关于XPSP2的IPv6安全性思考

发表于:2007-06-23来源:作者:点击数: 标签:
在Windows Server 2003,Windows XP Service Pack1,以及Windows XP Service Pack 2中,微软已经捆绑了Inte .net Protocol version 6(IPv6),但并不默认安装,而其他版本的Windows的 IPv6是一般需要通过第三方的附件才可用, 因为他们并没有为Windows 2000及

   
  在Windows Server 2003,Windows XP Service Pack1,以及Windows XP Service Pack 2中,微软已经捆绑了Inte.net Protocol version 6(IPv6),但并不默认安装,而其他版本的Windows的 IPv6是一般需要通过第三方的附件才可用,

因为他们并没有为Windows 2000及其以前版本产品发布IPv6的计划。

  微软执行的IPv6只能为那些完全安装并配置了这一协议的组织机构的Windows网络提供较小的增强性安全,尽管如此,还是有一些安全性问题需要在安装这一新的IP协议之前去了解一下的。


  IPv6的优势


  通过执行Microsoft IPv6,我们能够适度的获得安全方面的增强。刚开始的时候,任何对你的网络进行的攻击的尝试都必须扫描IPv6地址空间(这意味着一个比IPv4庞大的多的地址空间)以用来搜索你所在的网段,这可以说是地址扫描的一个黑洞,不过不要过份依赖这种模糊的安全。


  作为增强性安全,差不多就是这点了,是不是少的可怜?!如果你正在使用IPv4的高级特性,那在配置IPv6之前有一些主要安全性的退化你需要慎重考虑。


  IPv6的缺陷


  Microsoft必须在获取新的安全密钥之前重新设计它的IPv6。最显而易见的问题就是微软IPv6 IP Security(IPSec)协议的“崩溃”。IPSec支持用于传送和遂道模式的Authentication Header(AH)①和Encapsulating Security Payload(ESP)②,不过,微软的ESP不支持数据压缩。另外,微软IPv6不支持Internet Key Exchange(IKE,Internet密钥交换)协商安全性关联(SAs)。我们将不能够通过组策略设置IPv6 PSec安全性,替代它的,是你必须手工配置它们用于计算每台服务器的SA、消息分类5(MD5)、以及安全散列算法1(SHA-1)的密钥。


  在你的组织机构的每一台服务器上手工配置安全密钥和静态安全运算法则是一个灾难性的处方,如果你的安全密钥是手工静态配置的,那你的数据最后将会得到破坏。即使你用的是正确的密钥,那些密钥最后也还是会很容易被破坏。


  安装IPV6


  你可以将IPV6作为附加网络协议安装,一定要记住,必须事先安装好IPV4你才能够加载IPV6。


  安装IPV6,如下:


  1,开始-->控制面板-->双击网络连接


  2,右键单击本地连接,选择属性


  3,点击安装按钮


  4,选择Microsoft IPV6,点击OK。


  总结


  微软已经发布了Windows 2000版本的IPV4技术预览版,你可以在MSDN WEB SITE下载到它。不过,推荐先对其进行完全的测试再将它布置到一个产品环境中。


  注:


  ①IPsec认证头(Authentication Header)[AH]规范提供了一种类似的服务,通过计算认证数据,该计算覆盖一个报文的数据部分和IP头在传输中不变的部分。


  ②[ESP]规定了使用一种可选的加密算法来提供机密性,并规定了一种可选的认证算法来提供认证和完整性。NULL加密算法则是代表不进行加密的选项的一种便利的途径。


  虽然IPv6似乎离我们还有一段距离,但这并不妨碍我们去事先探讨它的种种好与坏,作为众多专家急切盼望到来的IPv6,它的巨大的地址空间让我们垂涎,但即便如此,它的安全性依然是我们需要考虑的重点。

原文转自:http://www.ltesting.net