《ipv6内网防御技术》由会员分享,可在线阅读,更多相关《ipv6内网防御技术(4页珍藏版)》请在金锄头文库上搜索。
1、IPv6下入侵防御技术的研究【摘要】本文介绍了IPv6的安全功能的改进,分析了在IPv6新环境下可能引入的一些新的安全问题以及原有安全工具在IPv6环境下的变化。【关键词】IPv6入侵防御网络安全IPv6协议作为IPv4协议的升级版本,其协议本身进行了大量的改进,比如地址方案、报文格式等,同时还引进了许多新的机制,比如自动配置、移动性等,新引入了IPSee,增强了其安全性,使新环境下的网络攻击和安全防御产生新的变化。1.IPv6的安全功能的改进在IPv6协议中,实现了网络层的基本安全功能,而且这些功能对应用层的每种应用都适用。IPv6协议所采用的安全技术主要是安全IP(即IPSec)。很多的网
2、络攻击都是在网络层上对远程主机或本地主机进行攻击,所以,在网络层上实现的安全特性,可以更为有效地抵御各种网络攻击,增加网络的安全性。IPSec中的AH和ESP头有助于在IP上实现安全性。AH协议即分组头认证协议。该协议主要是为IP数据包提供信息源的身份认证,以及数据完整性的检测,同时,它还具有抗重播功能。AH为源节点提供了在包上进行数字签名的机制。AH之后的数据都是纯文本格式,可能被攻击者截取。但是,在目的节点接收之后,可以使用AH中包含的数据来进行身份验证。另一方面,可以使用ESP头对数据内容进行加密。AH协议只涉及数据包的认证,而不涉及数据包的加密,而ESP协议主要是用来处理IP数据包的加
3、密,它是一种与具体的加密算法相独立的安全协议,该协议几乎可以支持所有的对称密钥加密算法。对ESP头之后的所有数据都进行了加密,ESP头为接收者提供了足够的数据以对包的其余部分进行解密。安全性关联(SA)是IPsec的另一个重要概念。安全性关联包含能够唯一标识一个安全性连接的数据组合。连接是单方向的,每个SA由目的地址和安全性参数索引(SPI)来定义。其中SPI是对RFC1825修改后的Intemet草案中所要求的标识符,它说明使用SA的IP头类型,如AH或ESP。SPI为32位,用于对SA进行标识及区分同一个目的地址所链接的多个SA。进行安全通信的两个系统有两个不同的SA,每个目的地址对应一个
4、。每个SA还包括与连接协商的安全性类型相关的多个信息。这意味着系统必须了解其SA、与SA目的主机所协商的加密或身份验证算法的类型、密钥长度和密钥生存期。AH协议和ESP协议都是基于密钥分发的协议。这两种协议可以单独使用,也可以配合使用,并且他们都可以用于以下两种工作模式:传送模式:在远程计算机间直接执行IP安全服务。传送模式通常当ESP在一台主机(客户机或服务器)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。隧道模式:通过中间系统执行IP数据包压缩。隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包包括全部TCP/
5、IP或UDP/IP头和数据,它用自己的地址作为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。IPv6通过IPSec协议在IP层提供的安全服务,人们可以利用这种网络层的安全特性实现很多应用。例如:虚拟专用网(VPN)的应用、路由安全的应用和安全主机之间的应用等。2.IPv6环境下网络攻击的特征和行为分析IPv4缺乏安全机制,IPv6除了将IP地址从32位扩展到128位显著扩展了IP地址空间外,最大的改进就是为IP协议提供了安全机制,IPv6使用了两种安全性扩展:IP身份验证头(AH)和IP封装安全性净荷fEsPI,实现了IP层的身份
6、认证,数据报的完整性,机密性检查。这些安全机制以及改造后的IP头部对目前已知的网络攻击将产生怎样的影响,下面从攻击分类的角度对已知网络攻击在IPv6下环境下的表现进行分析、阐述。2.1IPv6对主要网络攻击类型的影响述(1) 阻塞类攻击阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供服务。DoS是典型的阻塞类攻击,常见的方法有泪滴攻击、UDP/TCP洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。为了针对宽带网络技术的发展,目前Dos已发展为“火力”更为猛烈的分布式集群攻击。阻塞类攻击以消耗系统资源、网络带宽为主,他们一般发
7、起于网络层以上,主要发起于应用层,所以IPv6将对这些攻击没有影响。(2) 控制类攻击控制类攻击是一类试图获得对你的机器控制权的攻击,最常见的有三种:口令攻击、特洛伊木马攻击和缓冲区溢出攻击。口令截获与破解,仍然是最有效的口令攻击手段,进一步的发展应该是研制功能更强的口令破解程序;木马技术目前着重研究更新的隐藏。口令攻击就是攻击者得到系统中用户的帐号、口令或相关信息后使用各种口令破解工具破解用户口令,在得到口令后登录系统进行攻击活动,目前各种口令破解工具在Internet上随处可得,使得实施口令攻击很简单,关键在于用户帐号、口令信息(如口令文件、密码表等)的获取,IPv4对数据包进行明文传送,
8、造成了一些用户信息的泄漏,IPv6增加了安全机制,对IP数据包进行加密传送,避免了数据信息在网络嗅探下的失窃。减小了一不部分口令攻击发生的可能性。特洛伊木马和缓冲区漏洞都是由于具体应用的漏洞和脆弱性给了黑客可乘之机和网络层协议没有直接的联系,所以IPv6对IP的各种改进对这些攻击将不会有明显的影响。(3) 探测类攻击信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。特洛伊木马也可以用于这一类目的。这类攻击主要包括扫描技术、体系结构刺探、系统服务信息收集等。目前正在发展更先进的网络无踪迹信息探测技术。各种探测类攻击收集信息主要依赖网络系统提供各种网络应用服务提供主
9、机和网络系统的各种相关信息,IP层协议对这些网络应用层服务通常是透明的,所以Pv6对探测类攻击不会用明显的影响。(4) 欺骗类攻击欺骗类攻击包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配置或设置一些假信息来实施欺骗攻击。IPv6提供了两种安全性扩展,IP身份验证头(AH)和IP封装安全性净荷(ESP1,实现了IP层的身份认证,数据报的完整性,机密性检查。在强制实施这两种安全扩展的环境中很好地杜绝了IP地址欺骗攻击,同时IPv6放弃了ARP协议,使得部分假消息攻击失效。(5) 漏洞类攻击网络系统的漏洞各种各样,主要的可以分为操作系统漏洞,应用系统漏洞,网
10、络协议漏洞,系统配置漏洞等,针对各种漏洞实施的相应攻击,随着新漏洞的发现,相应的攻击手段也不断地涌现,防不胜防。由于这些攻击的新颖性,一般而言,即使安装了实时入侵检测系统,也很难发现这一类攻击。IPv6对TcP/IP协议的改进对这些漏洞攻击不会有明显的影响。(6) 病毒类攻击计算机病毒已经由单机病毒发展到网络病毒,由DOS病毒发展到windnws98/NT/2000系统的病毒,现在已经发现Unix系列的病毒。电子邮件与蠕虫技术是网上传播病毒的主要方法。病毒通常是利用系统的漏洞对系统入侵,IPv6的应用不会对病毒类攻击产生影响。2.2原有安全工具在IPv6环境下的变化当前的网络安全体系是基于现行
11、的IPv4协议的,防范黑客的主要工具有防火墙、网络扫描、系统扫描、Web安全保护、入侵检测系统等。IPv6的安全机制对他们的冲击可能是致命的。(1) 防火墙当前的防火墙有三种类型:包过滤型,应用代理型和地址转换型。除了应用代理型防火墙工作在应用层,受到IPv6的影响比较小之外,其他的两种都受到了几乎是致命的冲击。包过滤型防火墙:基于IPv4的包过滤型防火墙是依据数据包中源端和目的端的IP地址和TCP/UDP端口号进行过滤的。在IPv4中,IP报头和TCP报头是紧接在一起的,而且其长度基本是固定的,所以防火墙很容易找到报头,并使用相应的过滤规则。然而在IPv6下TCP/UDP报头的位置有了变化,
12、IP报头与TCP/UDP报头之间常常还存在其他的扩展报头,如路由选项报头,AH/ESP报头等。防火墙必须逐个找到下一个报头,直到TCP/UDP报头为止,才能进行过滤,这对防火墙的处理性能会有很大的影响。在带宽很高的情况下,防火墙的处理能力就将成为整个网络的瓶颈。地址转换型防火墙:它可以使局域网外面的机器看不到被保护的主机的IP地址,从而使防火墙内部的机器免受攻击。但由于地址转换技术(NAT)和IPsec在功能上不匹配,很难穿越地址转换型防火墙利用IPsec进行通信。当采用AH进行地址认证时,IP报头也是认证的对象,因此不能做地址转换。当只用ESP对分组认证/加密时,因为IP报头不在认证范围内,
13、乍一看地址转换不会出现问题,但即使在这种情况下也只能作一对一的地址转换,而不能由多个对话共用一个IP地址。这是因为ESP既不是TCP也不是UDP,不能以端口号的不同进行区分的缘故。使用了IPv6加密选项后,数据是加密传输的,由于IPsec的加密功能提供的是端到端的保护,并且可以任选加密算法,密钥是不公开的。防火墙根本就不能解密。因此防火墙就无从知道TCP/UDP端口号。(2)入侵检测一般来说,入侵检测(IDS)是防火墙后的第二道安全屏障。按照审计数据来源的不同,IDS分为基于网络的NIDS和基于主机的HIDS。NIDS直接从网络数据流中截获所需的审计数据并从中搜索可疑行为。它能够实时得到目标系
14、统与外界交互的所有信息,包括一些很隐蔽的端口扫描和没有成功的入侵尝试;此外,由于NIDS不在被监视系统中运行,并且使用被动监听的工作方式,所以它不容易为人侵者所发觉,因此它所收集的审计数据被篡改的可能性很小,并且它不影响被保护的系统的性能。但是在对待被加密的IPv6数据方面,NIDS有着和过滤防火墙同样的尴尬。如果有黑客使用加密之后的数据包进行攻击,NIDS就很难抓到什么蛛丝马迹了。HIDS运行于被保护的主机系统中,监视文件系统或者操作系统OS及各种服务生成的日志文件,以便发现入侵踪迹。它通常作为用户进程运行,其正常运行依赖于操作系统底层的支持,与系统的体系结构有关,所以,熟练的入侵者能够篡改
15、这些进程的输出、关闭进程,修改系统日志,甚至更换系统核心以逃避检测。除此之外,基于主机的HIDS只能知道它所保护的主机的信息,却很难收集到其他主机的信息,甚至由于它运行在应用层而很难得到底层的网络信息。并且,HIDS自身的安全直接依赖于它所在的主机的安全,如果主机被攻破了,HIDS报警的正确性,就很值得怀疑。3.结束语入了两个新的扩展报头AH和ESP。解决了身份认证,数据完整性和机密性的问题,IPv6极大地提高了网络层安全,但是,这些安全机制对于当前的计算机网络安全体系造成了很大的冲击,使对于IPv6加密数据包的过滤,入侵检测和防火墙都处于一种真空状态,有待进一步研究。参考文献1 韩东海,王超
16、,李群入侵检测系统实例剖析M清华大学出版社.2002.2 刘筠,卢超.异常检测测试平台的设计J.计算机工程与设计,2008,06.3 阎巧,谢维信.异常检测技术的研究与发展J西安电子科技大学学报,2002,01.安景琦,刘责全,钱权一种基于隐Markov模型的异常检测技术J计算机应用,2005,08.4 卢超.谈软件项目管理J.中小企业管理与科技.2008,12.5 AndersonJP.ComputerSecurityThreatMonitoringandSurvellanceM.Washington:PAndersonCo,1980.6 DenningDEAnIntrusionDetectionModelJ.IEEETransonSoftEngineering,1987,13.卢超.基于熵的多点脉搏传感器信息
