2009-11-10 作者:粟薇
摘要: 笔者建议对IPv6数据进行查看其实不必花费大量资金,鼓励大家对进出企业网络的数据实施审查,这样才能有效保障安全。
在过去的几周里,有企业在谈论公司网络中一些有意思的联网数据,原来这些数据指的就是用IPv4标头包装的IPv6数据。包裹在IPv4数据包中的IPv6数据或许是无心之举,但也可能是一些试图躲避审查的恶意行为。要了解这一潜在的安全问题,我们需要工具的帮助。这些企业之所以留意到这些数据,是因为他们最近更新了IPS系统软件,因此他们现在能够看到这些被包起来的数据。
6to4和Teredo都是动态的隧道技术,桌面操作系统利用这些技术来帮助用户访问IPv6互联网。这些技巧将IPv6数据包包裹在IPv4 数据包中。6to4的方法将IPv6数据包放在IPv4协议41数据包内。Teredo则是将IPv6数据包放在标头为UDP 3544的IPv4数据包内。
人们对这些数据包感到担忧,主要是因为对其不了解,因为我们通常都无法检查这些数据包中的数据。事实上,我们所有人都无法看到网络中穿行的封装数据。
设置导入导出的防火墙策略是非常好的做法。但是,很多人为了图方便,养成了不良的输出习惯——使用默认的导出策略。这也思科防火墙的默认属性不尽如人意的原因,因为所有从高安全级别接口到低安全级别接口的数据都获得默许,从而导致许多企业非常粗心地对待自己的防火墙策略。没有设置对外防火墙策略的企业要额外小心,因为他们网络中的所有IPv6数据都可能被IPv4端口41 或UDP 3544数据包裹起来。所有的IPv6数据都可能在不受限制的情况下流向企业网络外。因为这些防火墙同样也是处于启用状态,而且返回的数据都获得许可。
即便我们使用固定的安全策略,也仍然需要提高网络中进出数据的透明度。Deep Packet Inspection(DPI)就是典型的在网络拓扑结构中完成的检查,而在网络拓扑结构中就存在大量的数据传输,这也是困扰DPI的主要问题。这些瓶颈也同样存在于1G和10G网络中,特别是在服务供应商的网络中。通常,需要使用快速处理器来处理这类流量。对于DPI系统的另一顾虑是,它无法对这种封装的数据包进行分析和描述。而隧道技术恰好是把IPv6数据放入IPv4数据包中。因此,什么样的产品可用来对封装的IPv6数据包执行DPI检查呢?
下面就是我们列出的产品清单,这些产品能够帮我们查看封装的IPv6数据。
思科IPS
思科IPS探测器已经具备检查IPv6数据的功能。但是,在其早期的版本中用于IPv6的功能非常有限。而思科在IPS 6.2版本中加入了一些IPv6检查功能。IPS 7.0则提供了更多的相关功能;不过,还不可用于IPv6异常检测。
思科FPM
在思科IOS中,有一个名为Flexible Packet Matching的功能,它可以用来匹配及控制数据。有了这一功能,我们便能通过MQC类型的配置来创建复杂的访问控制列表,然后可以规定数据的处理方式。
事实上,我们可通过定义一个偏移值和指定检查信息的方法来定义二层框架或三层框架的任意数据包。FPM在最近推出的15.0版本中得到了极大改进。
下面,我们来分享一个用FPM检查思科路由上Teredo流量的示例。该FPM示例与使用UDP 端口 3544封装IPv6数据的IPv4数据匹配。即便这些数据包正在使用非标准的Teredo端口,FPM也能深入该数据包,并能与那些基于端口号码和使用 2001::/32前缀的数据包匹配,。
FPM最大的局限性在于,它只能检查IPv4单点播放数据包。因此不能用它观察包裹在IPv6数据包中的IPv6数据或是任何本地IPv6数据。
Command Information Assure6
Command Informatica在IPv6社区中一直小有名气。他们开发了一个能对各种IPv6数据执行DPI检查的系统——Assure6。Assure6可以查看IPv4包裹的IPv6数据,可以查看本地IPv6数据,还可以查看IPv6中的IPv6数据。系统中内置许多常见IPv6攻击签名。
波音SMIS
波音公司甚至开发出一种能对网络流量执行集中安全评估的系统——波音安全监控基础架构系统(波音SMIS)。该系统建立在一个可以检查IPv6数据的平台上。暂时还没有针对该系统发布的公共信息,但是对于想要查看IPv6流量的我们来说,不失为另一个选择。
Snort
Snort自2.8.0版本以来,就一直可以支持IPv6,而最新的2.8.5版本则具备IPv6 DPI功能。当我们编辑Snort的时候,需要使用“./configure –enable-ipv6”配置参数。而配置规则的时候,一定要使用ipvar,而不是var,而且net命令可以指定IPv6地址。
OpenDPI
一家名为Ipoque的德国公司已经开发出一个名为协议和应用分类引擎(PACE)的库,这个库可以被添加到OpenDPI软件中。起初,OpenDPI似乎不支持IPv6。但是,在该产品的使用指南中提到,IPv6要在使用PACE的时候才可用。
Sandvine
Sandvine是一家加拿大公司,该公司为服务供应商和企业网络提供管理流量的设备和软件。他们的系统(PTS 8210,PTS 14000,PTS 24000)能提供高带宽的流量检查。但是,对于其系统究竟能多深入查看地查看IPv6数据,还不得而知。
DPI 测试系统——Shenick
还有一产品甚至能帮助DIP系统生产商们测试自己的软件。其中之一就是供应商Shenick,Shenick提供名为diversifEye的DPI测试系统。其数据表宣称具备IPv6功能。但事实上,Sandvine可能正用自己的系统测试其产品的IPv6功能。
Wireshark
笔者最喜欢的协议分析器是Wireshark。它可以查看任意类型的数据,可以准确分析被其他数据包裹的数据。如果用户不想花大笔钱却又想知道自己的网络中是否在输出封装的IPv6数据,就可以设置一个监控对话,再让电脑运行Wireshark就可以了。
结语
希望众多供应商能加强对IPv6数据执行DPI检查的能力。而随着供应商们逐渐发觉这一市场的潜力,相信这种希望也很快会成为现实。要对IPv6数据进行查看其实不必花费大量资金,我们鼓励大家对进出企业网络的数据实施审查,这样才能有效保障安全。