IPv6安全威胁

发表于:2007-06-23来源:作者:点击数: 标签:
+威胁的种类+对比ipv6和ipv4威胁+ipv6最佳 安全 实践+加强ipv6的安全策略+指出ipv6的问题 威胁的种类:侦查。 非法访问。 包头的篡改和数据包的分片。 三层和四层信息的欺骗。 arp和dhcp攻击。 广播放大攻击(smurf)。 路由攻击。 病毒、蠕虫。 侦听。 应用

   

    +威胁的种类+对比ipv6和ipv4威胁+ipv6最佳安全实践+加强ipv6的安全策略+指出ipv6的问题

    威胁的种类:侦查。

    非法访问。

    包头的篡改和数据包的分片。

    三层和四层信息的欺骗。

    arp和dhcp攻击。

    广播放大攻击(smurf)。

    路由攻击。

    病毒、蠕虫。

    侦听。

    应用层攻击。

    欺诈设备。

    中间人攻击。

    泛洪。

-----

    对比ipv6和ipv4威胁:网络侦查在ipv4中很简单——使用whois 查dns,ping,端口、应用扫描等。

    在ipv6的环境不同,子网中地址很多,通常为2的6次方个,相当费力。扫描几乎不可能。

    ipv6中如何找到攻击目标?

    1.每个网络中有一个公共的dns.可以通过dns找到攻击的目标。

    2.ipv6非常依赖dns. 3.ipv6地址很长,不好设置。

    4.路由器应该知道本网段所有活跃的机器的地址。

    5.ipv6很提供很多组播地址。可以利用做攻击帮助点 ff05::2,ff05::1:3等。可以ping整个网段中所有的组播公共地址,如所有的网络设备都加入该组。

    6.rfc3041:ipv6私密性扩展。不断变换地址。给网络管理和追踪调查带来不便。

    防侦查的有效措施:+慎重使用ipv6私密性扩展。如果和外网通讯,允许使用私密性扩展,如果和内网通讯不允许使用。

    +在防火墙过滤掉不必要姆?瘛⒍丝凇?BR>+过滤掉一部分不需要的icmp信息。

    +从应用层加强安全性,补丁。

---------

    非法访问:ipv4环境的非法访问,用acl.区别基础是ip源、目的地址和端口。

    在ipv6依然是使用网络三层和四层信息界定合法和非法。因为有ipv6私密性扩展,禁止非常困难,为了保证内网的acl有效性,尽量禁止ipv6私密性扩展。

    ipv6的可疑地址和未使用的地址是不一样的,大多数地址都未被定义,在ipv6下可以使用允许2001::/16 2002::/16,3fe::/16之外的,在内外口处过滤掉。

    icmpv4和icmpv6对比,icmpv6有更好的即插即用性。

    包含icmpv4的所用功能,还包括dhcp,igmp,移动ip功能,过滤时要注意。

-----

    数据包头的篡改,和数据包的分片。

    攻击者可以增加无限的ipv6扩展包头,来探测和攻击分片技术:在上层协议传的数据包大于我的协议能传的数据包的时候会把包拆成碎片,可以把一个明显的攻击意图的包拆成若干片,这样在通过ids或者防火墙的时候,设备会花费更多的时间和资源。

    ipv4环境下很容易分辨时候分片,因为ipv4包头有明显的标准。可以看offset是否等于0. ipv6比较特殊,只能由数据的发起端来做,重组只能有数据的接受端来做。实际上中间的网络设备是不参与分片和组装的。分片的标志也不是在ipv6的固定位置,而是由ipv6的扩展包头来说明。分片依然可以达到伪装和躲过攻击探测的目的。

    应对:过滤掉针对网络设备的分片。

    过滤掉不需要的扩展包头。

    过滤掉小于128字节数据包。

------

    第三层和第四层的地址欺骗:ipv4,rfc2827只能顾虑到地址网络部分的顾虑,主机不能滤。地址欺骗依然普遍存在,通常用假udp端口ipv6的地址很少应用,大多都是未分配的。

---------

    ipv4的arp和dhcp攻击,冒充自己为缺省网关,骗取数据包。

    在ipv6使用自动配置,学到自己的网络地址和网关。

    如果没有ipsec的保护很容易被别人假冒和攻击。

    neighbor discovery:neighbor solicaitation.

原文转自:http://www.ltesting.net