《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 解決方案 > 看IPv6路由協(xié)議如何改進(jìn)與新問(wèn)題分析

看IPv6路由協(xié)議如何改進(jìn)與新問(wèn)題分析

2010-11-04
來(lái)源:通信產(chǎn)業(yè)報(bào)
關(guān)鍵詞: 2.5G|3G IPv6

隨著路由的快速發(fā)展,,IPv6路由協(xié)議在其中也起著重要的作用,于是我研究了一下IPv6路由協(xié)議如何改進(jìn)與新問(wèn)題的分析,,在這里拿出來(lái)和大家分享一下,,希望對(duì)大家有用,。IPv4地址資源的緊缺引發(fā)了一系列安全問(wèn)題,,盡管IPv6路由協(xié)議在網(wǎng)絡(luò)安全上做了多項(xiàng)改進(jìn),但是其引入也帶來(lái)了新的安全問(wèn)題,。

由于我國(guó)IPv4地址資源嚴(yán)重不足,,除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊張問(wèn)題,,更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT/PAT)技術(shù)來(lái)解決這個(gè)問(wèn)題,。比如PSTN、ADSL,、GPRS撥號(hào)上網(wǎng),、寬帶用戶以及很多校園網(wǎng)、企業(yè)網(wǎng)大都是采用私有IPv4地址,,通過(guò)NAT技術(shù)接入互聯(lián)網(wǎng),,這不僅大大降低了網(wǎng)絡(luò)傳輸?shù)乃俣龋野踩缘确矫嬉搽y以得到保障,。從根本上看,,互聯(lián)網(wǎng)可信度問(wèn)題、端到端連接特性遭受破壞,、網(wǎng)絡(luò)沒(méi)有強(qiáng)制采用IPSec而帶來(lái)的安全性問(wèn)題,,使IPv4網(wǎng)絡(luò)面臨各種威脅。

IPv6路由協(xié)議在網(wǎng)絡(luò)安全上有改進(jìn)

IPv6路由協(xié)議(IPSec) IPSec是IPv4的一個(gè)可選擴(kuò)展協(xié)議,,而在IPv6則是一個(gè)必備組成部分,。IPSec協(xié)議可以“無(wú)縫”地為IP提供安全特性,如提供訪問(wèn)控制,、數(shù)據(jù)源的身份驗(yàn)證,、數(shù)據(jù)完整性檢查、機(jī)密性保證,,以及抗重播(Replay)攻擊等,。新版IPv6路由協(xié)議OSPFv3 和 RIPng采用IPSec來(lái)對(duì)路由信息進(jìn)行加密和認(rèn)證,提高抗路由攻擊的性能,。需要指出的是,,雖然IPSec能夠防止多種攻擊,但無(wú)法抵御Sniffer,、DoS攻擊,、洪水(Flood)攻擊和應(yīng)用層攻擊。IPSec作為一個(gè)網(wǎng)絡(luò)層IPv6路由協(xié)議,,只能負(fù)責(zé)其下層的網(wǎng)絡(luò)安全,,不能對(duì)其上層如Web、E-mail及FTP等應(yīng)用的安全負(fù)責(zé),。

端到端的安全保證 IPv6最大的優(yōu)勢(shì)在于保證端到端的安全,,可以滿足用戶對(duì)端到端安全和移動(dòng)性的要求,。IPv6限制使用NAT,允許所有的網(wǎng)絡(luò)節(jié)點(diǎn)使用其全球惟一的地址進(jìn)行通信,。每當(dāng)建立一個(gè)IPv6的連接,,都會(huì)在兩端主機(jī)上對(duì)數(shù)據(jù)包進(jìn)行 IPSec封裝,中間路由器實(shí)現(xiàn)對(duì)有IPSec擴(kuò)展頭的IPv6數(shù)據(jù)包進(jìn)行透明傳輸,,通過(guò)對(duì)通信端的驗(yàn)證和對(duì)數(shù)據(jù)的加密保護(hù),,使得敏感數(shù)據(jù)可以在IPv6 網(wǎng)絡(luò)上安全地傳遞,因此,,無(wú)需針對(duì)特別的網(wǎng)絡(luò)應(yīng)用部署ALG(應(yīng)用層網(wǎng)關(guān)),,就可保證端到端的網(wǎng)絡(luò)透明性,有利于提高網(wǎng)絡(luò)服務(wù)速度,。

地址分配與源地址檢查在IPv6的地址概念中,,有了本地子網(wǎng)(Link-local)地址和本地網(wǎng)絡(luò)(Site-local)地址的概念。從安全角度來(lái)說(shuō),,這樣的地址分配為網(wǎng)絡(luò)管理員強(qiáng)化網(wǎng)絡(luò)安全管理提供了方便,。若某主機(jī)僅需要和一個(gè)子網(wǎng)內(nèi)的其他主機(jī)建立聯(lián)系,網(wǎng)絡(luò)管理員可以只給該主機(jī)分配一個(gè)本地子網(wǎng)地址;若某服務(wù)器只為內(nèi)部網(wǎng)用戶提供訪問(wèn)服務(wù),,那么就可以只給這臺(tái)服務(wù)器分配一個(gè)本地網(wǎng)絡(luò)地址,,而企業(yè)網(wǎng)外部的任何人都無(wú)法訪問(wèn)這些主機(jī)。由于IPv6地址構(gòu)造是可會(huì)聚的(aggregate-able),、層次化的地址結(jié)構(gòu),,因此,在IPv6接入路由器對(duì)用戶進(jìn)入時(shí)進(jìn)行源地址檢查,,使得ISP可以驗(yàn)證其客戶地址的合法性,。源路由檢查出于安全性和多業(yè)務(wù)的考慮,許多核心路由器可根據(jù)需要,,開(kāi)啟反向路由檢測(cè)功能,,防止源路由篡改和攻擊。防止未授權(quán)訪問(wèn) IPv6固有的對(duì)身份驗(yàn)證的支持,,以及對(duì)數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性的支持和改進(jìn),,使得IPv6增強(qiáng)了防止未授權(quán)訪問(wèn)的能力,更加適合于那些對(duì)敏感信息和資源有特別處理要求的應(yīng)用,。

域名系統(tǒng)DNS 基于IPv6的DNS系統(tǒng)作為公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)的基礎(chǔ),,有助于抵御網(wǎng)上的身份偽裝與偷竊,而采用可以提供認(rèn)證和完整性安全特性的DNS安全擴(kuò)展 (DNS Security Extensions)IPv6路由協(xié)議,,能進(jìn)一步增強(qiáng)目前針對(duì)DNS新的攻擊方式的防護(hù),,例如“網(wǎng)絡(luò)釣魚(yú)(Phishing)”攻擊、“DNS中毒(DNS poisoning)”攻擊等,這些攻擊會(huì)控制DNS服務(wù)器,,將合法網(wǎng)站的IP地址篡改為假冒,、惡意網(wǎng)站的IP地址等,。此外,,專(zhuān)家認(rèn)為,如果能爭(zhēng)取在我國(guó)建立IPv6域名系統(tǒng)根服務(wù)器,,則對(duì)于我國(guó)的信息安全很有必要和十分重要,。靈活的擴(kuò)展報(bào)頭 一個(gè)完整的IPv6的數(shù)據(jù)包可包括多種擴(kuò)展報(bào)頭,例如逐個(gè)路程段選項(xiàng)報(bào)頭,、目的選項(xiàng)報(bào)頭,、路由報(bào)頭、分段報(bào)頭,、身份認(rèn)證報(bào)頭,、有效載荷安全封裝報(bào)頭、最終目的報(bào)頭等,。這些擴(kuò)展報(bào)頭不僅為IPv6擴(kuò)展應(yīng)用領(lǐng)域奠定了基礎(chǔ),,同時(shí)也為安全性提供了保障。

防止網(wǎng)絡(luò)掃描與病毒蠕蟲(chóng)傳播當(dāng)病毒和蠕蟲(chóng)在感染了一臺(tái)主機(jī)之后,,就開(kāi)始對(duì)其他主機(jī)進(jìn)行隨機(jī)掃描,,在掃描到其他有漏洞的主機(jī)后,會(huì)把病毒傳染給該主機(jī),。這種傳播方式的傳播速度在 IPv4環(huán)境下非常迅速(如Nimdar病毒在4~5分鐘內(nèi)可以感染上百萬(wàn)臺(tái)計(jì)算機(jī)),。但這種傳播方式因?yàn)镮Pv6的地址空間的巨大變得不適用了,病毒及網(wǎng)絡(luò)蠕蟲(chóng)在IPv6的網(wǎng)絡(luò)中傳播將會(huì)變得很困難,。防止網(wǎng)絡(luò)放大攻擊(Broadcast Amplication Attacks) ICMPv6在設(shè)計(jì)上不會(huì)響應(yīng)組播地址和廣播地址的消息,,不存在廣播,所以,,只需要在網(wǎng)絡(luò)邊緣過(guò)濾組播數(shù)據(jù)包,,即可阻止由攻擊者向廣播網(wǎng)段發(fā)送數(shù)據(jù)包而引起的網(wǎng)絡(luò)放大攻擊。

防止碎片(Fragment)攻擊 IPv6認(rèn)為MTU小于1280字節(jié)的數(shù)據(jù)包是非法的,,處理時(shí)會(huì)丟棄MTU小于1280字節(jié)的數(shù)據(jù)包(除非它是最后一個(gè)包),,這有助于防止碎片攻擊。由此看來(lái),,IPv6路由協(xié)議確實(shí)比IPv4的安全性有所改進(jìn),,IPv4中常見(jiàn)的一些攻擊方式,將在IPv6網(wǎng)絡(luò)中失效,,例如網(wǎng)絡(luò)偵察,、報(bào)頭攻擊、 ICMP攻擊、碎片攻擊,、假冒地址,、病毒及蠕蟲(chóng)等。但數(shù)據(jù)包偵聽(tīng),、中間人攻擊,、洪水攻擊、拒絕服務(wù)攻擊,、應(yīng)用層攻擊等一系列在IPv4網(wǎng)絡(luò)中的問(wèn)題,, IPv6仍應(yīng)對(duì)乏力,只是在IPv6的網(wǎng)絡(luò)中事后追溯攻擊的源頭方面要比在IPv4中容易一些,。

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]