|
应对方法:
- 安详邻人发明(SEND)[7]协议是邻人发明协议中的一个安详扩展,其事变道理为使收集中每个IPv6节点都有一对公私钥以及多个邻人扩展选项。回收SEND协议后,各个节点的接口标识符(IPv6地点低64比特)将基于当前的IPv6收集前缀与公钥举办计较发生,而不能由各个节点自行选择。安详邻人发明协议通过时代戳和Nonce选项抵制重放进攻,并引入了CGA(暗码天生地点)与RSA署名对数据源举办验证以办理邻人哀求/邻人告示诱骗的题目。SEND固然可以办理必然的安详题目,但今朝体系与装备对SEND的支持异常有限。
- RFC7113提出了IPv6安详RA方案RA-Guard[8],其通过阻断非信赖端口RA报文转发来停止恶意RA也许带来的威胁,在进攻包现实达到方针节点之前阻塞二层设惫亓?进攻数据包。
- 行使会见节制列表或空路由过滤对地点空间中未分派的部门的会见,用以防备进攻者迫使路由理会未行使的地点。
(3) DHCPv6
安详威胁:
- 地点池耗尽进攻:进攻者可以伪装为大量的DHCPv6客户端,向DHCPv6处事器哀求大量的IPv6地点,耗光IPv6地点池。
- 拒绝处事进攻:进攻者可向DHCPv6处事器发送大量的SOLICIT动静,逼迫处事器在一按时刻内维持一个状态,致使处事器CPU与文件体系发生庞大承担,直至无法正常事变。
- 伪造DHCPv6处事器:进攻者可伪造成DHCPv6处事器向方针客户端发送伪造的ADVERTISE与REPLY报文,在伪造报文中携带卖弄的默认网关、DNS处事器等信息,以此实现重定向进攻。
应对方法:
- 对客户端全部发送到FF02::1:2(全部DHCPv6中继署理与处事器)和FF05::1:3(全部DHCPv6处事器)的动静数目举办速度限定。
- DHCPv6中内置了认证机制,认证机制中的RKAP协议[9]可以对伪造DHCPv6处事器的进攻举动提供防御。
三、 IPv6 对安详硬件的影响
1. 防火墙
(1)IPv6报头的影响
针对IPv6报文,防火墙必需对IPv6根基报头与全部的扩展首部举办理会,才气获取传输层与应用层的信息,从而确定当前数据报是否应该被应承通过或是被扬弃。因为过滤计策对比IPv4越发伟大,在必然水平大将加剧防火墙的承担,影响防火墙的机能。
(2) IPSec的影响
如若在IPv6数据包中启用加密选项,负载数据将举办加密处理赏罚,因为包过滤型防火墙无法对负载数据举办解密,无法获取TCP与UDP端标语,因此包过滤型防火墙无法判定是否可以将当前数据包放行。
因为地点转换技能(NAT)和IPSec在成果上不匹配,因此很难穿越地点转换型防火墙操作IPSec举办通讯。
2. IDS&IPS
面临IPv6数据包,倘若启用了加密选项,IDS与IPS则无法对加密数据举办提取与说明,无法通过报文说明获取TCP、UDP信息,进而无法对收集层举办全面的安详防护。即便只应承流量启用AH认证报头,但认证报头内部具有可变长度字段ICV,因此检测引擎并不能精确地定位开始内容搜查的位置。
四、 过渡技能的安详性
1. 双栈技能
倘若双栈主机不具备IPv6收集下的安详防护,而进攻者与双栈主机存在连接相关时,则可以通过包括IPv6前缀的路由告示应答的方法激活双栈主机的IPv6地点的初始化,进而实验进攻。
2. 地道技能
(1) 地道注入
进攻者可通过伪造外部IPv4与内部IPv6地点伪装成正当用户向地道中注入流量。
(2) 地道嗅探
位于地道IPv4路径上的进攻者可以嗅探IPv6地道数据包,并读取数据包内容。
3. 翻译技能
操作翻译技能实现IPv4-IPv6收集互联互通时,必要对报文的IP层及传输层的相干信息举办窜改,因此也许会对端到端的安详发生影响,导致IPSec的三层安详地道在翻译装备处呈现断点。
翻译装备作为收集互通的要害节点,是DDoS进攻的首要进攻方针。同时,翻译装备还也许遭遇地点池耗尽进攻,若IPv6进攻者向IPv4处事器发送互通哀求,但每条哀求都具有差异的IPv6地点,则每条哀求都将耗损一个地点池中的IPv4地点,当呈现大量该类哀求时,便会将地点池耗尽,使得翻译装备不再接管进一步的哀求。
五、 参考文献
- [1]Kaufman C,Hoffman P, RFC7296: Internet Key Exchange Protocol Version 2(IKEv2)[EB/OL], https://tools.ietf.org/html/rfc7296,2014.
- [2]Deering S, Hinden R, RFC8200: Internet Protocol, Version 6 (IPv6) Specification[EB/OL], https://tools.ietf.org/html/rfc8200,2017.
- [3]Le Faucheur F, RFC6398: IP Router Alert Considerations and Usage [EB/OL], https://tools.ietf.org/html/rfc6398,2011.
- [4]Patel A, Leung K RFC4283: Mobile Node Identifier Option for Mobile IPv6 (MIPv6)[EB/OL], https://tools.ietf.org/html/rfc4283,2005.
- [5]Abley J, Savola P, RFC5095: Deprecation of Type 0 Routing Headers in IPv6 [EB/OL], https://tools.ietf.org/html/rfc5095,2007.
- [6]Davies E, Mohacsi J, RFC4890: Recommendations for Filtering ICMPv6 Messages inFirewalls [EB/OL], https://tools.ietf.org/html/rfc4890,2007.
- [7]Arkko J, Kempf J, Zill B, Nikander P,RFC3971: SEcure Neighbor Discovery (SEND) [EB/OL], https://tools.ietf.org/html/rfc3971,2005.
(编辑:湖南网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
