RFC 6724規定了一種演算法來從IPv6和IPv4地址列表中選擇目標地址。RFC 6555(名為「快樂的眼球:雙協議棧主機的成功」)中討論了選擇最合適的目的地址面臨的挑戰,並推薦了可行的部署方法。
意外的VPN流量泄露並不是這個問題的唯一關注點。通過假裝為本地IPv6路由器,本地攻擊者可以發送偽造的ICMPv6路由器通告消息來故意觸發受害主機上的IPv6連接。這些數據包可以使用標準軟體(例如rtadvd)或者數據包編寫工具(例如IPv6工具包)來發送。一旦啟用了IPv6連接,與雙協議棧系統的通信將可能導致VPN流量泄露,正如《VPN流量泄露問題是如何出現的》所說的。
由於支持IPv6的網站越來越多,這種攻擊是可行的,但只有當目標系統是雙協議棧,才會導致流量泄露。然而,給任何目標系統帶來這樣的VPN泄露並不是難事。攻擊者可以簡單地發送偽造的路由器通告消息(包含相應的RDNSS選項),就可以假裝成本地遞歸DNS伺服器,然後執行DNS欺騙攻擊變成中間人,並攔截流量。對於無意泄露的情況,數據包編寫工具(例如IPv6工具包)可以很容易地執行這種攻擊。
VPN泄漏的緩解措施
我們可以通過很多緩解措施來避免雙協議棧網路中的VPN泄露問題。最簡單的方法(雖然不一定是最可取的)是在採用VPN連接時,禁用所有網路介面卡中的IPv6連接。運行VPN客戶端軟體的主機上的應用將只能夠採用IPv4,對此,VPN軟體應該做好準備來保護其安全。
網路可以通過部署第一跳安全模型,例如路由器通告防護(RA-Guard)和DHCPv6-Shield,來防止本地攻擊者成功地執行針對其他本地主機的上述攻擊。然而很明顯,當連接到開放網路時,主機不能依靠這些緩解措施。請記住,即使RA-Guard大量部署,也很容易受到泄露攻擊。
有些人可能認為最全面的緩解措施應該是在VPN軟體中加入IPv6支持,並讓VPN伺服器提供IPv6連接。雖然這種辦法在當前很多情況下不可行,但這種辦法可能有一定意義,因為IPv6的自動配置為路由器(同時還為攻擊者)插入其他路由信息提供了多種方法。例如,攻擊者仍然能夠通過執行一些「鄰居發現」攻擊來造成IPv6流量泄露,例如發送偽造ICMPv6重定向消息、偽造有路由信息選項(例如,「更具體的路由」)的路由廣播、偽造的宣傳「高優先順序」路由器的路由廣播等。即使VPN軟體支持IPv6,一些VPN部署將很有可能在短期內仍然容易受到這種類型的攻擊。
結論
IPv6和IPv4協議的微妙互動,以及(不幸的)既定的說法:如果有人計劃部署IPv6,安全性將是一個問題,可能造成不良後果,例如無意的VPN流量泄露。由於大多數通用操作系統是雙協議棧的,大多數網路至少部分是雙協議棧的,這意味著IPv6的安全影響不容忽視。互聯網對地址空間不斷增加的需求必然導致廣泛採用和部署IPv6協議。在採用和部署之前,企業應該全面了解相應的安全隱患。
[火星人 ] 如何避免雙協議棧網路VPN流量泄露已經有484次圍觀
