记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

如何避免双协议栈网络VPN流量泄露

2013-02-27 12:35

 

 自由可用的IPv4地址即将“枯竭”,多年以来,这促使大多数通用操作系统开始添加IPv6支持。然而,很多应用(例如VPN客户端和服务器软件)一直都没有准备好迎接IPv6。而这将导致这样的情况:双协议栈主机部署不支持IPv6的VPN软件,从而为安全漏洞广开大门,并导致VPN流量泄露。
 
  在本文中,我们将讨论这些VPN安全问题是如何出现的,以及如何缓解VPN流量泄露的方法。
 
  介绍:VPN泄露的风险

  从远程地点工作的员工通常会建立虚拟专用网络(VPN)连接来访问企业网络内部的服务,以及保护必须经过不安全网络的相应的流量。在某些情况下,由于VPN提供安全服务,例如对所有通过VPN的通信进行保密,我们认为使用VPN连接让不安全的协议可以接受(例如以纯文本传输敏感信息)。

  很多VPN连接只支持IPv4协议。然而,部署这些技术的主机通常是双协议栈的,这意味着它们同时支持IPv4和IPv6(默认启用)。目前,很多主机只使用IPv4,因为大多数网络不提供IPv6连接。IPv6支持仍然存在于主机,但需要被启用。当发生这种情况时,主机可能会不知不觉中在双协议栈网络中使用不支持IPv6的VPN。

  IPv4和IPv6协议在双协议栈网络中这种交互和共存的微妙关系可能无意或有意(蓄意攻击)导致VPN泄露安全问题——通过VPN连接传输的流量可能会泄露出VPN连接外,并在本地网络上以纯文本形式发送,而根本不使用VPN服务。

  IPv4和IPv6的相互作用

  IPv4和IPv6协议的共存有一些有趣且微妙的方面可能会导致意想不到的后果。虽然IPv6无法向后兼容IPv4,但这两种协议被域名系统(DNS)“粘”在一起。对于依赖于名称解析服务(例如DNS提供的服务)的双协议栈系统,不保护这两种协议,就不可能保护这两个系统之间的通信。

  很多VPN部署不支持IPv6协议,或者更糟糕的是,它们完全忽略了IPv6。当建立VPN连接时,VPN软件通常插入IPv4默认路由,让所有的IPv4流量通过该VPN连接发送(而不是用本地路由器以纯文本形式发送流量)。然而,如果不支持IPv6,发往IPv6地址的所有数据包都会使用本地IPv6路由器以纯文本形式发送,VPN软件将无法保护IPv6流量安全。

  例如,假设有一个网站同时支持IPv4和IPv6,相应的域名中包含A和AAAA DNS资源记录(RR),每个A包含一个IPv4地址,而每个的AAAA包含一个IPv6地址,每个这些记录类型可以有多个实例。当双协议栈客户端应用尝试与服务器通信时,它可以请求A和AAAA RR,并使用任何可用的地址。优选的地址族(IPv4或IPv6)和将被使用的具体地址(假设每个族有多个地址可用)部署各有不同,而很多主机部署更喜欢Pv6地址,而不是IPv4地址。

  意外和故意的VPN流量泄漏

  假设有一个双协议栈主机,它采用仅支持IPv4的VPN软件来建立与服务器的VPN连接。如果该主机连接到双协议栈网络会发生什么?如果主机的应用尝试与双协议栈系统通信,这通常要求查询A和AAAA DNS资源记录。如果主机同时支持IPv4和IPv6连接,但更青睐于IPv6目的地址,即使另一个系统有A和的AAAA DNS资源记录,主机都将使用IPv6来与上述系统进行通信。如果VPN软件不支持IPv6,IPv6流量将不会采用VPN连接,它将会通过本地IPv6路由器以纯文本形式传输。

  这无意中暴露了潜在的敏感流量,这些流量本该受到VPN软件的保护。在这个情况下,VPN泄露是在双协议栈网络中采用不支持IPv6软件(VPN)的消极作用

RFC 6724规定了一种算法来从IPv6和IPv4地址列表中选择目标地址。RFC 6555(名为“快乐的眼球:双协议栈主机的成功”)中讨论了选择最合适的目的地址面临的挑战,并推荐了可行的部署方法。

  意外的VPN流量泄露并不是这个问题的唯一关注点。通过假装为本地IPv6路由器,本地攻击者可以发送伪造的ICMPv6路由器通告消息来故意触发受害主机上的IPv6连接。这些数据包可以使用标准软件(例如rtadvd)或者数据包编写工具(例如IPv6工具包)来发送。一旦启用了IPv6连接,与双协议栈系统的通信将可能导致VPN流量泄露,正如前文所说的。

  由于支持IPv6的网站越来越多,这种攻击是可行的,但只有当目标系统是双协议栈,才会导致流量泄露。然而,给任何目标系统带来这样的VPN泄露并不是难事。攻击者可以简单地发送伪造的路由器通告消息(包含相应的RDNSS选项),就可以假装成本地递归DNS服务器,然后执行DNS欺骗攻击变成中间人,并拦截流量。对于无意泄露的情况,数据包编写工具(例如IPv6工具包)可以很容易地执行这种攻击。

  VPN泄漏的缓解措施

  我们可以通过很多缓解措施来避免双协议栈网络中的VPN泄露问题。最简单的方法(虽然不一定是最可取的)是在采用VPN连接时,禁用所有网络接口卡中的IPv6连接。运行VPN客户端软件的主机上的应用将只能够采用IPv4,对此,VPN软件应该做好准备来保护其安全。

  网络可以通过部署第一跳安全模型,例如路由器通告防护(RA-Guard)和DHCPv6-Shield,来防止本地攻击者成功地执行针对其他本地主机的上述攻击。然而很明显,当连接到开放网络时,主机不能依靠这些缓解措施。请记住,即使RA-Guard大量部署,也很容易受到泄露攻击。

  有些人可能认为最全面的缓解措施应该是在VPN软件中加入IPv6支持,并让VPN服务器提供IPv6连接。虽然这种办法在当前很多情况下不可行,但这种办法可能有一定意义,因为IPv6的自动配置为路由器(同时还为攻击者)插入其他路由信息提供了多种方法。例如,攻击者仍然能够通过执行一些“邻居发现”攻击来造成IPv6流量泄露,例如发送伪造ICMPv6重定向消息、伪造有路由信息选项(例如,“更具体的路由”)的路由广播、伪造的宣传“高优先级”路由器的路由广播等。即使VPN软件支持IPv6,一些VPN部署将很有可能在短期内仍然容易受到这种类型的攻击。

  结论

  IPv6和IPv4协议的微妙互动,以及(不幸的)既定的说法:如果有人计划部署IPv6,安全性将是一个问题,可能造成不良后果,例如无意的VPN流量泄露。由于大多数通用操作系统是双协议栈的,大多数网络至少部分是双协议栈的,这意味着IPv6的安全影响不容忽视。互联网对地址空间不断增加的需求必然导致广泛采用和部署IPv6协议。在采用和部署之前,企业应该全面了解相应的安全隐患。



知识来源: www.2cto.com/Article/201302/191530.html

阅读:161947 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“如何避免双协议栈网络VPN流量泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁