本章涵盖以下主题:
再引入到IPv6:IPv6的梗概
IPv6的更新:描述IPv6采用的当前状态
IPv6的漏洞:描述在IPv6的弱点是重点的关键领域
黑客经验:占地面积攻击工具和技能的当前状态
IPv6安全缓解技术:介绍了保护IPv6的高级方法
互联网协议(IP)是最广泛使用的通信协议。因为它是最普遍的通信技术,它是成千上万像您一样的it专业人员关注的焦点。由于如此多的人依赖协议,通信安全是重中之重。在IP上进行的安全研究有善意的人也有恶意的人。所有的安全研究导致了许多补丁和调整IP,因为它已经部署到国际上。事后看来,如果在广泛部署协议之前对协议的安全性进行更深入的考虑,可能会更好。
这本书让您深入了解了新版本IP的安全后果,并提供了在部署之前避免问题的指南。本章简要介绍了IPv6的下一个版本。您将了解在大规模部署之前考虑IPv6安全性的重要性。对当前的风险和行业知识的漏洞提供了回顾,以及通用的方式,IPv6可以被保护。
再引入到IPv6
互联网工程任务组(IETF)是负责制定互联网协议标准组织。当IETF开发的IPv4,互联网和当前互联网安全问题的全球扩张并没有预料到的。在IPv4中的原始设计,网络安全是只给予轻微的考虑。在20世纪80年代,当IPv4的正在发展,“互联网”,是由一组合作组织的构建。由于IPv4的开发和互联网的爆炸发生在20世纪90年代,互联网威胁成为多产。如果互联网威胁的当前环境正在发展的IPv4的时候可能已经预测,该协议将不得不纳入其设计更多的安全措施。
在20世纪90年代早期,IETF意识到需要一个新版本的IP,工作组开始起草新协议的要求。下一代IP (IPng)被创建,然后成为IPv6 (RFC 1883)。IPv6是继IPv4之后的第二个网络层标准协议,用于跨Internet和其他计算机网络的计算机通信。IPv6提供了几个引人注目的功能,是互联网协议发展的下一步。这些改进包括地址大小的增加、精简的报头格式、可扩展的报头以及保持通信的机密性和完整性的能力。IPv6协议在1998年底的RFC 2460中被完全标准化,它定义了头结构。IPv6现在已经准备好克服当前IPv4协议中的许多缺陷,并创建IPv4无法支持的新通信方式。
IPv6比它的前辈提供了一些改进。IPv6的优点在许多其他关于IPv6的书中都有详细介绍。然而,下面的列表总结了IPv6的特点和改进,它可以提供:
更大的地址空间:地址大小从32位增加到128位
流线型的协议头:提高包转发效率
无状态自动配置:决定自己地址的能力节点
组播:增加使用高效的一对多通信
Jumbograms:能够有非常大的包有效载荷,以提高效率
网络层安全:通信的加密和认证
服务质量(QoS)能力:帮助识别优先流量的数据包和流标签的QoS标记
任播:使用非唯一地址冗余服务
流动性:更简单地处理移动或漫游节点
注意 -记住以下IPv6术语:
一个节点与IPv6通信的任何系统(计算机、路由器等)。
一个路由器是任何能够路由和转发的IPv6数据包的三层设备。
一个宿主是计算机或其他非路由器的访问设备的节点。
一个包是层3消息来源的IPv6节点,以IPv6地址。
在IPv6的发展,其中一项规定是,这个新的协议必须有灵活的转换机制。它应该很容易过渡到这个新的协议渐渐地,多年来。因为很明显,IPv6的会变得非常流行,过渡将需要缓慢而有条理。
同时运行IPv4和IPv6,调用双栈,是主要的转型战略之一。这个概念描述了这样一种情况:一个路由器支持两个或多个不同的路由协议,并转发每种类型的流量,而不依赖于其他路由协议的行为。经验丰富的网络工程师会回忆起“夜间路由”的概念。This term refers to the fact that packets from either protocol can pass by each other without affecting each other or having anything to do with each other. Because "dual stacking" can be a dominant migration strategy, running a network with both protocols can open that network to attacks on both protocols. Attacks can also evolve that leverage a combination of vulnerabilities in IPv4 and IPv6.
除了双栈,到IPv6的过渡还涉及到各种类型的隧道方法,其中IPv6通过IPv4网络传输,而IPv4网络还没有迁移到IPv6。为了访问网络的IPv4或IPv6部分,转换机制本身可能会受到攻击。IPv6系统的安全性必须评估之前,IPv6被允许启用在当前和未来的网络和系统。
由于IPv6和IPv4都是网络层协议,因此许多网络层漏洞是相似的。然而,由于在IP层之上和之下的协议层对于任何一个IP版本都是相同的,所以这些攻击中的许多不会改变。因为这两个协议是相关的,所以协议之间的相似性可以创建类似的攻击模式。IPv6可以提高某些领域的安全性,但在其他领域,它也可能带来新的威胁。第2章,“IPv6协议漏洞”,重点关注针对IPv6协议本身的攻击,并描述了防止它们的方法。
自1998年12月IETF发布RFC 2460以来,IPv6一直在继续发展。随着IPv4公共地址的减少,IPv6变得越来越有吸引力。事实上,IPv6是解决这个IP地址耗尽问题的唯一可行的解决方案。当前IPv4网络中的许多问题都与地址保护有关。例如,永久使用网络地址转换(NAT)和双NAT对于Internet扩展来说不是一个现实的长期策略。
如今,用户在互联网上的身份往往是未知的,这创造了一个环境,攻击者也可以轻松操作。使用的匿名化工具,如Tor和开放代理和NAT的使用允许用户隐藏自己的源IP地址,并允许黑客未经其目标知道很多关于该消息的来源进行操作。NAT经常被误解为安全保护措施,因为它隐藏了内部地址,从而混淆了内部网络拓扑。许多网络管理员感到安全的错觉,把太多的信心在NAT。NAT休息使用满端至端通信模式是IP安全(IPsec)必须是完全有效的。执行NAT功能的防火墙有困难的故障转移期间保持NAT状态。流经一个NAT故障处理应用的流量是非常困难的。当使用IPv6,NAT的使用是因为大量的可用地址的没有必要的。每个节点都有自己唯一的地址,并且可以使用该地址为内部和外部通信。
核心,分发和访问层后双栈启用,则计算机系统本身可以是支持IPv6。在此之后发生时,系统管理员可以开始实现支持IPv6的节点之间的IPsec隧道提供机密性和系统之间的通信的完整性。这提供了安全的过流加密的IPv4实现更高水平。同时利用身份验证和加密IPsec部署目前很少用于计算机到计算机的通信。今天使用IPsec的常见方法,因为是在代替的NAT防止认证报头只加密有效载荷在隧道模式。然而,关键的系统之间的通信可以任选地与IPv6的IPsec的固定,同时使用认证和加密。第8章,“IPv6的安全(IPsec)”提供了有关如何确保IPv6的通信的进一步细节。IPv6的唯一可以提供这种明确的端至端的安全通信,因为不需要NAT时的IPv6可以提供每个节点有一个全球唯一的IP地址。
IPv6更新
IPv6正在成为现实。多年的早期协议研究已经使易于互操作的产品得到了回报。几个早期的IPv6研究小组已经解散,因为该协议开始进入过渡阶段。6BONE(随着RFC 3701逐步淘汰)和KAME (http://www.kame.net) IPv6研究和开发项目已经结束,并让位于来自各种各样供应商的更多IPv6产品。IPv6的部署不是如果的问题,而是何时的问题。IPv6是不时之需。
向IPv6的过渡继续在世界各地发生。该协议越来越受欢迎,并被集成到更多的产品中。现在市场上有很多支持ipv6的操作系统。Linux、BSD、Solaris、Microsoft Vista和Microsoft Server 2008操作系统都默认启用了IPv6栈,IPv6是首选协议栈。当然,思科设备完全支持双栈配置,而且IOS设备中IPv6特性的数量还在不断增长。然而,IPv6的生产使用仍然是早期采用者的领域。
IPv6的普及率正在增长,但也不可预测。IPv6部署的时间很长,很难衡量。总的来说,到目前为止,IPv6的过渡是基于地理和政治的。亚洲和欧洲地区分配的IPv4地址没有那么多,已经感受到过渡到IPv6的压力。虽然北美的组织拥有更多的IPv4地址,但是地址耗尽的影响使得迁移到IPv6更加紧迫。专注于IPv6的细分市场少之又少。很少有特定于ipv6的应用程序能够吸引企业、服务提供者和使用者,从而使他们希望更快地转换。一些垂直市场,如政府和国防、公共部门、教育、视频分发和高科技都开始看到IPv6的好处,并正在制定他们的过渡计划。
还有的IPv6的许多领域的问题仍有待解决。一对IPv6其余的挑战是,很少IPv6服务提供商存在。目前,互联网IPv6流量依然清淡与IPv4相比,但它继续增长。这可以归因于缺乏最后一英里的IPv6接入和客户端设备(CPE)的不支持IPv6。多宿主,这是连接到多个服务提供商的冗余的概念,是需要一定的时间来解决问题,但它是值得怀疑的,它是从显著部署IPv6阻碍组织。对IPv6的硬件加速不普及,很多应用缺乏对IPv6的支持。就像其他网络技术的部署,网络管理和安全留到最后。这本书的目的是提高人们对与IPv6相关的安全性问题的认识,并提供方法部署之前,以确保协议。
IPv6的漏洞
IPv6最终会像IPv4一样流行,甚至更流行。未来十年,随着IPv6的部署,部署IPv6的系统数量将超过IPv4。虽然早期采用者可以帮助充实bug,但仍有许多问题需要解决。IPv6的实现在市场上是相对较新的,创建这些系统的软件还没有像它们的IPv4版本一样经过实地测试。可能会有一段时间发现缺陷,供应商需要快速响应,修补他们的缺陷。许多小组正在对IPv6进行广泛的测试,因此他们有希望在部署IPv6之前发现许多问题。然而,所有IT设备和软件的主要供应商都发布了他们IPv6实现中的漏洞。微软、Juniper、Linux、Sun、BSD,甚至思科都发布了自己软件中的漏洞。由于IPv6已经被注意到,很明显,这些主要供应商已经吸引了黑客的注意。