阿里巴巴集团高级安全专家程荣在2018 ISC互联网安全大会上分享了阿里云IPv6的实践。在演讲中,程荣讲述了全球IPv6发展趋势及国内政策要求,分享了阿里巴巴集团IPv6升级面临的挑战和安全威胁,以及阿里巴巴集团IPv6改造和安全解决方案。

阿里巴巴IPv6升级面临的挑战及安全威胁
程荣提到,阿里巴巴的整个业务生态在落实国家IPv6政策的实践过程中,碰到了一些问题,一是在IPv6规模化部署的情况下做好IPv6安全,它的核心是如何在成本最低情况下实现效率最高,同时保证自主可控;二是在实施IPv6安全方案时,如何让安全不影响用户的体验的同时能够做到快速检测。
阿里在IPv6升级部署时面临着很多挑战,首先涉及IPv6企业核心网络改造,包括IPv6协议栈、网关、网络设备、路由管理、地址编制分配等都需要从IPv4转移到IPv6,改造量非常巨大。其次,经过十几年同网络黑灰产的对抗,已经具备完备的IPv4安全体系,在IPv6网络下安全问题包括IPv6地址滥用、不全配置、IPv6用户仿冒、应用安全漏洞等等,这些问题该怎么防护?这涉及的改造量也非常巨大。另外IPv6升级还涉及到运营商基础网络、同互联网的对接以及各企业之间的协同,其中的工作量也是非常巨大的。因此,IPv6不仅是网络层的改造,还是对IT基础设施的改造,更是整个生态能力的提升,是牵一发而动全身的事情。
在IPv6升级改造的过程中,安全面临着哪些威胁?他认为有八大挑战。
第一,IPv6协议栈安全。针对IPv6协议特点进行的攻击有分片攻击、扩展头攻击、NDP攻击等。终端会涉及到用户仿冒,运营商会给终端用户分配地址,如果地址不能溯源或者被恶意分子利用,很可能会做很多坏事。
第二,IPv6安全检测及扫描。IPv6拥有 128位地址空间,地址空间变大使得实施IPv6扫描非常困难,但是IPv6地址如果易仿冒,安全监控和防御都有了新的挑战。
第三,IPv6 DNS安全。在扫描困难的情况下公共节点可能会成为优先攻击的目标。
第四,IPv6 DDoS防护及黑洞。DDoS防护涉及IPv6编址标准、IPv6黑洞支持,需要多部门配合联动,挑战很大。IPv6地址分配会涉及到国家、运营商、教育网还有企业IPv6编址及分配规范。而DDoS防护,用户IPv6地址空间增大对于攻防双方是把双刃剑,清晰统一的编址、精确溯源可以降低DDoS防御的成本与效率。
第五,IPv6业务风控。IPv6地址是很关键的一环,如何精准快速区分恶意用户及溯源,防止薅羊毛、作弊、欺诈等?
第六,IPv6安全产品改造。协议栈升级以及地址相关的策略及逻辑改造面大,成本高。现在的安全产品整体要实施改造,需结合各自安全产品业务逻辑判断升级改造,特别是和IP地址相关的安全数据、情报、扫描探测等相关逻辑,对于企业来说成本还是非常高的。
第七,IPv6网络安全。IPv6地址空间大,做好规划及地址分配策略,同时网络访问控制及隔离、扫描都要配套升级。IPv6地址空间带来的一些限制,使得扫描和监控检测都非常困难,这也是一个比较大的挑战。
第八,IPv6过渡技术安全。在IPv6规模部署过程中会涉及到过渡技术,包括隧道、翻译、IPv4/IPv6双栈技术等,这些过渡技术的安全控制并不完善,需要结合其他方案综合控制风险。
阿里巴巴集团IPv6改造及安全解决方案
目前阿里巴巴的IPv6 DNS、IPv6 CDN、 IPv6 SLB 、IPv6转换服务已经上线,包括RDS和OSS已经发布,网络设备的选型、升级线路的改造。即将上线的还有ECS,云安全/服务等,另外阿里的业务整个生态中包括淘宝、天猫、蚂蚁金服、支付宝等都支持IPv6的访问,还有优酷等也即将支持IPv6。
在网络做完整个改造之后,安全也会做相关的配套升级。对于整个改造方案,从互联网企业的安全架构来看,程荣表示,需要改造的有系统层、存储层、网络层、应用层等。系统层涉及到了协议栈的加固,IPv6服务端口最小化开放、IPv6协议扫描及漏洞监测;存储层包括IPv6地址库数据,积累黑灰产恶意IPv6数据,如果同AI结合还涉及到规则算法模型也要做改造。在网络层,包括网络设备IPv6安全配置加固、访问控制的隔离,IPv6黑洞路由防DDoS,网络扫描;应用层涉及到WAF、CC防御、反爬虫、业务风控等。阿里会随着IPv6改造的进程,同时去部署、加固、落地安全解决方案,目的是为客户提供一个安全可控、高效便捷、体验更好的服务。
对于IPv6的未来,它的安全会怎么走?程荣表示,第一,要建立自主可控的、完备高效的IPv6安全防护网络,需要标准、应用、端、管、云及各行各业的共同努力,这件事情不做在前面对于各行业的防控都是不利的。
第二,IPv6的协议栈稳定会有一个过程,随着支持IPv6的应用逐步上线,用户流量上一定规模,会有新一轮形式的IPv6攻防对抗,特别是在业务风控、防DDoS、IPv6协议漏洞挖掘等方面。
第三,随着政策的牵引以及5G、IoT、云计算等对于IP地址需求大的业务的发展,IPv6安全产品及检测防护升级需要及时准备好,确保安全风险可控。
(本文刊登于《中国教育网络》2018年10月刊,本文根据程荣在2018 ISC互联网安全大会上的发言整理而成,整理:杨燕婷)

宁夏银川市 1F
所以本主题和wp5.1不兼容评论有问题呢是吗
美国 B1
@ 枫少 wp5.1的问题跟这IPv6有啥关系?别跑题啊。
宁夏银川市 2F
阿里巴巴集团高级安全专家程荣在2018 ISC互联网安全大会上分享了阿里云IPv6的实践。
宁夏银川市 B1
@ Alvin 是的
宁夏银川市 3F
对于IPv6的未来,它的安全会怎么走?
宁夏银川市 B1
@ 宁夏琨博科技 你觉得呢
湖北省襄阳市 B1
@ 宁夏琨博科技 求问现在云服务商有没有一键开启的v6安全套件?
浙江省舟山市 4F
IPv6地址空间这么大,扫描监控得多费劲啊。
辽宁省鞍山市 5F
感觉阿里这改造工程量不小,光协议栈这块就够头疼的。
上海市 6F
之前公司搞过v6试点,配置起来确实麻烦,各种兼容性问题。
陕西省西安市 B1
@ 石上飞白 防火墙规则调死人,深有同感。
广东省广州市 7F
所以到底啥时候普通用户能明显感觉到变化?
福建省福州市 8F
说这么多挑战,那现在到底有没有成熟的防护方案?🤔
浙江省杭州市 9F
这文章是18年的,现在都过去几年了,不知道进展怎么样了。
北京市 B1
@ 荒野旅人 要是真这么难,现在都2024了,运营商那边到底推到位没?
广东省江门市开平市 10F
安全产品都要跟着改,成本肯定不低。
韩国 11F
双栈技术听着就复杂,过渡期的安全怎么保证?
北京市 12F
IPv6的DDoS防护和v4有啥本质区别吗?
陕西省宝鸡市 13F
看完了,感觉离我们普通网民还有点远,先吃个瓜。
菲律宾 14F
这玩意儿光听术语就头大,我们小公司哪扛得住这改造。
日本 15F
协议栈攻击听着玄乎,实际中是不是已经有人中招了?
福建省漳州市 16F
之前搞过一次v6部署,防火墙规则调了半个月才稳住。
越南 17F
这个DDoS黑洞路由真能扛住大流量攻击吗?实测过吗?
新西兰 18F
吃瓜群众表示:反正我还在用v4,先不慌。
重庆市大渡口区 19F
阿里这种体量改起来都费劲,中小企业怕不是直接摆烂。
北京市 20F
太贵了吧这也,小厂根本玩不起。
辽宁省锦州市 21F
感觉还行,至少知道难点在哪了。
辽宁省鞍山市 22F
改造费这么大劲,普通用户真能感觉到啥差别不?
安徽省蚌埠市 23F
搞不懂,反正我电脑现在还显示IPv4。
辽宁省抚顺市 24F
扫个地址都费劲,还防啥攻击啊。
北京市 25F
双栈过渡听着就头大,不会两边都漏风吧?🤔
新西兰 26F
我们小公司连个专职网管都没,这咋搞。
泰国 27F
那图里讲的哥们儿看着挺专业,就是内容有点硬核。
四川省成都市 B1
@ 果酒酿造师 看着挺专业,但讲得太深了,小白根本跟不上节奏。
澳大利亚 28F
所以现在到底推得咋样了?感觉没啥动静呢。
浙江省绍兴市新昌县 29F
感觉难点都在地址管理和检测这块,老方案直接废了。
辽宁省阜新市 30F
这工程,也就大厂玩得起。
上海市 31F
普通用户怕是还得等好几年吧,现在连路由器都还没全支持呢。
日本 32F
地址空间大到扫不动,那黑产是不是更难抓了?
山东省济南市 33F
之前公司试过v6,光是防火墙规则就调到崩溃。
辽宁省抚顺市 34F
中小企业估计直接躺平,哪有钱搞这种大工程。
重庆市 35F
DDoS防护在v6下真能比v4强?感觉悬。
山西省长治市 36F
这改造成本,没个几百万打底根本动不了。
河南省郑州市 37F
说白了就是大厂先扛,小厂等标准落地再说。
日本 38F
v6地址分配要是乱来,溯源不就废了?
黑龙江省哈尔滨市 39F
吃瓜看戏,反正我宽带还是v4稳得很。
韩国 40F
过渡期双栈要是出漏洞,岂不是两头都漏风?
江苏省南京市 41F
阿里都搞这么费劲,其他公司怕不是直接摆烂。
福建省南平市 42F
协议栈攻击听着吓人,实际案例有吗?
河南省开封市 43F
v6推了这么多年,为啥我家光猫还不支持?