麻豆小视频在线观看_中文黄色一级片_久久久成人精品_成片免费观看视频大全_午夜精品久久久久久久99热浪潮_成人一区二区三区四区

首頁 > 學院 > 網絡通信 > 正文

選擇適當技術 保證網絡安全過渡

2019-11-03 09:01:13
字體:
來源:轉載
供稿:網友
徐貴寶

  摘要 從ipv4向IPv6過渡有雙棧、翻譯和隧道三種過渡機制,每種過渡機制中又都分別含有幾種技術。本文試圖對這些技術的安全問題進行了分析,并據此為運營商和企業在IPv4向IPv6過渡技術發展策略方面提出建議。

  一、引言

  由于IPv6技術具有諸多優點,人們希望在不久的將來使用它來進行網絡的主要部分的設計。然而,由于IPv4網絡如此龐大,以至于人們不得不需要一段時間逐步從IPv4向IPv6過渡。為此,人們正在通過各種各樣的方法尋找從IPv4向IPv6過渡合理方案,而且到目前為止已經出現了許多的解決方案。這些解決方案大致可以分成三類:一是雙棧機制,二是翻譯機制,三是隧道機制。有些技術只使用了其中一種機制,有些則同時使用了其中兩種機制。

  網絡安全問題一直是網絡運營者和網絡使用者關注的焦點,在從IPv4向IPv6過渡過程中也是如此。本文試圖在安全方面對目前出現的過渡技術加以分析,并據此為運營商和企業在IPv4向IPv6過渡技術發展策略方面提出建議。

  二、雙棧機制安全分析

  1雙棧技術安全

  雙棧技術是大家熟知的做法,就是在同一臺設備上同時激活IPv4和IPv6兩種協議。雙棧技術一般都是與其他技術結合使用。

  在IPv4網絡安全方面,我們已經有很多的辦法加以保護,這一點自不必說。需要注意的是,在IPv6網絡安全方面也要達到現有IPv4過濾水平。因為系統管理員往往喜歡分給它一個以該地址所屬的類前綴為開頭的地址(通常比::ff低),這就使得需要掃描的IPv6地址范圍小許多,所以一個外部用戶發現一個重要服務器的IPv6地址并不困難。在這種情況下,如果某些基本過濾功能沒有加載,惡意用戶就有可能很輕易地把IPv6作為一個入口點,從入口機器上使用IPv4或IPv6去訪問私有網絡,并進一步危及網絡內的設備。另外,偶爾也有黑客在侵入IPv4設備后,激活IPv6-in-IPv4隧道,這樣就可以成功地繞過過濾和入侵檢測系統(IDS)了。

  2 DSTM技術安全

  DSTM技術目前還處于IETF草案階段,它的基本思想是:在純IPv6域內,當支持雙協議棧的DSTM節點需要IPv4地址時,可以通過與DSTM服務器進行基于IPv6的通信得到一個臨時IPv4地址,然后使用這個IPv4地址通過IPv4-over-IPv6隧道與網關TEP通信,TEP再利用IPv4直接與IPv4網絡通信。

  DSTM技術可以使用所有已經定義的安全規范。第一,有關DNS安全的擴展和升級都可以使用;第二,如果Intranet DSTM中布署了DHCPv6,則可以使用DHCPv6認證消息,同時可以把TEP都置于Intranet中而不把它們作為中繼開放,以避免受到直接的攻擊;第三,對于DSTM節點的IPv4通信,一旦節點具有IPv4地址,IPsec就能被使用,因此DSTM不會破壞在任何點的端到端的通信安全。

  盡管如此,由于DSTM技術要求DSTM節點需要通過向DSTM服務器請求臨時地址來動態配置IPv4棧,這直接為DSTM在地址分配方面帶來一個重大缺陷——容易受到DoS攻擊,雖然DSTM網絡要求是一個Intranet環境,DoS攻擊對地址池的威脅有限,但這個問題仍然不容忽視。

  下面我們看一個實際例子。如果TEP與DSTM服務器在物理上不是安裝在同一臺主機上,則當TEP收到攜帶IPv4包的IPv6數據包時,它就自動使用包內攜帶的信息(IPv6和IPv4源和目的地址)通過動態隧道接口(DTI)創建一個IPv4-in-IPv6隧道。有一點必須注意,這種情況下沒有方法檢查TEP所建立的隧道與DSTM服務器的分配的對應關系,所以一個主機(A)被分給一個IPv4地址后,在用這個地址通過使用DTI創建的IPv4-over-IPv6隧道與一個IPv4網絡通信時,如果另一個主機(B)使用與A相同的IPv4源地址發了一個IPv4 in IPv6的包,TEP和A之間的隧道就會被破壞掉了,并且被TEP和B之間的隧道所代替。這就是所謂的DTI問題,這種情況在欺騙攻擊時比較常見。解決此問題的一個辦法就是加入認證機制,但是目前的應用都是基于遠程程序調用(RPC)的,而基于RPC的應用卻不支持認證,所以目前還不能克服這個缺陷,只能寄希望于以后使用TSP(隧道配置協議,它可以使對消息發送者的鑒別成為可能)和DHCPv6來解決了。

  3 BIS技術安全

  BIS技術在IPv4協議棧中插入三個特殊的擴展模塊:域名解析模塊、地址映射模塊和報頭翻譯模塊。當IPv4應用程序與純IPv6節點通信時,將節點的IPv6地址映射成一個備用IPv4地址池中的IPv4地址。

  采用BIS技術的雙棧主機上的IPv4應用和其他IPv4主機通信時,可以實施所有層面上的安全策略。同時,運行IPv6應用的主機通過完整的IPv6協議棧和其他IPv6的主機通信時,象其他普通的IPv6間通信一樣,也可以在所有層面上實施安全策略。然而,當主機上的IPv4應用利用BIS機制和其他的IPv6主機通信時,不能實施網絡層以上的安全策略。因為,當加密攜帶有IP地址的協議數據時,或者以IP地址做為主鍵對協議數據進行加密后,這種機制不能在IPv4和IPv6的數據之間進行轉換。因此如果需要采用安全機制與其他IPv6主機進行通信,首先需要把現有的應用升級為IPv6的應用。

  4 SOCKS64技術安全

  SOCKS64技術通過在IPv4主機端增加了一個功能部件*Socks Lib*、在網關處增加了一個功能部件*Gateway*,提供了IPv4主機通過雙棧網關與IPv6主機通信的解決方案。

  由于SOCKS64是直接建立在SOCKSv5協議基礎上的,其安全方面的特點與SOCKSv5相一致。它不提供從原始源節點到最終目的節點的整體端到端的安全保證,但是由于它建立了應用層兩個“分開的”連接的中繼,所以端到端的安全就由這兩個被中繼的鏈接來提供保證。

  三、翻譯機制安全分析

  1 SIIT技術安全

  SIIT技術實際上是一種無狀態的IP協議和ICMP協議轉換算法。它定義了IPv6和IPv4的分組報頭進行轉換的方法,對每個分組都進行翻譯。SIIT可以和其它機制(如NAT-PT)結合實現純IPv6節點和純IPv4節點間的通信。

  SIIT技術不會引入新的安全問題。但是由于認證頭部(AH)涉及到IPv4標識域,而翻譯函數不能夠總是保留這個標識域,IPv6端點對于收到的經過IPv4-to-IPv6翻譯的數據包不能計算AH值,所以AH不能通過翻譯器。

  2 NAT-PT技術安全

  NAT-PT技術利用網絡地址轉換(NAT)技術,達到使純IPv4和純IPv6節點之間能夠透明通信的目的。它將IPv4地址和IPv6地址分別看作NAT技術中的內部地址和全局地址,在IPv4分組和IPv6分組之間進行基于會話的報頭和語義翻譯。對于一些內嵌地址信息的高層協議(如FTP),NAT-PT需要和應用層網關(ALG)協作來完成翻譯。

  NAT路由器可以與防火墻一起來做流量過濾。許多人把傳統的NAT路由器看作是單向的流量過濾器,可以嚴格限制外部主機對內部網絡的訪問。而且,當NAT路由器內進行動態地址分配時,也增加了攻擊者侵入NAT域內特定主機的難度。

  由于NAT設備并不檢查或修改傳輸載荷,所以在許多情況下都是對應用透明的,與IP地址無關的應用層安全技術在有NAT時可以正常工作(如TLS、SSL和ssh)。可是,在應用載荷包含IP地址或需要端到端的安全等情況下,NAT設備就不能正常工作了,所以對于傳輸層安全技術(如IPSec傳輸模式或TCP md5簽名選項)就無能為力了。

  在NAT-PT和ALG協作時,可以解決涉及IP地址的應用問題,但此時安全DNS就無法使用了,而且如果NAT設備和ALG不是在同一個信任范圍內,而ALG又不能檢查終端用戶的流量載荷,這時就會對網絡安全造成嚴重威脅。而對于NAT路由器來說,只有在作為隧道端點時才可以使用隧道模式IPsec。由于UDP應用本來就是不安全的,加上基于UDP的多播進程也是一個安全弱點,所以需要對NAT路由器加載額外的保護措施。

  3 TRT技術安全

  TRT技術同NAT-PT類似,在純IPv6主機和純IPv4主機之間加入一個傳輸中繼轉換器,只不過它是在傳輸層實現IPv4的TCP或UDP與IPv6的TCP或UDP數據的對譯。

  同NAT-PT類似,IPsec數據包也不能通過TRT中繼,TRT中繼也無法使用安全DNS。

  由于傳輸中繼轉換器的存在,惡意的攻擊者可能會像利用SMTP一樣利用TRT,公開將數據中繼到一個特定的IPv4目的地。因此,TRT應當實現一些訪問控制機制來預防這類事情。

  4 BIA技術安全

  BIA技術在雙棧主機的Socket API模塊與TCP/IP模塊之間加入一個API翻譯器,API翻譯器包含域名解析器、地址映射器和函數映射器三個模塊,雙棧主機通過這三個模塊完成與IPv6主機之間相互通信。

  BIA的安全性與NAT-PT的安全性類似。差別在于BIA的地址翻譯發生在API層而不是在網絡層。由于這種翻譯機制發生在socket API層,所以采用這種機制運行IPv4應用的主機和其他IPv6主機通信時,可以利用網絡層的安全策略(例如IPsec)。因為不存在NAT-PT中的DNS-ALG,所以也不會和安全DNS產生沖突。

  四、隧道機制安全分析

  隧道是使用IPv6和向IPv6過渡的最有效的方法。通過在IPv4內打IPv6隧道,可以通過一個純IPv4網絡發送一個包到雙棧路由器或主機,由它們去掉IPv4頭并向通常一樣轉發或接收IPv6包。

  一般情況下,都需要使用防火墻或邊界路由器過濾掉一些流量。如果防火墻或邊界路由器不支持IPv6,就需要通過從站點內部的一個路由器到站點外部的某個路由器建立一個隧道來獲得IPv6連接了,這樣這個內部路由器對于IPv6來說就變成了一個邊界路由器,所以對這個路由器也需要加載過濾策略。需要注意的是,當站點內的IPv6使用一個與IPv4不同的邊界路由器時,如果使用直接IPv6封裝,需要保證兩個IPv6隧道端點之間的路徑上IP協議類型為41的包不要被濾掉;如果使用GRE封裝,需要保證隧道端點之間IP協議類型為47的包不要被濾掉。

  1 隧道代理技術安全

  隧道代理(TB)技術提供了一種簡化的隧道配置方法,它要求隧道的雙方都支持雙棧。通過TB,用戶可以很方便地和IPv6 ISP建立隧道連接,從而訪問外部可用的IPv6資源;ISP通過專用的隧道服務器提供了一種非常簡捷的接入方式,并自動管理用戶發出的隧道請求。

  在隧道代理體系中,所有功能單元之間(包括客戶和TB之間、TB和隧道服務器之間以及TB和DNS之間)都需要使用安全機制保護。在客戶與TB之間,有很多的安全機制可供選擇(如可以使用SSL在WEB服務器上對發送和下載進行加密,還可以使用簡單的用戶名/密碼程序來實現訪問控制,等等)。在TB與隧道服務器之間可以采用SNMP。在TB與DNS之間,如果使用動態DNS更新程序,安全性與SNMP完全相同;如果使用基于RSH命令的簡便方法,也可以使用標準的IPsec。

  使用隧道代理也會產生如下一些問題:

  ·認證問題

  如果客戶端的配置是通過TB提供的腳本實現的話,在執行這些腳本時就需要實現對一些接口的配置管理,所以必須給這些腳本很高的權限,這種做法顯然存在安全漏洞。另外,如果隧道代理是由安裝有目錄型結構的組織來運作(例如大學為學生運作),就可以使用用戶名/口令或組織中已經在別的業務中采用的其他認證方式;如果以前與用戶沒有關系,典型的做法就是讓人們使用名字、e-mail地址等注冊,然后用e-mail接收認證口令。這種方法有最終用戶真實身份不確定的問題。

  ·隧道自動切斷問題

  如果用戶使用不是靜態IPv4地址的連接(如撥號),就要謹慎地自動切斷隧道以防不必要地使用資源。因為用戶的連接如果非正常中斷了,隧道服務器會繼續發送IPv6的隧道包到用戶原來的IPv4地址,而這個地址可能已經被分配給另一個主機使用,這樣就發生了數據泄露問題。這個問題可以通過用戶端發送某類keep-alive消息來解決,但是這樣可能需要在用戶操作系統中安裝專門的軟件,用起來比較困難。另外還可以通過使用TSP,使得隧道代理能夠檢查隧道請求是否來自于正確的主機和路由器,并使得TEP和客戶機能夠檢查隧道數據是否來自于公認的隧道代理,只是TSP技術目前還不完善,需要等待。

  ·過濾和統計問題

  使用隧道代理技術時,還應該對某些IPv6包進行過濾,以防止惡意用戶同時申請大量的隧道連接耗盡隧道服務器的資源,但是如果遠端是多穴主機時還沒有合適的過濾策略。另外還需要統計每個隧道的帶寬使用情況等數據,以盡快發現是否遭到DoS攻擊。

  2 ISATAP技術安全

  ISATAP技術使用一個內嵌IPv4地址的IPv6地址通過IPv6-in-IPv4自動隧道為IPv4站點內的雙棧節點提供到IPv6路由器的接入,它允許與IPv6路由器不共享同一物理鏈路的雙棧節點通過IPv4自動隧道將數據包送達IPv6下一跳。

  由于ISATAP使用隧道,所以一般的隧道問題在這里也適用。IPv6鄰居發現信任模型也適用于ISATAP。使用ISATAP技術時必須要考慮過濾問題,站點邊界路由器和防火墻必須執行IPv6入口過濾、IPv4入口過濾和協議類型為41的包過濾。

  另外,由于站點內的所有ISATAP主機都在同一個IPv6鏈接上,盡管可以像通常一樣在ISATAP路由器處監控流量,但是ISATAP鏈路上主機之間的包并不經過該路由器,因此沒有辦法監控和排除出現內部攻擊的可能性。所以,路由器需要在ISATAP接口上啟用緩解欺詐攻擊的安全機制,防止發自ISATAP站點內的源IPv6地址欺詐攻擊,至少ISATAP站點的邊界網關必須記錄欺詐源地址的來源還是有好處的。

  3 BGP隧道技術安全

  BGP隧道技術通過采用三層技術構筑VPN并用BGP協議在MPLS核心交換路由信息,提供了一種IPv6孤島互連的方法。

  BGP隧道技術采用三層技術構筑的VPN具有采用二層技術構筑的VPN的所有安全特性,可以提供安全的隧道,從而防止DoS攻擊以及入侵攻擊。BGP隧道技術可以使用BGP中的安全特性,以及ISP域中的各種安全策略,不會引入任何新的安全問題。

  4 6to4隧道技術安全

  6to4技術是一種自動隧道技術,可以使不支持純IPv6的IPv4網絡上的IPv6子網或IPv6站點與其它同類站點在不能獲得純IPv6連接時,IPv6的分組被封裝到IPv4的分組中來實現相互之間的通信。

  6to4技術使用自動隧道,具有隧道技術所具有的弱點。如果IPv4地址被欺騙,任何人都可以向隧道內想注入多少流量就注入多少流量。

  另外,如果已經使用了6to4路由器或中繼,還需要注意以下危險的存在:

  ·對6to4偽接口的攻擊。偽接口與實際接口具有同樣的屬性,必須加以保護。一般需要在偽接口上加載對隧道包的過濾策略,保證不受從外網發來的具有站點本地地址的包的攻擊和從站點本地發出到外網的具有錯誤源地址的包的攻擊。

  ·本地定向廣播攻擊(只針對中繼)。看這樣一個例子:假設中繼路由器有一個地址為1.1.1.1/24的接口,現在發給中繼一個包,中繼將它翻譯成一個廣播地址發送出去,這里是1.1.1.255,這就構成了一個“本地定向廣播攻擊”。這個問題也可以通過訪問列表控制來解決。

  ·業務盜用。通常情況下,如果提供嚴格的6to4中繼業務,這不是一個大問題,可以通過小心處理路由策略來解決,如果有必要的話,還可以通過訪問列表來解決。

  5 6over4隧道技術安全

  6over4技術把IPv4組播域作為虛擬鏈路層,通過把組播目的地址映射到相應的IPv4組播地址,使得沒有直接與IPv6路由器相連的孤立的IPv6主機形成IPv6互聯。使用6over4技術互聯的主機并不需要IPv4兼容地址或者是配置的隧道。通過這種機制,IPv6可以獨立于底層的鏈路而且可以跨越IPv4的子網。

  對于6over4技術,除了需要考慮可能有IPv6攻擊之外,還應該考慮對IPv4攻擊的安全防范。出于效率原因方面的考慮,應該避免同時在IPv4和IPv6兩個方面使用IP安全。例如,如果IPv6使用了加密,除非是通過流量分析察覺到有威脅存在,否則IPv4加密就是多余的了。如果IPv6要經過認證,IPv4的認證就很少需要了。反過來則不然,一旦IPv6流量離開了IPv6-over-IPv4域,IPv4安全并不再保護它了。因此,即使是有IPv4安全保證,仍然需要有IPv6安全保證。

  6over4還有可能受到地址欺騙攻擊,外部偽造的6over4包有可能侵入6over4域內。這樣,邊界路由器必須要丟棄組織本地范圍內的源和目的多播地址的IPv4包(如果它們到達這個范圍以外的物理接口的話)。為了防止單播6over4包的地址欺騙攻擊,邊界路由器還必須要丟棄來自于未知源的協議類型為41的IPv4包,也就是IPv6-in-IPv4 隧道必須只接受可信任來源的數據。除非是IPsec認證可用,否則最好將邊界路由器配置成只接受來自于可信任范圍內的源地址的協議類型為41的包。

  五、技術選擇策略

  在所有這些過渡技術中,幾乎每種技術都有自己的側重點。其中雙棧、NAT-PT、TRT、隧道代理、BGP隧道、6to4隧道、6over4隧道等技術可用于運營商網絡過渡,而雙棧、DSTM、SIIT、BIS、SOCKS64、BIA、ISATAP等技術可用于企業網絡和主機過渡。但是,如果考慮到網絡安全問題,就需要慎重選擇使用那些技術了。

  對于運營商網絡來講,

  ·雙棧:不論是用于運營商的骨干網還是接入網,路由器和接入服務器一般都需要具有雙棧能力。但需要注意的是,雙棧技術不能獨立使用,必須與其他技術相結合,而且在使用時還要注意一定在IPv4 和IPv6兩個方面都要加載基本過濾功能。

  ·NAT-PT:對于IPv4/IPv6網絡互通是一個較完整的解決方案,可用于接入網絡以及純IPv6網絡與IPv4網絡之間的互通。它可以嚴格限制外部主機對內部網絡的訪問,而且當NAT路由器內進行動態地址分配時,也增加了攻擊者侵入NAT域內特定主機的難度,可以使用。但需要注意的是,NAT-PT在采用網絡層加密和數據完整性保護的環境下將不能工作,而且在應用層就包含了IP地址的傳輸層和應用層的安全也同樣無法實現。

  ·TRT:技術特點與NAT-PT類似,可以使用。但由于存在數據被惡意的攻擊者中繼到一個特定的IPv4目的地的危險,因此需要加載一些訪問控制策略。

  ·隧道代理:雖然可用于獨立的小型IPv6站點接入,但是由于隧道自動切斷等問題還沒有較好的解決方案,使用率呈下降的趨勢,所以建議暫時不要使用。

  ·BGP隧道:采用了三層技術構筑的VPN,具有采用二層技術構筑的VPN的所有安全特性,可以提供安全的隧道,可以使用BGP中的安全特性,以及ISP域中的各種安全策略,不會引入任何新的安全問題,適合用于運營商的骨干網絡,推薦使用。

  ·6to4隧道:雖然在實現IPv4網絡中的IPv6網絡互聯時消耗的IPv4地址很少,但是,由于存在對6to4偽接口的攻擊、本地定向廣播攻擊和業務盜用的危險,在使用時需要加載一系列的安全策略。如果能夠進行手工配置隧道或者本地IPv6,建議還是避免使用。

  ·6over4隧道:6over4隧道可以采用一定的策略來保證網絡安全,但是該技術要求IPv4網絡支持組播,應用范圍有限,建議盡量不要使用。

  對于企業網絡和主機來講,

  ·雙棧:不管是企業網絡還是主機,都需要與其他技術相結合使用。

  ·DSTM:雖然DSTM技術可以節省大量的IPv4地址,也不會破壞端到端的網絡安全,但是由于它目前還處于IETF草案階段,而且存在有嚴重的DTI問題,容易受到DoS攻擊,建議在沒有引入TSP之前,建議盡量不要使用。

  ·SIIT:僅是一種翻譯算法,而且AH不能通過翻譯器,在采用網絡層加密和數據完整性保護的環境下不可用,建議盡量不要使用。

  ·BIS:同種協議之間的通信可以在所有層面上實施安全策略,但是在異種協議之間的通信不能實施網絡層的安全,建議盡量不要使用。

  ·SOCKS64:安全方面的特點與SOCKSv5相一致,可以使用。

  ·BIA:運行IPv4應用的主機和其他IPv6主機通信時,可以利用網絡層的安全策略(例如IPsec),可以使用。

  ·ISATAP:站點內的所有ISATAP主機都在同一個IPv6鏈接上,又沒有辦法監控和排除出現內部攻擊的可能性,建議不要使用。

  
摘自 泰爾網

發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
主站蜘蛛池模板: 午夜精品久久久久久中宇 | 91精品国产乱码久久桃 | 国产免费永久在线观看 | www.精品久久 | 亚洲国产一区二区三区 | 亚洲射吧| 国产一区二区三区网站 | 国产91精品久久久 | 欧美成人免费电影 | 黄视频在线网站 | 国产成年人视频网站 | 91一区二区在线观看 | 深夜精品福利 | 蜜桃久久一区二区三区 | 精品国产一区二区亚洲人成毛片 | 涩涩操 | 国产亚洲综合一区二区 | 婷婷久久综合九色综合色多多蜜臀 | 久久激情免费视频 | 一区二区三区黄色 | 日本在线一区二区 | 国产三级国产精品国产普男人 | 国内精品久久久久久久星辰影视 | 欧美一级三级在线观看 | 精品一区二区三区网站 | 国产一级毛片视频在线! | 深夜福利久久久 | 国产亚洲精品久久久久久久久久 | 原来神马影院手机版免费 | 免费a视频| 国产交换3p国产精品 | 国产xxxx岁13xxxxhd| 欧美一级视屏 | 香蕉视频1024 | 国产精品福利一区 | 国产电影精品久久 | 美国av在线免费观看 | 久久久三级免费电影 | 综合国产在线 | av在线免费播放网站 | 狠狠干b|