《IPv6安全》——1.1 重温IPv6

1.1 重温IPv6

IPv6安全
Internet工程任务组(IETF)是负责定义Internet协议标准的组织。当IETF开发IPv4时,没有想到Internet的全球扩展和当前的Internet安全问题。在IPv4的原始设计中,网络安全仅给以最低限度的考虑。在20世纪80年代,当IPv4正在开发之时,“Internet”是由若干协作的组织构成的。随着IPv4发展成熟和20世纪90年代发生Internet爆炸,Internet威胁变得日渐其多。如果当初IPv4开发之时可以预测到Internet威胁的当前环境,那么这个协议将会把更多的安全措施集成到其设计之中。

在20世纪90年代,IETF意识到将需要IP的新版本,并通过起草新协议需求而开始了任务组的工作,这形成了IP下一代(IPng),后来成为IPv6(RFC 1883)。IPv6是IPv4之后的第二个网络层标准协议,用于Internet和

其他计算机网络间的通信。IPv6提供数项令人感叹的功能,是Internet协议演进中真正的新协议。这些改进是以如下方式出现的:增加的地址长度、高效的首部格式、可扩展的首部和保留通信机密性和完整性的能力。1998年末,RFC 2460对IPv6协议进行了完全的标准化,其中定义了首部结构。现在IPv6已经准备好克服当前IPv4中的许多缺陷,并形成IPv4不支持的新的通信方式。

1.1 重温IPv6

IPv6提供了优于其前任(IPv4)的数项改进。在有关IPv6的许多其他书籍中详细描述了IPv6的优势。下面汇总了IPv6的特征以及它所提供的改进措施。

较大的地址空间:将地址长度从32位增加到128位。
高效的协议首部:提高了数据包转发效率。
无状态自动配置:为节点提供确定其自身地址的能力。
多播:增加了高效使用的一对多通信能力。
超大型数据包:为了较高的效率,提供巨型数据包负荷的能力。
网络层安全:通信的加密和认证鉴权。
服务质量(QoS)能力:数据包和流标签的QoS标记,用以识别具有优先级的流量。
任意播:使用非唯一地址的冗余服务。
移动性:更简单地处理移动或漫游节点。
注释

记住如下IPv6术语。

一个节点是以IPv6进行通信的任意系统(计算机、路由器等)。
一台路由器是能够路由选路并转发IPv6数据包的任意三层设备。
一台主机是一个节点,可以是计算机或非路由器的任何其他类型接入设备。
一条数据包是三层消息,源于一个IPv6节点,目的地为另一个IPv6地址。
在IPv6部署过程中,要求之一是这种新协议必须具有灵活的迁移机制。网络应该易于在数年间逐步地迁移到这种新协议。因为IPv6将变得非常流行,所以迁移需要是缓慢的和有条不紊的。

同时运行IPv4和IPv6,称为双栈,这也是是主要的迁移对策之一。这个概念描述如下场景:一台路由器支持两种或多种不同的路由协议,并互不干扰地转发不同类型的流量。经验丰富的网络工程师将会回忆起“独立运行路由选路”的概念。这个概念指这样的事实,来自每种协议的数据包可相互通过而不相互影响。因为“双栈”可能会是一种占主导地位的迁移对策,所以运行这两种协议的网络会暴露于这两种协议存在的各种攻击之中。攻击也是发展的,它会利用IPv4和IPv6中弱点的组合实施攻击。

除了双栈之外,迁移到IPv6还包括各种类型的隧道方法,即在还没有迁移到IPv6的IPv4网络上承载IPv6。可能存在对迁移机制本身的攻击,因为这可能获得一个网络的IPv4或IPv6部分的接入访问能力。在当前和未来的网络及系统上被允许支持IPv6之前,人们必须评估IPv6系统的安全性。

IPv6和IPv4都是网络层协议,因此网络层的许多弱点是类似的。但是,无论对于哪个IP版本而言,在IP层之上和之下的协议层仍然是相同的,所以存在的多数攻击将不会改变。因为这两个协议是相关的,所以这两种协议之间的相似性会产生类似的攻击模式。IPv6可在一些方面改善安全性,但在其他方面,它对新威胁也是开放的。第2章的讨论重点放在针对IPv6协议自身的攻击上,并描述了应对这些攻击的方式。

自1998年12月IETF发布RFC 2460以来,IPv6一直在持续演进。随着可用IPv4公用地址数量的减少,IPv6变得更具吸引力。事实上,IPv6是这个IP地址耗尽问题的唯一可行的解决方案。当前IPv4网络中的许多问题与地址预留有关。例如,长期使用网络地址转换(NAT)和双重-NAT就不是Internet扩展的一个真正的长期对策。

如今,在Internet上的用户身份经常是未知的,这就产生了攻击者容易操作的一个环境。匿名化工具(例如Tor和开放代理)以及NAT的使用,允许用户隐藏他们的源IP地址,并在被攻击目标不知情的情况下,实施攻击。因为NAT隐藏了内部地址,所以NAT经常被误解为一种安全保护措施,从而使内部网络拓扑处于混乱状态。许多网络管理员错误地理解了安全的含义,并将太多的信赖放在NAT上。其实NAT破坏了完全的端到端通信模型,而这个模型恰是IP安全(IPSec)的基础,有了它IPSec才能完全发挥作用。执行NAT功能的防火墙难以在故障倒换期间维护NAT的状态。对流经一个NAT的应用流量进行排错也经常是困难的。使用IPv6,因为存在大量可用地址,所以就不必使用NAT。每个节点都有唯一的地址,它能够使用那个地址进行内部通信和外部通信。

在核心层、分发层和接入层都支持双栈之后,计算机系统自身就可以支持IPv6。这样,系统管理员就可以在支持IPv6的节点之间启用IPSec隧道,在系统之间提供通信的机密性和完整性。这提供了比当前未加密IPv4更高等级的安全能力。IPSec部署采用了认证和加密,如今在计算机到计算机的通信中很少使用。因为NAT阻止认证首部,所以如今使用IPSec的常见方法是仅加密隧道模式中的负荷。但是,关键系统之间的通信可以有选择地采用IPv6 IPSec,使用认证和加密实施安全保障。第8章提供了如何保障IPv6通信安全的细节。因为当IPv6能够为每个节点提供一个全局唯一的IP地址时,就不需要NAT,所以IPv6可以唯一地提供这种清晰的端到端的安全通信。

时间: 2024-12-03 19:30:44

《IPv6安全》——1.1 重温IPv6的相关文章

《IPv6安全》——2.3 IPv6网络勘察

2.3 IPv6网络勘察 IPv6安全 任何类型的攻击的第一个阶段通常都涉及对目标的勘察.攻击者首先评估目标,确定穿透防御的最容易的方法以及实施攻击的最优方式,并确定攻击实际上是否会成功.计算机黑客以几乎相同的方式进行操作.虽然不能在物理上看到受害者,但勘察都可在0~1秒内发生.黑客们在网络的黑暗中摸索道路,寻找一个可能目标的征兆.下面各节讲解攻击者发现IPv6节点并试图攻击它们所采取的步骤. 2.3.1 扫描并评估目标 典型情况下,黑客开始其攻击首先要寻找一个目标,方法是使用ping扫查目标的

《IPv6安全》——1.2 IPv6知识更新

1.2 IPv6知识更新 IPv6安全 IPv6正在成为现实.多年的早期协议研究产生额外益处,得到易于互操作的产品.IETF解散了几个早期IPv6研究组,原因是该协议开始转入迁移阶段.6BONE(随RFC 3701而被淘汰)和KAMEIPv6研究和开发项目被削弱,并为来自各生产厂商的更多IPv6产品让路.仅当IPv6成为必然之时,IPv6的部署才不会成为一个问题. 在世界各地人们持续进行着向IPv6的迁移.该协议正获得人们的欢迎,并被集成到更多的产品.如今在市场上存在许多支持IPv6的操作系统.

ICANN总裁Fadi Chehadé:IPv6峰会全面推动了IPv6在中国的发展与产业落地

在今天召开的2015全球IPv6下一代互联网高峰会议上,来自互联网名称与数字地址分配机构(ICANN)总裁Fadi Chehadé通过在线视频向大家分享了互联网应用迅猛发展.IP地址耗尽这一时代背景下IPv6相关的技术及应用等展望. Fadi Chehadé讲到,IPv6峰会已经举办了15届,并取得了令人瞩目的成果:IPv6峰会全面推动了IPv6在中国的发展与产业落地,同时在IPv6的全球推广中也发挥了领导作用,并给予我们很大的帮助. IPv6的意义不仅仅在于庞大的地址空间,更在于它推动着全球互

《Cisco IPv6网络实现技术(修订版)》一第1章 IPv6介绍1.1 IPv6的理论根据

第1章 IPv6介绍Cisco IPv6网络实现技术(修订版)"所有能被发明的东西都已被发明了." Charles Duell,美国专利局局长,1899 第1章 IPv6介绍 在深入了解一种新技术之前,明白这种新技术是为解决什么问题而设计的和它带来了什么优势是至关重要的.当本章结束时,你应该能解释使用Internet协议版本6(Internet Protocol version 6,IPv6)的理由.本章还介绍了IPv6协议的主要特点和优势. 1.1 IPv6的理论根据 Cisco I

IPv6代理服务器:打开进入IPv6的大门

[51CTO.com独家特稿] 提起IPv6,相信大部分人都知道--但也基本上仅限于"知道"而已.从上个世纪90年代中期诞生之后,虽然关于IPv6的话题讨论一直都是热点,但对广大的用户而言,却很少能真正将IPv6应用利用起来!问题出在 哪里?一方面是IPv6本身的应用不多:但另一方面,或者说更为关键的是,传统的IPv4应用和IPv6网络之间无法互联互通,使得IPv6网络和应用形成了一个个孤岛:传统的IPv4用户用不上,新兴的IPv6网络发展不起来--造成这种情况的根本原因,其实是当时I

《IPv6安全》——1.5 IPv6安全缓解技术

1.5 IPv6安全缓解技术 IPv6安全 IPv6安全架构与IPv4的安全架构没有本质上的不同.当组织机构迁移到IPv6时,他们仍然具有与如今相同的网络拓扑结构.不管使用哪个IP版本,网络仍然需要能够支持组织机构的任务,网络仍然需要有数据中心.远程站点和Internet连接. 采用IPv6,网络周边设计与采用IPv4的情况相同,多数组织机构继续拥有"硬得嘎嘎作响的(hard,crunchy)"外部网络以及"软得粘糊糊的(soft,squishy)"内部网络.问题是

《IPv6精髓(第2版)》——第3章 IPv6编址3.1 IPv6地址空间

第3章 IPv6编址 IPv4地址长度为32比特,而且看起来都很相似,但IPv6地址却有128比特,而且看起来差别很大.制定IPv6标准的出发点之一就是扩展地址空间,当然优化路由表(特别是Internet的路由表)也是重要原因之一.本章将帮助大家熟悉IPv6扩展后的地址空间,解释IPv6编址的工作方式以及采取这种设计方式的原因.有关IPv6编址体系的详细信息定义在RFC 4291中(替代了RFC 3513). 3.1 IPv6地址空间 32比特的IPv4地址空间在理论上可以提供232个地址,约等

《部署IPv6网络(修订版)》一第2章 重温IPv62.1 IPv6寻址

第2章 重温IPv6 部署IPv6网络(修订版)IPv6代表了IP的一个演进步骤.除了构建于IPv4之上和从运营IPv4网络获得的经验之外,IPv6有其自身的特性和独特的功能实现.因此,在深入了解部署IPv6之前,您应该使自己熟悉协议的基础知识.本章通过给出IPv6概念的一个简短复习带您进入本书的内容范围. IPv6的许多特征将区别于其前身(IPv4).这些特征中的一些特征在后续章节中从部署的角度进行讨论.但本章将焦点集中于IPv6协议属性的一个子集,它们代表了IPv6运营的基础,如下所示: I

《部署IPv6网络(修订版)》一导读

前 言 部署IPv6网络(修订版) 毫无疑问,信息技术已成为我们生活中非常重要的部分,成为人们工作.学习和娱乐的重要手段.在过去10年间,计算机通信的发展更加凸显了信息技术的重要性.联网的计算设备已经证明比它们单纯地累加更加有用.这一理念导致了生产力极大的提升并产生了众多的新业务,这些新业务将其范围从研究团体拓展到办公室.大公司以及到全球互联网(World Wide Web). 由于计算机通信被人们迅速的接纳,这一前所未有的工程创新也迅速地提升了网络技术的发展(这自然要求更大的.更快的及功能丰富