Recientemente para ayudar a los clientes a solucionar un extraño problemas de red, la otra parte juró que el servidor fue la penetración de DDoS, me acerqué a mirar la curva de tráfico en la música - está claro que la solicitud del cliente IPv6 fueron los viejos nodos CDN como tráfico anómalo a la muerte equivocada. El cliente me preguntó con los ojos muy abiertos: “¿Dónde alguien usa IPv6 ahora?” Directamente corté el hotspot del teléfono móvil a la red 5G y lo pasé: “Pruébelo usted mismo, ahora la proporción de direcciones IPv6 asignadas por las estaciones base 5G es casi 90%.”
En estos días, el entorno de red se está convirtiendo en mucho más rápido de lo imaginado. El año pasado, la tasa de penetración global de IPv6 superó oficialmente 40%, los tres principales operadores nacionales de la red móvil de tráfico IPv6 representaron más de 50%. pero muchas empresas de la configuración de CDN de alta defensa todavía está atascado en la arquitectura de doble pila de la etapa primaria, no se dio cuenta de que IPv6 ha sido durante mucho tiempo no es “opcional”, sino “obligatorio”. "Las siguientes son algunas de las cosas más importantes que usted puede hacer para su negocio
El más perjudicial es el problema de seguridad de la traducción de direcciones. La solución tradicional NAT44 en el entorno IPv6 es como utilizar una valla de bambú para evitar los tanques - el año pasado, la vulnerabilidad de conversión a IPv6 de una conocida empresa de comercio electrónico provocó el secuestro de más de 7.000 sesiones de usuario, y la causa raíz fue la mala configuración de las reglas de conversión del proveedor de CDN.
Las pruebas realizadas han revelado que la mayoría de las CDN tradicionales de alta defensa presentan tres fallos fatales en su compatibilidad con IPv6: descarte de la información de la cabecera de seguridad durante la conversión del protocolo, falta de reglas de limpieza del tráfico específicas para IPv6 y degradación obligatoria a IPv4 al volver al origen. Un conocido proveedor que afirma ser compatible con IPv6 tiene un nodo que borra directamente el campo de la etiqueta de flujo de IPv6 para su transmisión, lo que constituye una operación de pacotilla que socava directamente la continuidad de la identidad del flujo. Este tipo de operación destruye directamente la continuidad de la etiqueta de flujo.
No se crea la propaganda de los proveedores de “compatibilidad perfecta con IPv6”. El año pasado probé ocho servicios CDN convencionales, y sólo tres de ellos alcanzaron realmente la compatibilidad total con IPv6. Entre ellos, el rendimiento de CDN5 es el más sorprendente, no sólo soporta Anycast nativo IPv6, sino que también puede configurar umbrales de protección DDoS IPv6 individualmente en la consola. En particular, su protocolo de enrutamiento inteligente permite una programación precisa basada en la ubicación geográfica de los segmentos de direcciones IPv6.
La solución de 08Host es un poco más complicada: conversión de protocolos a través de un proxy de dos niveles. Aunque puede resolver el problema de compatibilidad, el retraso adicional de 3 ms es un desastre para los juegos y los escenarios financieros. Por el contrario, CDN07 ha desarrollado una “biblioteca de huellas dactilares IPv6” muy interesante, que puede identificar más de 500 patrones de ataque específicos de IPv6, como los ataques de inundación del protocolo Neighbourhood Discovery (NDP), una rutina clásica.
Configurar una CDN de alta defensa para que admita IPv6 no es tan sencillo como encender un interruptor. En primer lugar, hay que comprobar si el certificado SSL admite IPv6. El año pasado, nos encontramos con el escollo de que el certificado Let's Encrypt fallaba en el handshake en un enlace IPv6 puro. Se recomienda utilizar este comando para comprobar la integridad de la cadena del certificado:
La más crítica es la política de seguridad de traducción de direcciones. Actualmente, la solución dominante es la combinación NAT64+DNS64, pero muchas O&M copian directamente las reglas ACL de IPv4 y, como resultado, se filtra toda la información de cabecera extendida de IPv6. El enfoque correcto debería ser configurar los grupos de seguridad así:
Las estrategias de limpieza de tráfico deben optimizarse aún más individualmente. el bloque de direcciones /48 de IPv6 equivale a todo el espacio de direcciones IPv4. las reglas de defensa tradicionales basadas en el número de IPs directamente fallan. Se recomienda utilizar un mecanismo de puntuación de reputación dinámico. como el implementado en la solución CDN5:
El diseño de la arquitectura back-to-source es aún peor. Algunos proveedores se dedican directamente a la conversión de IPv6 a IPv4 para ahorrar tiempo, y esta solución está abocada a tener problemas cuando se encuentra con protocolos de descubrimiento de PMTU. Un enfoque más seguro es dejar que los nodos periféricos realicen un apilamiento dual con el origen, como hace CDN07 al implementar la selección inteligente de protocolos: cuando la calidad del enlace IPv6 con el origen es inferior al umbral, se cambia automáticamente a IPv4, manteniendo la coherencia de la sesión.
Recientemente, cuando ayudamos a un sitio web de vídeos a realizar la migración, también encontramos una trampa oculta: el problema de la MTU de IPv6. Dado que IPv6 prohíbe la fragmentación, el parámetro tcp-mss debe configurarse explícitamente cuando el nodo CDN utiliza 1480 bytes de MTU y el lado del usuario utiliza 1500 bytes:
El aspecto de la supervisión también tiene que actualizarse por completo. Los tableros de control tradicionales de IPv4 no muestran los indicadores clave del tráfico IPv6, por lo que hemos desarrollado un mapa tridimensional del tráfico IPv6 con información geográfica, que puede mostrar visualmente la correlación de ataques a diferentes segmentos de direcciones. Esta herramienta se utilizó para identificar tráfico anómalo procedente del segmento de direcciones 2001:db8::/32, que finalmente se rastreó hasta el programa de escaneado de redes IPv6 de un país.
Para ser honesto, el soporte de IPv6 de muchos proveedores de seguridad se ocupa ahora de las inspecciones. La última vez que vi las reglas de protección de vulnerabilidad de un producto, las reglas relacionadas con IPv6 son sólo una décima parte de IPv4, este efecto de protección es mejor que simplemente apagar. Si realmente quieres hacer un buen trabajo de protección, se recomienda consultar las directrices de seguridad IPv6 publicadas por el NIST, o al menos tener en cuenta las características de las extensiones de privacidad de direcciones y la rotación temporal de direcciones.
Tras más de medio año de pruebas de batalla, finalmente elegimos CDN5 como principal proveedor de servicios y 08Host para la recuperación de desastres y copias de seguridad. Apreciamos especialmente la función de mapa de amenazas en tiempo real de CDN5, que puede mostrar la correlación entre las cadenas de ataques IPv4 e IPv6 al mismo tiempo. Una vez, al defender un ataque de inundación IPv6 de 800 Gbps, su nodo de limpieza pudo identificar la huella digital del dispositivo IoT secuestrado y cortar directamente el enlace de control del servidor C2.
Recientemente, acabo de ayudar a una bolsa a completar una transformación completa de IPv6, y la experiencia más profunda es que IPv6 no es un simple cambio de formato de dirección, sino una actualización de todo el sistema de seguridad. Ahora la latencia de su sistema de intercambio se ha reducido en 17% porque IPv6 evita la sobrecarga de la conversión NAT. Y lo que es más, nunca se han encontrado con el problema de la suplantación de ARP de la era IPv4, después de todo, el protocolo IPv6 Neighbour Discovery tiene un mecanismo de autenticación cifrado.
Si tuviera que recomendar un plan de migración ahora, diría: date prisa y actualiza tu arquitectura dual-stack a una arquitectura IPv6-first pura y deja de aferrarte a IPv4. Los últimos datos de investigación muestran que el coste de atacar un enlace IPv6 puro es 40% más alto que IPv4, porque la eficacia de exploración cae drásticamente debido al gran espacio de direcciones. Se trata simplemente de una barrera natural para la defensa.
Un último dato: los sistemas Windows dan prioridad a IPv6 por defecto, y cuando su CDN no es compatible con IPv6, los usuarios experimentan un retraso en la recuperación del protocolo. Este detalle basta para explicar por qué algunos sitios web con la misma configuración se cargan más rápido y otros más despacio: el secreto está en la diferencia de milisegundos en la resolución de direcciones.
