計(jì)算機(jī)網(wǎng)絡(luò) - IPv6開啟網(wǎng)絡(luò)新世界

Ipv6的新世界IPv6的安全特性MichaelH.Warfield英特網(wǎng)安全系統(tǒng)mhw@二○○四年六月十六日IPv6綜述將地址擴(kuò)展到128比特地址分類IP安全性協(xié)議（以前是IPv4的一個(gè)可選協(xié)議）服務(wù)質(zhì)量分類支持無狀態(tài)和有狀態(tài)兩種地址自動(dòng)配置的方式動(dòng)態(tài)地址重編轉(zhuǎn)換隧道和翻譯有效地防止被暴力掃描沒有廣播地址操作系統(tǒng)支持微軟視窗操作系統(tǒng)（MSWINDOWS）

－

支持WindowsXP和20003server系統(tǒng)－對于其他版本的Windows系統(tǒng)，可以通過免費(fèi)的補(bǔ)丁方式獲得

Unix－Linux-最大的分類－*BSD-FreeBSD/NetBSD/OpenBSD/OSX－Solaris-Since2.8－HP/UX－AI/X路由器和防火墻

手機(jī)

IPv6代碼穩(wěn)定性

IPv6已經(jīng)出現(xiàn)好多年了IPv6還在繼續(xù)被開發(fā)IPv6將會存在IPv4中沒有的新漏洞（BUG）幾乎沒有來自IP層的程序缺陷（BUG）幾乎沒有來自IP層的安全漏洞許多IPv6和IPv4非常類似從IPv4學(xué)得的東西使得IPv6有著比IPv4更好的開端最近，OpenBSD發(fā)現(xiàn)了一個(gè)基于IPv6的DOSbug轉(zhuǎn)換機(jī)構(gòu)

準(zhǔn)備升級到IPv6準(zhǔn)備提供通用性為IPv4提供兼容性地址SIT（SixinTunnel）6to4自動(dòng)SIT隧道代理服務(wù)協(xié)議主體（ProtocolBouncers）網(wǎng)絡(luò)地址翻譯一協(xié)議翻譯NAT-PT6over4/SIT隧道

6over4（akaSIT）轉(zhuǎn)換隧道簡易英特網(wǎng)轉(zhuǎn)換/SITIPv4中的協(xié)議41（IPv6）IPv4基礎(chǔ)結(jié)構(gòu)上的操作靜態(tài)SIT隧道使用預(yù)配置的終端隧道代理通過SIT隧道提供IPv6一些隧道代理適用于動(dòng)態(tài)地址Teredo/ShipwormIPv6越過用戶數(shù)據(jù)報(bào)協(xié)議UDP(默認(rèn)端口:3544/udp)目的是越過IPv4網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)設(shè)備，提供IPv6隧道由于缺少IPv6支持,通過低端路由/NAT設(shè)備,而發(fā)展起來WindowsXP自動(dòng)啟用IPv6在某些域,WindowsXP是禁用它的能夠繞過大部分的防火墻(對外的UDP槽)需要一個(gè)使用IPv4并且啟用Teredo的服務(wù)器在IETF,還處于設(shè)計(jì)階段IP安全協(xié)議(IPsec)NAT-TIP安全協(xié)議越過用戶數(shù)據(jù)報(bào)協(xié)議UDP(默認(rèn)端口:4500/udp)目的是提供IP安全協(xié)議隧道,越過IPv4網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)設(shè)備由于缺少IP安全協(xié)議支持,通過低端路由/NAT設(shè)備而發(fā)展起來在WindowsXP,Linux和其他操作系統(tǒng)中都可以使用能夠繞過大部分的防火墻(IPv4,IPv6和SIT)需要啟用NAT-T的終端兩個(gè)終端都可以是NAT(需要通過)在IETF,還處于設(shè)計(jì)階段PPP和IPv6點(diǎn)對點(diǎn)協(xié)議(PPP)支持IPv6點(diǎn)對點(diǎn)協(xié)議在許多虛擬個(gè)人網(wǎng)絡(luò)(VPN)中被用來當(dāng)做傳輸協(xié)議 Pptp L2tp PPPtunneledoverstunnel PPPtunneledoverssh PPPtunneledoverUDP(CIPE)IPv6傳輸能夠附加到PPP/VPN中,而不用改變IPv4的傳輸 本地與IPv4類似(IPv6越過PPP) 擁有隧道(SIT,6over4,越過IPv4和PPP的Teredo)

英特網(wǎng)的秘密

精英們早已經(jīng)開始關(guān)注IPv6了適用于在線聊天的IPv6適用于FTP站點(diǎn)的IPv6適用于Web站點(diǎn)的IPv6許多在線聊天工具擁有IPv6補(bǔ)丁IPv6已經(jīng)被用來當(dāng)做通訊通道IPv6可以用來隱藏后門IPv6可以用來繞過防火墻Ipv6全局地址

Ipv4兼容：::n.n.n.n 在Ipv4隧道上從一個(gè)Ipv6節(jié)點(diǎn)通向另外一個(gè)Ipv6節(jié)點(diǎn)（6over4協(xié)議41）Ipv4映射：::FFFF:n.n.n.n 在Ipv4上從一個(gè)Ipv4節(jié)點(diǎn)通向另外一個(gè)Ipv6節(jié)點(diǎn)全域單點(diǎn)：2000::/3(0200:->3fff) V6英特網(wǎng)：2001::/16 APNIC：2001:0200::/23(InitialSub-TLA) ARIN：2001:0400::/23(InitialSub-TLA) PIPE：2001:0600::/23(InitialSub-TLA) 6to4：2002::/16(6over4協(xié)議41) 6bone：3FFE::/16(試驗(yàn)的)6Bone3FFE::/16前綴使用TLA/NLA/SLA/EUI方案試驗(yàn)性的IPv6中樞退役時(shí)間表(多年以前)在任何地方都可以容易的得到/48的網(wǎng)絡(luò)空間從隧道代理那里使用靜態(tài)的SIT隧道使用反向DNS解析的時(shí)候,有一些困難英特網(wǎng)62001::.16前綴使用TLA/NLA/SLA/EUI方案制造IPv6英特網(wǎng)調(diào)配可以從群ISP中得到免費(fèi)子網(wǎng)絡(luò)(/64),并且可以使用/48網(wǎng)絡(luò)從隧道代理那里使用靜態(tài)的SIT隧道反向DNS解析授權(quán)并且穩(wěn)定ARIN提供免費(fèi)的IPv6,分配給IPv4的ISP(英特網(wǎng)網(wǎng)絡(luò)服務(wù)提供者)6to4地址

2002::/16前綴使用TLA/NLA/SLA/EUI方案每一個(gè)IPv4的地址都指派了一個(gè)IPv6的網(wǎng)絡(luò) 2002::(IPv4_ADDR)::/48網(wǎng)絡(luò) 擁有1.84*10^19個(gè)地址的65536個(gè)子網(wǎng)絡(luò) 每一個(gè)IPv4地址都有總共1.2*10^24個(gè)IPv6的地址自動(dòng)6to4SIT隧道(協(xié)議41)不需要隧道代理和基礎(chǔ)結(jié)構(gòu)在NLA域,通過地址,使用IPv4自動(dòng)路由使用集群網(wǎng)關(guān)和其他TLA連接EUI－終端標(biāo)識符范圍

自動(dòng)配置地址的低64位源自MAC地址接口的EUI-64 保留定量的跨越子網(wǎng) 潛在的保密問題隨機(jī)生成的保密加強(qiáng)地址 隨著時(shí)間的變化，以不同的時(shí)間間隔改變 很難跟蹤和判斷隨機(jī)服務(wù)器地址 使用DNS（域名解析服務(wù)）來跟蹤地址變化著名地址

6to4地址 linux：2002:{Ipv4}::1 Windows：2002:{Ipv4}::{Ipv4}路由器 普通EUI地址 靜態(tài)配置服務(wù)器地址（DNS域名解析服務(wù)器）站點(diǎn)局部集合 簡單子網(wǎng)數(shù)目容易猜測就意味著容易被掃描無狀態(tài)自動(dòng)配置

允許自動(dòng)配置Ipv6的地址允許動(dòng)態(tài)重編前綴子網(wǎng)可能擁有多種環(huán)行路由 不同前綴 不同壽命 不同優(yōu)先選擇接口可能擁有多種全局地址/EUI’s在Ipv4網(wǎng)絡(luò)中，欺詐路由可能會進(jìn)入Ipv6通道欺詐路由可能會干擾Ipv6路由掃描IPv6掃描IPv6的一個(gè)子網(wǎng)，比掃描整個(gè)IPv4要難上40億倍有效地分配＝＝特征豐富的目標(biāo)稀疏的分配使得暴力掃描變得不切實(shí)際

掃描后門不切實(shí)際

進(jìn)攻者發(fā)起的掃描 防守者發(fā)起的掃描

掃描代理不切實(shí)際 僅有掃描功能的蠕蟲將不再能夠傳播

不再會有SlammerIPv6和廣播

沒有廣播地址 沒有局部廣播 沒有直接廣播地址 沒有全局廣播地址廣播功能由不同的多點(diǎn)地址處理不再有垃圾增幅器（除非源頭在子網(wǎng)里是局部的）不再有掃描節(jié)點(diǎn)的廣播不再有直接廣播“食物爭奪戰(zhàn)”沒有局部廣播DdoS的幫助。。。。。(沒有掃描到，看不清)模糊化能帶來安全嗎？

通過模糊化，能使這些都變得安全嗎？ 躲藏在復(fù)雜的，模糊的地址后面 通過不允許直接廣播來躲藏 躲藏在保密地址之后不，這些并不是“securitythroughobscrity” 系統(tǒng)沒有被隱藏，你能夠仔細(xì)的檢查他們 系統(tǒng)僅僅是不能夠被掃描除去黑客工具（暴力掃描）除去蠕蟲傳播途徑除去DdoS工具（Smurf）Ipv6和黑客的攻擊手段

黑客攻擊手段的基本層次 識別目標(biāo) 獲得訪問 得到shell 提高權(quán)限 清除痕跡 安全通訊并且為以后留下入口Ipv6針對了其中的一些方面，但是不是全部。識別目標(biāo)

暴力掃描是不可行的 必須單獨(dú)選擇目標(biāo)如果系統(tǒng)別識別出來之后，端口探測是可行的安全入口的地址可能在交替變化服務(wù)通過多地址來分散 安全服務(wù)，ssh，位于不公布的地址上 公眾服務(wù)，網(wǎng)頁，smtp（簡單郵件傳輸協(xié)議），ftp（文件傳輸協(xié)議）位于公布的地址上 對于防火墻而言，不可替換優(yōu)勢－防守獲得訪問

被Ipv6保護(hù)的系統(tǒng)能夠被用來獲得其他系統(tǒng)的訪問單個(gè)主機(jī)能夠訪問并且路由多個(gè)系統(tǒng)附加的全局路由能夠幫助進(jìn)入隱藏在防火墻后的系統(tǒng)或者保密的Ipv4地址空間Ipv6的通訊可能被探測有一些優(yōu)勢－攻擊者有一些優(yōu)勢－防守者安全通訊和訪問

Ipv6幫助隱藏后門許多入侵檢測系統(tǒng)（IDS）不探測Ipv6流量許多入侵檢測系統(tǒng)（IDS）不探測通訊隧道被設(shè)置過的入侵檢測系統(tǒng)（IDS）可能探測Ipv6流量安全掃描不能探測Ipv6后門在不干擾Ipv4操作的前提下，Ipv6很容易建立bots和malware可能連接到多地址隱藏后門/安全訪問

后門/服務(wù)器能夠偵聽特定的Ipv6地址隨著時(shí)間的改變，地址能夠隨機(jī)的變化多地址能夠隱藏多訪問點(diǎn)Ipv4的掃描者不能掃描它SLA和EUI（80比特）必須準(zhǔn)確的連接流量能夠被入侵檢測系統(tǒng)（IDS）和嗅探器探測能夠相當(dāng)好的保護(hù)惡意后門或者安全訪問點(diǎn)防火墻

不是所有的防火墻都設(shè)置成阻擋協(xié)議41Ipv4防火墻不能在SIT隧道中看到TCP或者UDPIpv6防火墻在不能看到Ipv4的協(xié)議41Teredo（UDP）將會繞過大部分的防火墻隧道應(yīng)該終止到防火墻或者邊界SIT隧道應(yīng)該在邊界被控制6to4隧道應(yīng)該被限制到外面的站點(diǎn)應(yīng)該禁止Teredo提供Ipv6如果要對一個(gè)網(wǎng)絡(luò)提供Ipv6，你必須支持Ipv6隧道應(yīng)該在安全邊界（防火墻）終止6to4/6over4應(yīng)該在企業(yè)網(wǎng)內(nèi)部被禁止應(yīng)該在企業(yè)網(wǎng)內(nèi)提供本地Ipv6路由器廣告應(yīng)該被監(jiān)視應(yīng)該監(jiān)視前綴的變化防止Ipv6如果想要防止Ipv6，必須支持Ipv6隧道協(xié)議和傳輸應(yīng)該被禁止 在所有的安全邊界 在路由器和子網(wǎng)邊界 穿越所有的虛擬個(gè)人網(wǎng)絡(luò)（VPNs）IDS/IPS系統(tǒng)應(yīng)該被監(jiān)視 鄰居發(fā)現(xiàn) 路由器廣告NIDS系統(tǒng)應(yīng)該探測Ipv6－本地和隧道不支持Ipv6如果你沒有提供或者防止Ipv6，你將擁有Ipv6 你將不能控制它 你將不能認(rèn)可它 你將不能管理它 它將會全局選址 它將會完全路由（獨(dú)立于Ipv4路由） 其他人將提供Ipv6通道和路由，而不是你其他人提