计算机网络 - IPv6开启网络新世界

Ipv6的新世界IPv6的安全特性MichaelH.Warfield英特网安全系统mhw@二○○四年六月十六日IPv6综述将地址扩展到128比特地址分类IP安全性协议（以前是IPv4的一个可选协议）服务质量分类支持无状态和有状态两种地址自动配置的方式动态地址重编转换隧道和翻译有效地防止被暴力扫描没有广播地址操作系统支持微软视窗操作系统（MSWINDOWS）

－

支持WindowsXP和20003server系统－对于其他版本的Windows系统，可以通过免费的补丁方式获得

Unix－Linux-最大的分类－*BSD-FreeBSD/NetBSD/OpenBSD/OSX－Solaris-Since2.8－HP/UX－AI/X路由器和防火墙

手机

IPv6代码稳定性

IPv6已经出现好多年了IPv6还在继续被开发IPv6将会存在IPv4中没有的新漏洞（BUG）几乎没有来自IP层的程序缺陷（BUG）几乎没有来自IP层的安全漏洞许多IPv6和IPv4非常类似从IPv4学得的东西使得IPv6有着比IPv4更好的开端最近，OpenBSD发现了一个基于IPv6的DOSbug转换机构

准备升级到IPv6准备提供通用性为IPv4提供兼容性地址SIT（SixinTunnel）6to4自动SIT隧道代理服务协议主体（ProtocolBouncers）网络地址翻译一协议翻译NAT-PT6over4/SIT隧道

6over4（akaSIT）转换隧道简易英特网转换/SITIPv4中的协议41（IPv6）IPv4基础结构上的操作静态SIT隧道使用预配置的终端隧道代理通过SIT隧道提供IPv6一些隧道代理适用于动态地址Teredo/ShipwormIPv6越过用户数据报协议UDP(默认端口:3544/udp)目的是越过IPv4网络地址转换(NAT)设备，提供IPv6隧道由于缺少IPv6支持,通过低端路由/NAT设备,而发展起来WindowsXP自动启用IPv6在某些域,WindowsXP是禁用它的能够绕过大部分的防火墙(对外的UDP槽)需要一个使用IPv4并且启用Teredo的服务器在IETF,还处于设计阶段IP安全协议(IPsec)NAT-TIP安全协议越过用户数据报协议UDP(默认端口:4500/udp)目的是提供IP安全协议隧道,越过IPv4网络地址转换(NAT)设备由于缺少IP安全协议支持,通过低端路由/NAT设备而发展起来在WindowsXP,Linux和其他操作系统中都可以使用能够绕过大部分的防火墙(IPv4,IPv6和SIT)需要启用NAT-T的终端两个终端都可以是NAT(需要通过)在IETF,还处于设计阶段PPP和IPv6点对点协议(PPP)支持IPv6点对点协议在许多虚拟个人网络(VPN)中被用来当做传输协议 Pptp L2tp PPPtunneledoverstunnel PPPtunneledoverssh PPPtunneledoverUDP(CIPE)IPv6传输能够附加到PPP/VPN中,而不用改变IPv4的传输 本地与IPv4类似(IPv6越过PPP) 拥有隧道(SIT,6over4,越过IPv4和PPP的Teredo)

英特网的秘密

精英们早已经开始关注IPv6了适用于在线聊天的IPv6适用于FTP站点的IPv6适用于Web站点的IPv6许多在线聊天工具拥有IPv6补丁IPv6已经被用来当做通讯通道IPv6可以用来隐藏后门IPv6可以用来绕过防火墙Ipv6全局地址

Ipv4兼容：::n.n.n.n 在Ipv4隧道上从一个Ipv6节点通向另外一个Ipv6节点（6over4协议41）Ipv4映射：::FFFF:n.n.n.n 在Ipv4上从一个Ipv4节点通向另外一个Ipv6节点全域单点：2000::/3(0200:->3fff) V6英特网：2001::/16 APNIC：2001:0200::/23(InitialSub-TLA) ARIN：2001:0400::/23(InitialSub-TLA) PIPE：2001:0600::/23(InitialSub-TLA) 6to4：2002::/16(6over4协议41) 6bone：3FFE::/16(试验的)6Bone3FFE::/16前缀使用TLA/NLA/SLA/EUI方案试验性的IPv6中枢退役时间表(多年以前)在任何地方都可以容易的得到/48的网络空间从隧道代理那里使用静态的SIT隧道使用反向DNS解析的时候,有一些困难英特网62001::.16前缀使用TLA/NLA/SLA/EUI方案制造IPv6英特网调配可以从群ISP中得到免费子网络(/64),并且可以使用/48网络从隧道代理那里使用静态的SIT隧道反向DNS解析授权并且稳定ARIN提供免费的IPv6,分配给IPv4的ISP(英特网网络服务提供者)6to4地址

2002::/16前缀使用TLA/NLA/SLA/EUI方案每一个IPv4的地址都指派了一个IPv6的网络 2002::(IPv4_ADDR)::/48网络 拥有1.84*10^19个地址的65536个子网络 每一个IPv4地址都有总共1.2*10^24个IPv6的地址自动6to4SIT隧道(协议41)不需要隧道代理和基础结构在NLA域,通过地址,使用IPv4自动路由使用集群网关和其他TLA连接EUI－终端标识符范围

自动配置地址的低64位源自MAC地址接口的EUI-64 保留定量的跨越子网 潜在的保密问题随机生成的保密加强地址 随着时间的变化，以不同的时间间隔改变 很难跟踪和判断随机服务器地址 使用DNS（域名解析服务）来跟踪地址变化著名地址

6to4地址 linux：2002:{Ipv4}::1 Windows：2002:{Ipv4}::{Ipv4}路由器 普通EUI地址 静态配置服务器地址（DNS域名解析服务器）站点局部集合 简单子网数目容易猜测就意味着容易被扫描无状态自动配置

允许自动配置Ipv6的地址允许动态重编前缀子网可能拥有多种环行路由 不同前缀 不同寿命 不同优先选择接口可能拥有多种全局地址/EUI’s在Ipv4网络中，欺诈路由可能会进入Ipv6通道欺诈路由可能会干扰Ipv6路由扫描IPv6扫描IPv6的一个子网，比扫描整个IPv4要难上40亿倍有效地分配＝＝特征丰富的目标稀疏的分配使得暴力扫描变得不切实际

扫描后门不切实际

进攻者发起的扫描 防守者发起的扫描

扫描代理不切实际 仅有扫描功能的蠕虫将不再能够传播

不再会有SlammerIPv6和广播

没有广播地址 没有局部广播 没有直接广播地址 没有全局广播地址广播功能由不同的多点地址处理不再有垃圾增幅器（除非源头在子网里是局部的）不再有扫描节点的广播不再有直接广播“食物争夺战”没有局部广播DdoS的帮助。。。。。(没有扫描到，看不清)模糊化能带来安全吗？

通过模糊化，能使这些都变得安全吗？ 躲藏在复杂的，模糊的地址后面 通过不允许直接广播来躲藏 躲藏在保密地址之后不，这些并不是“securitythroughobscrity” 系统没有被隐藏，你能够仔细的检查他们 系统仅仅是不能够被扫描除去黑客工具（暴力扫描）除去蠕虫传播途径除去DdoS工具（Smurf）Ipv6和黑客的攻击手段

黑客攻击手段的基本层次 识别目标 获得访问 得到shell 提高权限 清除痕迹 安全通讯并且为以后留下入口Ipv6针对了其中的一些方面，但是不是全部。识别目标

暴力扫描是不可行的 必须单独选择目标如果系统别识别出来之后，端口探测是可行的安全入口的地址可能在交替变化服务通过多地址来分散 安全服务，ssh，位于不公布的地址上 公众服务，网页，smtp（简单邮件传输协议），ftp（文件传输协议）位于公布的地址上 对于防火墙而言，不可替换优势－防守获得访问

被Ipv6保护的系统能够被用来获得其他系统的访问单个主机能够访问并且路由多个系统附加的全局路由能够帮助进入隐藏在防火墙后的系统或者保密的Ipv4地址空间Ipv6的通讯可能被探测有一些优势－攻击者有一些优势－防守者安全通讯和访问

Ipv6帮助隐藏后门许多入侵检测系统（IDS）不探测Ipv6流量许多入侵检测系统（IDS）不探测通讯隧道被设置过的入侵检测系统（IDS）可能探测Ipv6流量安全扫描不能探测Ipv6后门在不干扰Ipv4操作的前提下，Ipv6很容易建立bots和malware可能连接到多地址隐藏后门/安全访问

后门/服务器能够侦听特定的Ipv6地址随着时间的改变，地址能够随机的变化多地址能够隐藏多访问点Ipv4的扫描者不能扫描它SLA和EUI（80比特）必须准确的连接流量能够被入侵检测系统（IDS）和嗅探器探测能够相当好的保护恶意后门或者安全访问点防火墙

不是所有的防火墙都设置成阻挡协议41Ipv4防火墙不能在SIT隧道中看到TCP或者UDPIpv6防火墙在不能看到Ipv4的协议41Teredo（UDP）将会绕过大部分的防火墙隧道应该终止到防火墙或者边界SIT隧道应该在边界被控制6to4隧道应该被限制到外面的站点应该禁止Teredo提供Ipv6如果要对一个网络提供Ipv6，你必须支持Ipv6隧道应该在安全边界（防火墙）终止6to4/6over4应该在企业网内部被禁止应该在企业网内提供本地Ipv6路由器广告应该被监视应该监视前缀的变化防止Ipv6如果想要防止Ipv6，必须支持Ipv6隧道协议和传输应该被禁止 在所有的安全边界 在路由器和子网边界 穿越所有的虚拟个人网络（VPNs）IDS/IPS系统应该被监视 邻居发现 路由器广告NIDS系统应该探测Ipv6－本地和隧道不支持Ipv6如果你没有提供或者防止Ipv6，你将拥有Ipv6 你将不能控制它 你将不能认可它 你将不能管理它 它将会全局选址 它将会完全路由（独立于Ipv4路由） 其他人将提供Ipv6通道和路由，而不是你其他人提