资源预览内容
亲,该文档总共2页全部预览完了,如果喜欢就下载吧!
资源描述
看IPv6 路由协议如何改进与新问题分析 随着路由的快速发展,IPv6 路由协议在其中也起着重要的作用,于是我研究了一下 IPv6 路由协议如何改进与新问题的分析,在这里拿出来和大家分享一下,希望对大家有用。 IPv4 地址资源的紧缺引发了一系列安全问题,尽管 IPv6 路由协议在网络安全上做了多项 改进,但是其引入也带来了新的安全问题。 由于我国 IPv4 地址资源严重不足,除了采用 CIDR、VLSM 和 DHCP 技术缓解地址 紧张问题,更多的是采用私有 IP 地址结合网络地址转换(NAT/PAT) 技术来解决这个问题。 比如 PSTN、ADSL、GPRS 拨号上网、宽带用户以及很多校园网、企业网大都是采用私 有 IPv4 地址,通过 NAT 技术接入互联网,这不仅大大降低了网络传输的速度,且安全性 等方面也难以得到保障。从根本上看,互联网可信度问题、端到端连接特性遭受破坏、网 络没有强制采用 IPSec 而带来的安全性问题,使 IPv4 网络面临各种威胁。 IPv6 路由协议在网络安全上有改进 IPv6 路由协议(IPSec) IPSec 是 IPv4 的一个可选扩展协议,而在 IPv6 则是一个必 备组成部分。IPSec 协议可以“无缝” 地为 IP 提供安全特性,如提供访问控制、数据源的身 份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。新版 IPv6 路由协 议 OSPFv3 和 RIPng 采用 IPSec 来对路由信息进行加密和认证,提高抗路由攻击的性 能。需要指出的是,虽然 IPSec 能够防止多种攻击,但无法抵御 Sniffer 、DoS 攻击、洪 水(Flood)攻击和应用层攻击。IPSec 作为一个网络层 IPv6 路由协议,只能负责其下层的 网络安全,不能对其上层如 Web、E-mail 及 FTP 等应用的安全负责。 端到端的安全保证 IPv6 最大的优势在于保证端到端的安全,可以满足用户对端到端 安全和移动性的要求。IPv6 限制使用 NAT ,允许所有的网络节点使用其全球惟一的地址 进行通信。每当建立一个 IPv6 的连接,都会在两端主机上对数据包进行 IPSec 封装,中 间路由器实现对有 IPSec 扩展头的 IPv6 数据包进行透明传输,通过对通信端的验证和对 数据的加密保护,使得敏感数据可以在 IPv6 网络上安全地传递,因此,无需针对特别的 网络应用部署 ALG(应用层网关) ,就可保证端到端的网络透明性,有利于提高网络服务速 度。 地址分配与源地址检查在 IPv6 的地址概念中,有了本地子网(Link-local)地址和本地 网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络 安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可 以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可 以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。 由于 IPv6 地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,在 IPv6 接入路由器对用户进入时进行源地址检查,使得 ISP 可以验证其客户地址的合法性。源路 由检查出于安全性和多业务的考虑,许多核心路由器可根据需要,开启反向路由检测功能, 防止源路由篡改和攻击。防止未授权访问 IPv6 固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得 IPv6 增强了防止未授权访问的能力,更加适合于 那些对敏感信息和资源有特别处理要求的应用。 域名系统 DNS 基于 IPv6 的 DNS 系统作为公共密钥基础设施(PKI)系统的基础,有 助于抵御网上的身份伪装与偷窃,而采用可以提供认证和完整性安全特性的 DNS 安全扩 展 (DNS Security Extensions)IPv6 路由协议,能进一步增强目前针对 DNS 新的攻击 方式的防护,例如“ 网络钓鱼(Phishing)”攻击、“DNS 中毒(DNS poisoning)”攻击等, 这些攻击会控制 DNS 服务器,将合法网站的 IP 地址篡改为假冒、恶意网站的 IP 地址等。 此外,专家认为,如果能争取在我国建立 IPv6 域名系统根服务器,则对于我国的信息安 全很有必要和十分重要。灵活的扩展报头 一个完整的 IPv6 的数据包可包括多种扩展报头, 例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载 荷安全封装报头、最终目的报头等。这些扩展报头不仅为 IPv6 扩展应用领域奠定了基础, 同时也为安全性提供了保障。 防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后,就开始对其他主 机进行随机扫描,在扫描到其他有漏洞的主机后,会把病毒传染给该主机。这种传播方式 的传播速度在 IPv4 环境下非常迅速( 如 Nimdar 病毒在 4 5 分钟内可以感染上百万台计 算机) 。但这种传播方式因为 IPv6 的地址空间的巨大变得不适用了,病毒及网络蠕虫在 IPv6 的网络中传播将会变得很困难。防止网络放大攻击(Broadcast Amplication Attacks) ICMPv6 在设计上不会响应组播地址和广播地址的消息,不存在广播,所以, 只需要在网络边缘过滤组播数据包,即可阻止由攻击者向广播网段发送数据包而引起的网 络放大攻击。 防止碎片(Fragment)攻击 IPv6 认为 MTU 小于 1280 字节的数据包是非法的,处理 时会丢弃 MTU 小于 1280 字节的数据包(除非它是最后一个包),这有助于防止碎片攻击。 由此看来,IPv6 路由协议确实比 IPv4 的安全性有所改进,IPv4 中常见的一些攻击方式, 将在 IPv6 网络中失效,例如网络侦察、报头攻击、 ICMP 攻击、碎片攻击、假冒地址、 病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一 系列在 IPv4 网络中的问题, IPv6 仍应对乏力,只是在 IPv6 的网络中事后追溯攻击的源 头方面要比在 IPv4 中容易一些。
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号