美国CISA发布针对联邦机构IPv6安全指南最终版

1月20日，网络安全和基础设施安全局(CISA)发布了《可信互联网连接（TIC）3.0的互联网协议版本6（IPv6）注意事项》指南最终版本，为联邦部门和机构在过渡到IPv6时提供与TIC3.0 实施相关的安全注意事项。最终确定的文件旨在向各机构介绍IPv6，提高对IPv6安全考虑的认识，并定制TIC3.0的安全目标以支持IPv6。

TIC计划最初是为了整合整个联邦政府的网络连接，限制威胁媒介的数量并提高安全性。TIC3.0 的现代化形式旨在解决向云计算和其他架构的转变。在联邦政府接受TIC3.0 的同时，整个互联网正在向IPv6转变。IPv6是旨在取代当前IPv4的下一代IP标准。IP地址是分配给连接到互联网的每台设备的数字标识符。本IPv6指南旨在广泛支持政府范围内IPv6网络协议的部署和使用。本文档介绍了IPv6的背景，列出了与TIC3.0 安全功能相关的协议安全注意事项，并根据TIC3.0 指南提供对IPv6安全功能的认识。

目的

本指南反映了OMB（管理和预算办公室） M-21-07中对TIC项目的授权，以加强相关的安全和弹性计划和服务，以全面支持在联邦IT（信息技术）系统中部署IPv6。本指南通过以下方式指导联邦民事机构支持IPv6：

• 提供IPv6协议的信息，使其实现总体认知；

• 告知各机构有关OMB M-21-07的责任；

• 调整TIC 3.0的安全目标和安全能力，以安全地支持IPv6；

• 提供IPv6安全相关注意事项的知识和指导。

本文档旨在与架构无关，并广泛支持政府范围内IPv6网络协议的部署和使用。它不是规定性的，而是有助于在确定IPv6环境中适当的安全级别时做出决策。

本文档将解释IPv6的背景，列出协议的安全注意事项，并根据TIC指南提供对IPv6安全功能的认识。这有助于促进围绕协议的对话，根据机构实际需要，后续可能会发布补充指南。

范围

根据OMBM-21-07，联邦机构需要推进IPv6网络，以确保互联网服务和技术的未来增长和创新。为了跟上快速发展的技术，联邦政府正在扩大和加强其对IPv6的战略承诺。本文档侧重于现代化协议的安全注意事项，因为它们与机构的TIC3.0 实施有关。机构必须部署IPv6以在整个联邦政府中实现该协议的全部优势和安全性。本指南直接支持OMBM-21-07。

假设和约束

本节旨在阐明有关本文档的结构和使用的重要细节。本指南的假设和约束概述如下。

• 本文档适用于部署IPv6的网络；它不关注双堆叠环境；

• 本指南并不全面，不应被解释为合规性要求或参考架构；

• 本指南不侧重于云中的虚拟化环境或IPv6部署；

• 本文档的目的是专门解决与在TIC中使用IPv6相关的安全注意事项3.0部署；

• 本指南并非设计为TIC用例，但可以在实施TIC3.0 指南时参考；

• 在利用TIC3.0 安全功能目录时，机构应参考此IPv6指南作为考虑因素，在启用IPv6环境的同时构建安全功能；

• 虽然IPv6有可能为联邦机构提供大量技术优势，但机构必须了解安全考虑因素，才能充分利用该协议的优势；

• 本文档旨在识别IPv6环境中的潜在安全影响，为机构预防、缓解和检测新出现的威胁提供信息；

• 各机构需要合作以加强在整个联邦IT基础设施中采用 IPv6的安全指南；

• 机构应准备好根据OMBM-21-07 增强和维护其IPv6部署；

• 鼓励机构测试使用IPv6的产品和服务，以了解它们与其他网络安全工具的互操作性和向后兼容性。

协议历史

连接到网络的每个设备都通过用于网络通信的IP地址进行识别。目前互联网使用两个IP地址版本IPv4和IPv6，但这些协议不能互操作。公私营部门的组织维护不同的网络基础设施或双栈，以同时适应两种协议IPv4于1983年由互联网协会为国防高级研究计划局(DARPA)开发。IPv4使用32位寻址，仅允许创建近2³²个不同的IP地址。随着互联网的指数采用，IPv4地址池在2011年耗尽。从那时起，IPv4一直通过网络地址转换(NAT)进行严格管理。

尽管IPv6是在1998年开发的，但近年来越来越受欢迎，以解决IPv4下可用的IP地址分配的短缺问题。IPv6使用128位寻址，它允许大约2¹²⁸个不同的IP地址。这个地址池几乎是 IPv4地址池的10²⁹倍。IPv6并非旨在向后兼容IPv4，因此具有IPv6和IPv4的双栈网络可以支持对网络基础设施的过渡更新。从IPv4到IPv6的37年演变见下图。

图1:IPv4到IPv6的37年演变图

为了利用这个更大的地址空间，OMB试图在2005年通过发布OMBM-05-22 来加速联邦政府向IPv6的过渡。备忘录提出了机构基础设施使用IPv6和机构网络与之交互的时间表。到 2008年实现IPv6基础设施现代化。建议各机构确保所有新的IT采购都与IPv6兼容，以节省成本。在这个过渡阶段，机构采购的所有新的启用 IP的产品都需要与IPv4和IPv6互操作。2010年，OMB发布了一份更新的备忘录“向IPv6过渡”，其中列出了各机构加快IPv6运营部署以实现IT现代化的必要步骤。

现在要求各机构迁移到OMBM-21-07 下启用IPv6的系统和服务，以进一步增强安全性。在联邦首席信息官 (CIO)的IPv6联邦工作组的管理下，OMBM-2107 指示各机构通过备忘录中概述的一系列里程碑完成向启用IPv6的系统和服务的过渡，从而进一步提高安全性。为了支持 OMBM-21-07，本指南描述了IPv6的安全注意事项。

IPv6是企业网络现代化的一个关键组成部分，它可以提高网络基础设施的可扩展性和安全性。随着 CISA开发保护联邦政府的能力，采用IPv6将提高安全性，超出IPv4目前提供的安全性。

协议优点

Internet工程任务组(IETF)为通过Internet在由IP地址标识的源节点和目标节点之间传输数据提供规范。IPv6的开发是为了改进IPv4的地址空间限制和其他缺点。尽管IPv4和IPv6之间有许多相似之处，但以下几点强调了两个版本的协议之间的主要区别。

IPv6 提供了更大的 IP 地址空间扩展

如上所述，IPv4的32位地址大小导致IP地址发布者在2011年用尽了可用的IPv4地址分配。IPv6的地址大小为128位，从而扩大了唯一地址的数量。这应该允许每个连接互联网的设备在可预见的未来拥有一个全球唯一的IPv6地址。

IPv6 启用了 IP 地址的自动配置

与IPv4网络需要管理员为主机分配IP地址或动态主机配置协议(DHCP)服务器来分配这些地址不同，IPv6网络本质上是即插即用的，并且支持自动地址配置。启用 IPv6的主机可以利用无状态地址自动配置(SLAAC)使用其媒体访问控制(MAC)地址和路由器通告的信息生成自己的链路本地IP地址。使用IPv6，地址分配较少依赖于服务器。存在 DHCP版本6(DHCPv6) 和SLAAC以适应具有所有IPv6主机的网络或具有IPv4和IPv6主机混合的双栈网络。

IPv6 为标头选项和扩展提供更大的支持

IPv6简化了IPv4标头，并通过引入可选的扩展标头提供了更大的灵活性。这些标头为数据包分段、身份验证和移动性等功能提供选项。IPv6可选扩展标头设计为在主要IPv6标头之后链接在一起。IPv6数据包如图2所示。

图2：IPv6数据包

IPv6 旨在支持身份验证和隐私功能

IPv4最初开发时具有最少的安全功能，随着时间的推移，安全功能被添加到协议中。另一方面，IPv6设计有扩展标头以支持身份验证、数据完整性和数据机密性。

移动 IPv6 更强大且易于管理

IPv4存在移动支持，但管理起来很麻烦，并且依赖于特殊路由器和预先安排的安全关联等组件和流程。移动IPv6允许移动主机保留其家庭IP，而不管它们是否连接到互联网，而不依赖于那些额外的技术和流程。

IPv4和IPv6之间还有许多其他差异，但寻址、安全性和移动性功能是最相关的，一致采用 TIC3.0 指南和OMBM-21-07 的联邦机构。以下部分提供了机构在 IPv6环境中实施TIC3.0 时应注意的协议特征示例。

协议对TIC 3.0 的影响

IPv6的部分开发是为了解决最初创建IPv4时未考虑的安全问题。但是，这并不意味着IPv6本质上比IPv4更安全。IPv6有其自身的运营安全问题，各机构应设法了解该协议对其网络安全架构的影响。同样，机构应考虑 IPv6网络如何影响其对TIC3.0 指南的采用，因为该协议的特性预计会影响某些网络管理操作。

本节概述了TIC目标和安全功能，以及IPv6特性与TIC目标和功能的映射。

TIC 目标和安全能力

TIC计划的总体目的是标准化和优化联邦政府目前使用的网络连接的安全性。TIC3.0 计划指南定义了涵盖的安全目标，旨在设定对架构的期望，指导TIC3.0 的实施，并在网络级别建立明确的目标。这些目标还可用于指导机构在IPv6环境中保护其网络。本文档的以下部分描述了对与 IPv6相关的TIC目标的可能影响。表1定义了TIC目标。TIC目标中的术语“流量”是指在信任区域之间传输、存储在信任区域或存储在两个信任区域中的网络流量或数据。

表1：TIC3.0 安全目标

除了目标之外，TIC3.0 指南还概述了几种安全功能，这些功能更从战术上描述了机构应该用来保护其架构的安全控制类型。TIC安全能力由两部分组成：

• 通用安全功能：概述TIC用例指导原则的企业级功能。

• 策略执行点(PEP)安全功能：为相关用例的技术实施提供信息的网络级功能。

TIC3.0 安全功能目录中提供了有关TIC目标和安全功能的更多详细信息。

协议安全注意事项和TIC 3.0 映射

下表提供了可能影响TIC3.0 安全目标和TIC3.0 安全功能目录中提供的功能的IPv6特性的高级摘要。协议特性、安全注意事项和建议的缓解措施反映了IETF提供的指导，可能并不代表IPv6部署的所有问题和安全解决方案。

该表旨在帮助机构了解协议的选择功能如何影响部署IPv6的TIC3.0 架构；它不关注双堆叠环境。它没有提供所有IPv6特性和安全注意事项的详尽列表。机构应参考IETF了解有关IPv6的详细信息，以帮助确定该协议对其组织网络架构的总体潜在安全影响。

表2：IPv6安全注意事项以及与TIC3.0 安全目标和功能的关系

结论

IPv6是企业网络现代化的重要组成部分，需要加深理解才能充分利用。与所有技术一样，IPv6存在安全风险。随着TIC计划继续确定和发展保护.gov的安全能力，可能会确定更多的现代化和技术领域来指导联邦政府。IPv6提供了广泛的优势，为利用其他新兴技术和概念提供了机会。随着联邦政府继续推动现代化，TIC指南将帮助机构遵循OMB指南。提供的指南只是机构的初步考虑。IPv6可能会影响企业的其他领域，这些领域可能会涵盖在未来的指南中。

声明：本文来自天极智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。