|
IPv6网络安全浅析
http://www.cww.net.cn 2010年11月17日 14:40 电信技术
作 者:中国电信北京研究院 高歆雅 解冲锋 江志峰
除了以上4点之外, IPv6还着重考虑了移动互联网的安全。RFC3775专为移动IPv6下的安全性做了充分的考虑和讨论。IPv6使用优化的路由和家乡地址来保证移动IPv6下的信息安全传输,回复IPv6路由检查可以用来确定不论节点移动到任何地方,都能被指回原节点地址。 3 IPv6可能存在的安全隐患 尽管I P v6设定之初就已经开始考虑安全问题,也确实为网络安全来带了不少的好处,但是IPv6并不是万能灵药。任播服务、分片攻击、路由头协议、ICMPv6、碎片包、SLAAC和巨大地址数量都可能给下一代互联网带来潜在危险。 ⑴任播服务 侦测是大部分攻击采取的第一步。IPv6协议提高了效率,简化了处理过程,然而也带来了探测的便利性。比如IPv6协议中提供的任播服务(Any-cast),坏节点可以通过收集Any-cast回复讯息来探索想要攻击的网络内部的具体情况,为进一步攻击做好准备。应对方法可以通过防火墙或其他安全设备严格筛选,尤其是严格控制或者隔绝任何来自可信任域外部的Any-cast请求来完成。另一个需要考虑的问题是,随着IP v6对IPS ec的普遍支持,对于包过滤型防火墙,如果使用IPSec的ESP,3层以上的信息不可见,控制难度增加。在IPSec条件下阻止对方的Any-cast,要求对IPSec进行有效地控制和检测,这将会是下一代互联网中一个巨大的挑战。 ⑵分片攻击 IPv6下的访问控制同样依赖防火墙或者路由器访问控制表(ACL)等控制策略,根据地址、端口等信息实施控制,而分片攻击可以利用分片逃避网络监控设备,如防火墙和IDS。由于多个IPv6扩展头的存在,防火墙很难计算有效数据报的最小尺寸,甚至传输层协议报头不在第一个分片分组内的可能,这使得网络监控设备仅仅检查IPv6包的头部无法进行访问控制。要保证防火墙能够真正阻隔这些探测和攻击,需要监控设备对分片进行重组来实施基于端口信息的访问控制策略。 ⑶路由头协定 另一种绕过防火墙的方式是利用IPv6的路由头协定。IPv6协议决定了任何节点必须要能够处理IPv6的路由头判定下一跳的信息,这允许某一个节点处理通过路由头中对下一跳的内容指定,诱导其他节点将收到的流量转发出去。这样路由头可能被用来绕过某些节点的输入地址控制,而利用一些公共的受信任的节点来转发“坏节点”的内容,以达到躲过访问控制,窃取目的节点信息或发动攻击的目的。要避免这样的情况,需要防火墙或者公共受信任的节点的监控系统必须对转发包内的每一跳的地址仔细查询,这需要具有极高的性能判断每条地址,并有效地将有危险性的地址拦截住,但这样也可能导致防火墙和内部网络沟通不良,从而造成对新地址的内容无法转发等,因此需要根据网络内部情况对防火墙的设置进行最佳处理,以达到安全和通信的双重保障。 ⑷ICMPv6 IPv6协议中的ICMPv6允许组播的时候地址方回复一个错误的原因。这从某一方面说是对通信本身有利,然而这可能被某些节点利用,比如伪装想要攻击的地址,发出某条不合理的组播信息,来诱导大量的目的节点发出错误回复、报告错误原因,这样就可以引起一连串回复攻击,造成该地址的服务停止,或者网络的资源损耗,影响网络质量。对于这种情况,网络需要的是对组播发出地址使用返回路径巡查,防止地址的伪装,避免利用组播错误信息实现DDOS或其他攻击。在IPv4向IPv6过渡时,如何防止伪造源地址的分组穿越隧道成为一个重要的问题。此外,对于ICMP消息的控制需要更加小心,因为ICMPv6对IPv6至关重要,如MTU发现、自动配置、重复地址检测等。 ⑸地址定义 IPv6中的组播地址定义方式给攻击者带来了一些机会。I P v6地址定义FF05::2为所有路由器,而FF05::3是所有的DHCP服务器。通过对所有路由器的组播或者所有DHCP服务器的组播,可能让攻击者定位这些重要资源的地址和位置信息,所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。严格控制可以发出组播信息的节点或是筛选组播服务的可用命令对降低这种攻击的可能性将会有重要的积极作用。
编 辑:石美君 联系电话:010-67110006-818
文章评论【查看评论()】
|
重要新闻 通信技术 企业黄页 会议活动 |