论文部分内容阅读
摘要:介绍了Ipv6协议的安全特性,在此基础上,分析了IPv6可能面临的安全威胁,在Ipv4到Ipv6的过渡阶段存在的特有的体系结构及安全问题。对相应的安全问题,详细阐述了问题的来源和特性,并提出了利用现有技术手段来解决网络安全问题的技术方案。
关键词:IPv6;安全;攻击;IPSec;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1082-02
IPv6 Security Technologies Analysis
WANG Yi-wu, REN Yu, CHEN Jun
(Education Technology Center of ChengDu Medical College, Chengdu 610083, China)
Abstract: Introduce the security features of the Ipv6, on the basis of this, Analysis the security threats the IPv6 may face to, as well as the unique architecture and security issues on the transitional stage of Ipv4 to Ipv6.To the corresponding security issues, elaborated the origin and characteristics, Proposed the technical program how to solve the network security problem with the existing technological method.
Key words: IPv6; security; attack; IPSec; firewall
1 引言
伴随着CNGI_CERNET2工程的展开,IPv6已经率先步入各高等院校,IPv6超大的地址空间、清晰的路由结构、对视频点播及移动主机良好的支持等特性让我们领略到了下一代互联网的优越性,IPv6从地址空间和自身协议完善方面都能对网络安全起到促进作用,它支持各种安全选项,包括审计功能、数据完整性检查、保密性验证等。但是,在IPv6环境中,特别是现在IPv4到IPv6的过渡阶段,技术能力不够,部分协议规范尚在制定之中,必要的网络安全设备仍需完善,所以对IPv6网络安全的研究尤为必要。
2 IPv6的安全特性
IPSec是IPv6协议的重要组成部分,也是IPv4的一个可选扩展协议。它可以“无缝”地为IP提供安全特性,包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性等。
2.1 协议安全
在协议安全方面,IPv6全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头.AH认证支持hmac—rod5—96 1hmac—sha—l一96认证加密算法,ESP封装支持DES—CBC、3DES—CBC、RC5、CAST_128等加密算法。
2.2 网络安全
2.2.2 端到端的安全保证
IPv6最大的优势至于保证端到端的安全,可以满足用户对端到端安全和移动性的要求。每建立一个连接,都会对两端主机的报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6上安全地传递。
2.2.3 对内部网络的保密
因为IPSec作为IPv6的扩展报头不能被中间路由器解析而只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。
2.2.4 通过安全隧道构建安全的VPN
利用IPSec构建VPN,可以实现强大的安全性、支持远程办公和移动办公、减轻在集线器站点的拥挤等功能。在路由器之间建立IPSec的安全隧道,构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上就是IPSec隧道的终点和起点。
2.2.5 通过隧道嵌套实现网络安全
通过隧道嵌套的方式可以获得多重的安全保护,当配置了IPSec的主机通过安全隧道接入到配置了IPSec网关的路由器,并且该路由器作为外部隧道的终结点将外部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。
3 IPv6所面临的安全问题
3.1 网络侦查
在IPv6中,地址分为两部分:一部分是64位的子网标识符,另一部分是64位的接口标识符,本地网络的最小地址数是264 。超大地址空间和清晰的分层次地址结构可以有效地防止攻击者对整个IPv6网络进行系统的侦查。虽然传统的扫描和探测技术不再适用,但是由于IPv6的地址是128位的,不容易记忆,网络管理员通常会对一些关键设备使用容易记忆的IPv6地址(如2001:da8:6002:3::1、2001:250:3::1等),猜到这类地址的可能性会很大。另外,IPv6引入的组播和任播使攻击者会更容易发现网络中的关键系统。如路由器、NTP Server等,这些设备上维护了诸如:邻居缓存、目的缓存、前缀列表、默认路由器列表等数据结构,攻击者可以利用邻居或简单的报文截获来发现这些信息并实施攻击。比如攻击者可以宣告错误的网络前缀、路由信息等,从而使网络不能正常工作,将网络流量导向错误的地方。
针对这种情况,对于系统上的关键主机,网络管理员应使用标准的,不易被猜测到的IPv6地址,增加黑客猜测IPv6网络地址的难度;在防火墙上过滤掉不需要的网络服务,减少被扫描到漏洞服务的机会;有选择性地过滤ICMP报文。
3.2 ICMPv6和IP分片
IPv6明确规定了对部分类型的ICMPv6报文不要过滤,包括“报文太大、参数问题、路由恳求、邻居恳求、侦听报文等”如果消息头和内容没有IPSec保护,攻击者可以很容易冒充合法节点,不停产生错误IP包(目的不可达、超时、参数错误等),在网络上发起拒绝服务攻击。
针对IP分片攻击技术, RFC2460中规定,传输的中间装置如路由器和交换机在IPv6中不允许接受以它们为目标地址的IPv6分片报文。也就是说,向这些网络中间裝置发送IPv6分片报文的攻击是没有用的。而且,RFC2460中还规定,不允许重叠现象的发生,当发生了重叠现象,IPv6会把这些碎片报文丢弃。同时,在RFC2460中规定,IPv6最小的MTU是1280个字节,小于1280的分片是不合法的(除最后一片);这有助于防止碎片攻击。
3.3 隧道技术
隧道技术是将Ipv6的数据包封装入Ipv4中,将隧道入口和出口的Ipv4地址作为Ipv4分组的源地址和目的地址,从而实现Ipv6数据包的传输。
在这种情况下,非法用户可以使用IPv6访问采用了IPv4和IPv6的网络资源,攻击者还可以通过安装了双栈的IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。
在隧道技术中,将一种协议封装在另外一种协议的数据包种,这使得过滤分组的安全机制失效,所以要安全使用隧道技术,必须对现有的网关、防火墙等安全设施进行改进。
3.4 地址配置方式
IPv6支持有状态和无状态的两种地址自动配置方式。有状态地址自动配置是通过DHCPv6实现的,目前该标准还在制订中;无状态地址自动配置是获得地址的关键。网络节点为获得他的全局路由前缀,向目的地址FF02::2(所有路由器多播地址)发出路由器请求RS(Router Solicitation)消息。路由器收到网络节点的RS消息后,向该节点回送路由器宣告RA(Router Advertisement)消息,来告知网络上所有IPv6主机的节点前缀、生命周期等参数。节点根据此公告报文来配置路由表。
这种无状态地址自动配置协议极大地提高了网络使用的方便性和易管理性,但也存在着安全缺陷。此种地址分发方式允许任何接入网络的节点都分配地址,包括非法节点的连接,所以无状态配置方式下网络的安全性将受到很大影响。Ipv6的邻节点发现协议使用ICMPv6来实现相邻节点的交互管理,取代了Ipv4中使用的基于广播的地址解析协议ARP、ICMPv4路由器发现和ICMPv4重定向报文。邻节点发现协议容易受到多种攻击。通过伪造邻节点发现报文,攻击者可以在网络上发布错误的节点前缀、路由信息,从而达到虚假路由的目的。攻击者还可以通过虚假的路由消息,让源节点将消息发往自己,以窃取数据破坏机密性,或者误导大量节点发送数据到某个目标节点使其资源耗尽,破坏可用性。
3.5 病毒、互联网蠕虫
病毒和互联网蠕虫是现在最让人头疼的网络攻击行为,基于应用层的病毒和互联网蠕虫对底层的传输方法是IPv4还是IPv6并不敏感,所以他们的存在是肯定的,但这种传播方式由于IPv6巨大的地址空间,传播将非常困难。病毒和蠕虫检测系统仍然是必需的。
3.6 源地址伪装
攻击者修改他们的源IP地址和目的地址端口,使他们发出的报文看似发自于另一台主机或另一个应用程序,这种欺骗攻击依然十分流行。IPv6 地址具有全球聚集屬性,分层次地址结构使对客户的IPv6地址段易于总结, 有利于跟踪和回溯。加上RFC2827 推荐的过滤策略后,不合法的报文将被丢弃,从而达不到攻击的目的。不过目前这种过滤还不是一种标准行为,它需要管理者去实现。
4 结论
IPv6的出现虽然主要是为了解决IPv4地址空间有限的问题。但同时也为提高网络安全性能从协议基础上提供了支持,IPSec的实施,并没有使其他安全防御体系成为冗余。保障网络安全,单靠一两项技术并不够,还需要配合多种手段。对于整个安全体系来说,IPSec、防火墙、IDS应该是共同存在,构成一个防御体系。其安全效果胜于任何一个的单独使用。
参考文献:
[1] Hagen S.IPv6精髓[M].技桥,译.北京:清华大学出版社,2004:92-118.
[2] 郭改义.IPSec的安全体系及应用[J].商场现代化,2006(5):l-3.
[3] 张肖翠,胡迎新.利用IPSec技术构建企业虚拟专用网[J].微计算机信息,2006(5):120-121.
[4] 程琛睿,马严.IPSec与IPv6的网络安全[J].现代电信科技,2006(2):21-23.
[5] 胡道元,闵京华. 网络安全[M].北京:清华大学出版社,2004:l88-2l1.
[6] 周逊.IPv6一下一代互联网的核心[M].北京:电子工业出版社,2003:207-230.
[7] 李振强,赵晓宇.IPv6技术揭秘[M].北京:人民邮电出版社,2006:255-234.
[8] 褚玲瑜,齐文娟.IPv6的安全问题探讨[J].微计算机信息,2006,22(1):10-12.
关键词:IPv6;安全;攻击;IPSec;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1082-02
IPv6 Security Technologies Analysis
WANG Yi-wu, REN Yu, CHEN Jun
(Education Technology Center of ChengDu Medical College, Chengdu 610083, China)
Abstract: Introduce the security features of the Ipv6, on the basis of this, Analysis the security threats the IPv6 may face to, as well as the unique architecture and security issues on the transitional stage of Ipv4 to Ipv6.To the corresponding security issues, elaborated the origin and characteristics, Proposed the technical program how to solve the network security problem with the existing technological method.
Key words: IPv6; security; attack; IPSec; firewall
1 引言
伴随着CNGI_CERNET2工程的展开,IPv6已经率先步入各高等院校,IPv6超大的地址空间、清晰的路由结构、对视频点播及移动主机良好的支持等特性让我们领略到了下一代互联网的优越性,IPv6从地址空间和自身协议完善方面都能对网络安全起到促进作用,它支持各种安全选项,包括审计功能、数据完整性检查、保密性验证等。但是,在IPv6环境中,特别是现在IPv4到IPv6的过渡阶段,技术能力不够,部分协议规范尚在制定之中,必要的网络安全设备仍需完善,所以对IPv6网络安全的研究尤为必要。
2 IPv6的安全特性
IPSec是IPv6协议的重要组成部分,也是IPv4的一个可选扩展协议。它可以“无缝”地为IP提供安全特性,包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性等。
2.1 协议安全
在协议安全方面,IPv6全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头.AH认证支持hmac—rod5—96 1hmac—sha—l一96认证加密算法,ESP封装支持DES—CBC、3DES—CBC、RC5、CAST_128等加密算法。
2.2 网络安全
2.2.2 端到端的安全保证
IPv6最大的优势至于保证端到端的安全,可以满足用户对端到端安全和移动性的要求。每建立一个连接,都会对两端主机的报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6上安全地传递。
2.2.3 对内部网络的保密
因为IPSec作为IPv6的扩展报头不能被中间路由器解析而只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPv6扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。
2.2.4 通过安全隧道构建安全的VPN
利用IPSec构建VPN,可以实现强大的安全性、支持远程办公和移动办公、减轻在集线器站点的拥挤等功能。在路由器之间建立IPSec的安全隧道,构成安全的VPN是最常用的安全网络组建方式。IPSec网关的路由器实际上就是IPSec隧道的终点和起点。
2.2.5 通过隧道嵌套实现网络安全
通过隧道嵌套的方式可以获得多重的安全保护,当配置了IPSec的主机通过安全隧道接入到配置了IPSec网关的路由器,并且该路由器作为外部隧道的终结点将外部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。
3 IPv6所面临的安全问题
3.1 网络侦查
在IPv6中,地址分为两部分:一部分是64位的子网标识符,另一部分是64位的接口标识符,本地网络的最小地址数是264 。超大地址空间和清晰的分层次地址结构可以有效地防止攻击者对整个IPv6网络进行系统的侦查。虽然传统的扫描和探测技术不再适用,但是由于IPv6的地址是128位的,不容易记忆,网络管理员通常会对一些关键设备使用容易记忆的IPv6地址(如2001:da8:6002:3::1、2001:250:3::1等),猜到这类地址的可能性会很大。另外,IPv6引入的组播和任播使攻击者会更容易发现网络中的关键系统。如路由器、NTP Server等,这些设备上维护了诸如:邻居缓存、目的缓存、前缀列表、默认路由器列表等数据结构,攻击者可以利用邻居或简单的报文截获来发现这些信息并实施攻击。比如攻击者可以宣告错误的网络前缀、路由信息等,从而使网络不能正常工作,将网络流量导向错误的地方。
针对这种情况,对于系统上的关键主机,网络管理员应使用标准的,不易被猜测到的IPv6地址,增加黑客猜测IPv6网络地址的难度;在防火墙上过滤掉不需要的网络服务,减少被扫描到漏洞服务的机会;有选择性地过滤ICMP报文。
3.2 ICMPv6和IP分片
IPv6明确规定了对部分类型的ICMPv6报文不要过滤,包括“报文太大、参数问题、路由恳求、邻居恳求、侦听报文等”如果消息头和内容没有IPSec保护,攻击者可以很容易冒充合法节点,不停产生错误IP包(目的不可达、超时、参数错误等),在网络上发起拒绝服务攻击。
针对IP分片攻击技术, RFC2460中规定,传输的中间装置如路由器和交换机在IPv6中不允许接受以它们为目标地址的IPv6分片报文。也就是说,向这些网络中间裝置发送IPv6分片报文的攻击是没有用的。而且,RFC2460中还规定,不允许重叠现象的发生,当发生了重叠现象,IPv6会把这些碎片报文丢弃。同时,在RFC2460中规定,IPv6最小的MTU是1280个字节,小于1280的分片是不合法的(除最后一片);这有助于防止碎片攻击。
3.3 隧道技术
隧道技术是将Ipv6的数据包封装入Ipv4中,将隧道入口和出口的Ipv4地址作为Ipv4分组的源地址和目的地址,从而实现Ipv6数据包的传输。
在这种情况下,非法用户可以使用IPv6访问采用了IPv4和IPv6的网络资源,攻击者还可以通过安装了双栈的IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。
在隧道技术中,将一种协议封装在另外一种协议的数据包种,这使得过滤分组的安全机制失效,所以要安全使用隧道技术,必须对现有的网关、防火墙等安全设施进行改进。
3.4 地址配置方式
IPv6支持有状态和无状态的两种地址自动配置方式。有状态地址自动配置是通过DHCPv6实现的,目前该标准还在制订中;无状态地址自动配置是获得地址的关键。网络节点为获得他的全局路由前缀,向目的地址FF02::2(所有路由器多播地址)发出路由器请求RS(Router Solicitation)消息。路由器收到网络节点的RS消息后,向该节点回送路由器宣告RA(Router Advertisement)消息,来告知网络上所有IPv6主机的节点前缀、生命周期等参数。节点根据此公告报文来配置路由表。
这种无状态地址自动配置协议极大地提高了网络使用的方便性和易管理性,但也存在着安全缺陷。此种地址分发方式允许任何接入网络的节点都分配地址,包括非法节点的连接,所以无状态配置方式下网络的安全性将受到很大影响。Ipv6的邻节点发现协议使用ICMPv6来实现相邻节点的交互管理,取代了Ipv4中使用的基于广播的地址解析协议ARP、ICMPv4路由器发现和ICMPv4重定向报文。邻节点发现协议容易受到多种攻击。通过伪造邻节点发现报文,攻击者可以在网络上发布错误的节点前缀、路由信息,从而达到虚假路由的目的。攻击者还可以通过虚假的路由消息,让源节点将消息发往自己,以窃取数据破坏机密性,或者误导大量节点发送数据到某个目标节点使其资源耗尽,破坏可用性。
3.5 病毒、互联网蠕虫
病毒和互联网蠕虫是现在最让人头疼的网络攻击行为,基于应用层的病毒和互联网蠕虫对底层的传输方法是IPv4还是IPv6并不敏感,所以他们的存在是肯定的,但这种传播方式由于IPv6巨大的地址空间,传播将非常困难。病毒和蠕虫检测系统仍然是必需的。
3.6 源地址伪装
攻击者修改他们的源IP地址和目的地址端口,使他们发出的报文看似发自于另一台主机或另一个应用程序,这种欺骗攻击依然十分流行。IPv6 地址具有全球聚集屬性,分层次地址结构使对客户的IPv6地址段易于总结, 有利于跟踪和回溯。加上RFC2827 推荐的过滤策略后,不合法的报文将被丢弃,从而达不到攻击的目的。不过目前这种过滤还不是一种标准行为,它需要管理者去实现。
4 结论
IPv6的出现虽然主要是为了解决IPv4地址空间有限的问题。但同时也为提高网络安全性能从协议基础上提供了支持,IPSec的实施,并没有使其他安全防御体系成为冗余。保障网络安全,单靠一两项技术并不够,还需要配合多种手段。对于整个安全体系来说,IPSec、防火墙、IDS应该是共同存在,构成一个防御体系。其安全效果胜于任何一个的单独使用。
参考文献:
[1] Hagen S.IPv6精髓[M].技桥,译.北京:清华大学出版社,2004:92-118.
[2] 郭改义.IPSec的安全体系及应用[J].商场现代化,2006(5):l-3.
[3] 张肖翠,胡迎新.利用IPSec技术构建企业虚拟专用网[J].微计算机信息,2006(5):120-121.
[4] 程琛睿,马严.IPSec与IPv6的网络安全[J].现代电信科技,2006(2):21-23.
[5] 胡道元,闵京华. 网络安全[M].北京:清华大学出版社,2004:l88-2l1.
[6] 周逊.IPv6一下一代互联网的核心[M].北京:电子工业出版社,2003:207-230.
[7] 李振强,赵晓宇.IPv6技术揭秘[M].北京:人民邮电出版社,2006:255-234.
[8] 褚玲瑜,齐文娟.IPv6的安全问题探讨[J].微计算机信息,2006,22(1):10-12.