发布日期:2024/08/13
一、方案背景
全球對IP地址的需求持續快速增長,基于IPv6的下一代互聯網成為各國推動新科技產業的主導。由于IPv6地址數遠遠大于IPv4地址數,IPv4環境的廣譜掃描、探測類的技術無法直接應用于IPv6環境,尋求新的解決方案來實現IPv6環境的掃描、探測等,以確保安全性的前提下推動IPv6的大規模應用是某移動公司需要探索的重點。
二、需求痛點
目前國家正在大力推動IPv6網絡的部署,某移動公司在全面升級IPv6環境,隨著云計算、5G、物聯網、車聯網等數字化技術的應用,IPv6網絡所承載的應用越來越多,導致IPv6資產數量激增,傳統以IPv4網絡下統計的資產臺賬已不適用。
對某移動公司IPv6環境下全量網絡資產進行存活探測,在爆發大規模安全問題發生時,要求能夠精確定位發生安全事件的資產,快速的進行漏洞驗證實現封堵。
三、解決方案
基于某移動公司對IPv6資產當前痛點需求,要考慮IPv6網絡資產探測系統考慮探測的全面性、高效性、IPv6適應性以及應用性等,設計思路如下:
基于IPv6環境下網絡安全產品和服務研發應用實施后,可全面探測發現某移動公司IPv6環境下暴露面資產及其脆弱性,以便針對性地進行安全防護,繪制IPv6網絡資產及其脆弱性地圖,構建面向某移動公司所轄范圍內IPv6網絡空間地圖能力。
四、實際應用
本期工程通過建設IPv6網絡空間資產測繪平臺,主要功能包括IPv6資產可視化、IPv6資產服務、資產數據分析、IPv6資源庫等,進一步提升某移動公司的整體IPv6資產發現能力。系統功能架構如下圖所示:
IPv6網絡資產探測系統內置了許多資源庫,其中包括:指紋庫、漏洞庫、PoC庫、資產庫、IP地理庫、Whois庫、IPv6存活地址庫、威脅情報庫等。根據所需探測資產的規模大小和分布范圍,部署一個或多個IPv4/IPv6探測節點,調度存活探測引擎、指紋探測引擎、PoC探測引擎和拓撲探測引擎,探測資產存活狀態、指紋信息、拓撲等,用以進行PoC漏洞驗證,將探測到的數據匯聚到數據庫,根據需要進行IPv6地址智能生產、關聯屬性智能分析、安全態勢分析等大數據分析,據此提供檢索、報表、地圖等服務,提供態勢展示、資產畫像等可視化展示,并可根據需要提供各種專題分析。
五、項目效果