本章介绍以下主题:
重新引入IPv6:IPv6简要概述
IPv6更新:描述了IPv6采用的当前状态
IPv6漏洞:描述了IPv6中的弱点,这些是关键的关键领域
黑客体验:涵盖当前的攻击工具和技能状态
IPv6安全缓解技术:介绍了保护IPv6的高级方法
Internet协议(IP)是最广泛使用的通信协议。因为它是最普遍的通信技术,所以它是数十万英镑的焦点,如你这样的IT专业人士。因为这么多人依赖协议,所以通信的安全是最重要的。对IP执行的安全研究由仁慈和恶毒人员进行。所有安全研究都造成了许多补丁和IP调整,因为它在国际上部署。在后智,如果在广泛部署之前对协议的安全性提供更深层次的考虑,则会更好。
本书为您提供了深入了解新版本的IP的安全性修改,并提供了在部署之前避免问题的指导。本章在下一个版本的IP,IPv6上提供了一个简短的背景。您了解为什么在广泛部署之前考虑IPv6的安全性很重要。提供了对漏洞的目前风险和行业知识的审查,以及IPv6可以保护的常见方式。
重新引入IPv6.
互联网工程任务队(IETF)是负责定义互联网协议标准的组织。当IETF开发IPv4时,未预期互联网的全球扩展和当前的互联网安全问题。在IPv4的原始设计中,网络安全仅被稍微考虑。在20世纪80年代,当IPv4正在开发时,“互联网”由一组合作组织构建。由于IPv4开发并在20世纪90年代举行互联网爆炸,互联网威胁变得多产。如果在开发IPv4时可能预测了目前的互联网威胁环境,则该协议将有更多的安全措施,并入其设计。
在20世纪90年代初,IETF意识到需要新版本的IP,并通过起草新的协议要求来开始工作组。创建了IP下一代(IPNG),然后成为IPv6(RFC 1883)。IPv6是沿着Internet和其他计算机网络的计算机通信的IPv4的第二个网络层标准协议。IPv6提供了几种引人注目的功能,并且真的是互联网协议演变的下一步。这些改进以增加的地址规模,简化的标题格式,可扩展标题以及保留通信机密性和完整性的能力的形式出现。然后在1998年底,在RFC 2460的RFC 2460中完全标准化IPv6协议,其定义了标题结构。IPv6现在准备好克服当前IPv4协议中的许多缺陷,并创建通信IPv4无法支持的新方法。
IPv6对其前身提供了几种改进。IPv6的优势在IPv6上的许多其他书籍中详述。但是,以下列表总结了IPv6的特征和它可以提供的改进:
更大的地址空间:从32位增加到128位的地址大小
Streamlined协议标题:提高数据包转发效率
无状态自动配置:节点的能力来确定自己的地址
组播:利用有效的一对多通信增加
jumbograms:具有更大的数据包有效载荷的能力,以提高效率
网络层安全性:通信的加密和认证
服务质量(QoS)能力:数据包和流量标签的QoS标记,有助于确定优先级流量
yourcast:使用unnunique地址的冗余服务
移动性:更简单地处理移动或漫游节点
注意 -记住以下IPv6术语:
一种节点是通信IPv6的任何系统(计算机,路由器等)。
一种路由器是能够路由和转发IPv6数据包的任何第3层设备。
一种主办是作为计算机或非路由器的任何其他访问设备的节点。
一种包是来自目的地IPv6地址的IPv6节点的第3层消息。
在IPv6的开发期间,其中一个要求是,这种新协议必须具有灵活的转换机制。多年来,应该逐渐过渡到这方面的新协议。因为很明显,IPv6将变得非常受欢迎,过渡需要缓慢且有条不紊。
同时运行IPv4和IPv6,调用双堆栈,是主要转型策略之一。此概念描述了路由器支持两个或多个不同路由协议的方案并转发每种类型的流量,与其他路由协议的行为无关。经验丰富的网络工程师将回忆起“夜间路线的船只”的概念。该术语是指来自任一协议的分组可以彼此通过而不影响彼此或者与彼此有任何关系的事实。由于“双堆叠”可以是主导的迁移策略,因此运行两个协议的网络可以打开该网络攻击这两个协议。攻击也可以发展,从而利用IPv4和IPv6中的漏洞组合。
除了双堆栈之外,转换到IPv6还涉及各种类型的隧道方法,其中IPv6携带尚未迁移到IPv6的IPv4网络。可能对转换机制本身可能攻击,以访问网络的IPv4或IPv6部分。在允许在当前和未来的网络和系统上启用IPv6之前,必须在IPv6启用IPv6系统的安全性。
由于IPv6和IPv4都是网络层协议,因此许多网络层漏洞都是相似的。但是,由于IP层上方和下方的协议层对任何一个IP版本保持不变,所以许多攻击都不会改变。因为这两协议相关,所以协议之间的相似性可以创建类似的攻击模式。IPv6可以提高某些领域的安全性,但在其他领域,它也可以开辟新的威胁。第2章“IPv6协议漏洞”,侧重于对IPv6协议本身的攻击,并描述了保护对抗它们的方法。
自1998年12月,IETF发布的RFC 2460,IPv6继续发展。随着可用IPv4公共地址的数量减少,IPv6变得更具吸引力。事实上,IPv6是该IP地址耗尽问题的唯一可行的解决方案。当前IPv4网络中的许多问题都涉及地址保护。例如,延伸使用网络地址转换(NAT)和双NAT不是互联网扩展的现实长期策略。
今天,互联网上用户的身份往往是未知的,这创造了一个攻击者可以轻松运行的环境。使用匿名工具如TOR和OPEN代理以及使用NAT允许用户隐藏其源IP地址,并允许黑客在没有其目标的情况下运行,而不知道消息源。NAT经常被误解为安全保护措施,因为它隐藏了内部地址,从而使内部网络拓扑结构混淆。许多网络管理员都感受到了虚假的安全感,并对NAT提供了太多信心。NAT打破了IP安全(IPSec)需要完全有效的完整端到端通信模型的使用。执行NAT功能的防火墙难以在故障转移期间维护NAT状态。故障排除通过NAT流过NAT的应用程序流量通常很困难。使用IPv6时,由于可用的地址量大,因此不需要使用NAT。每个节点都有自己的唯一地址,它可以使用该地址进行内部和外部通信。
在核心,分布和访问层后,已启用双堆栈,计算机系统本身可以成为IPv6启用。在此发生之后,系统管理员可以开始在IPv6的节点之间启用IPSec隧道,以提供机密性和系统之间通信的完整性。这提供了更大级别的安全性未加密的IPv4实现。利用身份验证和加密的IPSec部署很少用于计算机到计算机通信。今天,使用IPSec的常用方法仅加密隧道模式中的有效载荷,因为所在的NATS可以防止验证标题。但是,关键系统之间的通信可以使用既认证和加密一起使用IPv6 IPSec和IPv6 IPSec保护。第8章“IPv6安全性(IPsec)”,提供了有关如何保护IPv6通信的更多详细信息。IPv6可以唯一提供此清晰的端到端安全通信,因为IPv6可以提供具有全局唯一IP地址的每个节点时不需要NAT。
IPv6更新
IPv6正在成为现实。早期协议研究的许多年份已与轻松互操作的产品支付了股息。几个早期的IPv6研究组已经解散,因为协议开始进入过渡阶段。6bone(用RFC 3701逐步淘汰)和kame(http://www.kame.net)IPv6研发项目已经卷起来,并给出了更多来自各种供应商的更多IPv6产品。ipv6的部署不是一个问题,如果但是何时。IPv6是一种可能性。
向IPv6的过渡继续在世界各地举行。该协议正在获得普及,并正在集成到更多产品中。今天市场上有许多有能力的IPv6操作系统。Linux,BSD,Solaris,Microsoft Vista和Microsoft Server 2008操作系统默认情况下启用其IPv6堆栈,IPv6作为首选协议栈运行。当然,思科设备完全支持双堆叠配置,IOS设备内的IPv6功能的数量继续增长。但是,IPv6的生产使用仍在早期采用者的领域。
IPv6采用的率正在增长,但也是不可预测的。部署IPv6的时间轴长,难以测量。一般而言,到目前为止,转型到IPv6是基于地理和政治的。亚洲和欧洲地区没有分配的IPv4地址感受到过渡到IPv6的压力。虽然北美的组织有更多的IPv4地址,但地址耗尽效果正在迁移到IPv6更加紧急。专注于IPv6的市场段很少,距离。有很少有IPv6特定的申请,呼吁企业,服务提供商和消费者,使他们能够越早过渡。一些垂直市场,如政府和国防,公共部门,教育,视频分布和高科技开始看到IPv6的好处,并正在研究其过渡计划。
IPv6仍有许多领域,其中仍有待解决的问题。IPv6的剩余挑战之一是存在很少的IPv6服务提供商。目前,与IPv4相比,Internet IPv6流量仍然是光线,但它继续增长。这可以归因于不支持IPv6的最后一英里IPv6访问和客户驻地设备(CPE)。多宿主,这是连接到多个服务提供商进行冗余的概念,这是一个问题需要一些时间来解决,但它是值得注意的,即它显着阻止组织部署IPv6。IPv6的硬件加速不是普遍的,许多应用程序缺少IPv6支持。就像部署其他网络技术一样,网络管理和安全性剩余到底。本书的目标是提高对与IPv6相关的安全问题的认识,并提供在部署之前确保协议的方法。
IPv6漏洞
IPv6最终将像IPv4一样流行,如果不是更多的话。在未来十年中,随着IPv6部署,部署的系统数将超越IPv4上的系统数。虽然早期采用者可以帮助肉体肉体,但仍有许多问题来解决。IPv6实现对市场相对较新,并且创建这些系统的软件并未以其IPv4对应物彻底测试的字段。可能会发现缺陷的一段时间,并且供应商需要快速响应修补他们的错误。许多组正在对IPv6进行大量测试,因此他们希望在部署IPv6之前找到许多问题。但是,IT设备和软件的所有主要供应商都在其IPv6实现中发布了漏洞。Microsoft,Juniper,Linux,Sun,BSD,甚至Cisco都在其软件中发布了漏洞。由于IPv6已经注意到,很明显,这些主要的供应商引起了黑客的注意。