
```

**地址规划**：
```
企业示例 (/48 前缀):
2001:db8:1234::/48

子网分配:
- 2001:db8:1234:0000::/64  管理网络
- 2001:db8:1234:0001::/64  服务器区
- 2001:db8:1234:0002::/64  办公区
- 2001:db8:1234:0003::/64  访客网络
- 2001:db8:1234:0004::/64  IoT 设备
- 2001:db8:1234:FFFF::/64  隧道端点
```

---

## 总结与思考

### 核心要点回顾

1. **IPv6 安全特性**：内置 IPsec、无 NAT、地址空间大
2. **特有攻击**：NDP 攻击、扩展头攻击、隧道攻击
3. **过渡策略**：双栈、隧道、翻译的安全考虑
4. **防护方案**：防火墙配置、路由器加固、监控检测
5. **实战配置**：Linux 加固、企业部署

### 深入思考

**IPv6 安全悖论**：
- 设计更安全，但部署带来新风险
- 地址空间大降低扫描风险，但使资产发现困难
- 内置 IPsec 但很少使用

**安全建议**：
- IPv4 和 IPv6 同等保护
- 不要依赖"隐蔽性安全"
- 监控 IPv6 流量如同 IPv4
- 禁用不需要的 IPv6 功能

### 未来趋势

**发展方向**：
- IPv6 only 网络增加
- IoT 推动 IPv6 普及
- 5G 原生 IPv6
- 安全自动化提升

---

## 参考资料

### 学习资源

- **RFC 8200**: IPv6 规范
- **RFC 6105**: RA Guard
- **NIST SP 800-119**: IPv6 安全指南
- **IPv6 Security Book**: https://ipv6security.com

### 工具资源

- **SI6 Networks IPv6 Tools**: https://www.si6networks.com/tools/
- **THC IPv6 Toolkit**: https://github.com/vanhauser-thc/thc-ipv6
- **Scapy**: https://scapy.net

---

*Day 31 完成 | IPv6 安全基础与过渡详解 | 字数：约 12,000 字*