《IPv6的安全问题》由会员分享,可在线阅读,更多相关《IPv6的安全问题(13页珍藏版)》请在金锄头文库上搜索。
1、IPv6 的安全问题1绪论IPv6是“互联网协议第六版”的缩写。IPv6是由IETF设计的下一代互联网协议,目的 是取代现有的互联网协议第四版(IPv4)。IPv4的设计思想成功地造就了目前的国际互联网, 其核心价值体现在:简单、灵活和开放性。IPv6能够解决IPv4的许多问题,如地址短缺、服务质量保证等。同时,IPv6还对IPv4 作了大量的改进,包括路由和网络自动配置等o IPv6和IPv4将在过渡期内共存几年,并由 IPv6渐渐取代IPv4o1.1 IPv6 的地址类型IPv6 地址长度为 128 比特, 地址按照其传输类型分为三种, 即单播地址 (Unicas tAddress)、多播
2、地址(Mul ticas t Address)和任播地址(Anycast Address)。 单播和多播地址在IPv4中已经存在,任播地址是IPv6中新的成员,RFC 2723将IPv6地址 结构中的的任播地址定义为一系列网络接口(通常属于不同的节点)的标识,其特点是:发 往一个任播地址的分组将被转发到由该地址标识的“最近”的一个网络接口(“最近”的定 义是基于路由协议中的距离度量)。单播地址是每个网络接口的唯一的标识符,多个接口不能分配相同的单播地址,带有同 样目的地地址的数据包被发往同一个节点;另一方面,多播地址被分配给一组节点,组中所 有成员拥有同样的组播地址,而带有同样地址的数据包同时
3、发给所有成员;类似于多播地址, 单一的任播地址被分配给多个节点(任播成员),但和多播机制不同的是:每次仅有一个分 配任播地址的成员与发送端通信。一般与任播地址相关的有三个节点,当源节点发送一个目 的地地址为任播地址地数据包时,数据包被发送给三个节点中的一个,而不是所有的主机。 任播机制的优势在于源节点不需要了解服务节点或目前网络的情况,而可以接收特定服务, 当一个节点无法工作时,带有任播地址的数据包又被发往其他两个主机节点,从任播成员中 选择合适的目的地节点取决于任播路由协议。1.2 IPv6 地址分配状况IP 地址分配是分级进行的.ICANN(The Internet Corporation
4、 for Assigned Namesmd Numbers)是负责对全球互联网上的IP地址进行编号分配的机构(原来是由IANA负责).根据 ICANN的规定,ICANN将部分IP地址分配给区域互联网注册机构RIR(Regional Internet Regis try),然后由这些RIR负责该区域的登记注册服务.现在,全球一共有5个RIR;ARIN(北 美)、RIPE (欧洲)、APNIC (亚太)、LACNIC (拉丁美洲)、AfriNIC (非洲)。在RIR之下还 可以存在一些IR,如国家级IR (NIR)、普通地区级IR (LIR)。这些IR都可以从RIR那里 得到Internet地址及
5、号码,并可以向其各自的下级进行分配。亚太地区国家的IP地址分配由APNIC管理。APNIC对IP地址的分配采用会员制,直接 将 IP 地址分配给会员单位。我国的 CNNIC (China Internet Network Information Center) 以国家 NIC 的身份于 1997 年 1 月份成为 APNIC(Asia Pacific Net work Informa ti onCen ter) 的联盟会员,是我国最高级别的IP地址分配机构。2IPv6 的地址配置IPv6拥有大量的地址资源,大量的小型终端设备可以通过IPv6接入到网络中来,地址 自动配置就能实现对从多设备的高效
6、管理,简化了网络管理者的工作。2.1 IPv6 中的重新编址地址自动配置包括无状态地址自动配置和有状态地址自动配置。 在无状态地址自动配置下,需要配置地址的网络接口先使用邻居发现机制获得一个链路本地 地址。网络接口得到这个链路本地地址之后,再接收路由器宣告的地址前缀,结合接口标识 得到一个全球单播地址。而有状态地址自动配置的方式,如动态主机配置协议(DHCP),需 要一个DHCP服务器,通过客户机/服务器模式从DHCP服务器处得到地址配置的信息。一个主机也可以同时使用无状态地址自动配置和有状态地址自动配置两种模式。例如, 可以用无状态地址自动配置来配置自己的本机地址,同时使用有状态地址自动配置
7、模式获得 其他信息。当一个站点不很关心所使用的精确地址,只要各节点地址唯一并可路由时,可以 使用无状态地址自动配置。但当需要严格控制地址分配时,还是应该使用有状态地址自动配 置。站点管理员可以通过路由器公告报文来制定本站点的地址自动配置方式。当然自动配置并不是 IPv6 节点分配地址的唯一方法,手动配置也可以分配网络接口地 址。对路由器来说,手动配置是必须的。2.2 IPv6 中的重新编址IPv4 中,地址是用户拥有的。也就是说,一旦用户从某机构申请到一段地址,他就永 远使用该段地址,而不管他是从哪个因特网服务提供者(ISP)处获得服务。这种方式的缺 点是ISP必须在路由表中为每个用户的网络号
8、维护一条表项。随着用户数的增加,会出现大 量无法汇聚的特殊路由,即使无类别域间路由(CIDR)也不能处理这样的路由表爆炸现象。 对 IPv4 来说,重新编址是一个费时又复杂的工作。组织机构得到一个新的 IPv4 空间后,必 须改变网络上所有的路由器、服务器和主机的IPv4地址。路由协议和DNS服务器也得更新。 因此,重新编址对IPv4用户来说,会有一段时间的网络服务停止。IPv6改变了地址的分配方式,从用户拥有变化成ISP拥有。全球网络号由因特网地址 分配机构IANA分配给ISP,用户的全球网络地址是ISP地址空间的子集。当用户改变ISP 时,全球网络地址必须更新为新ISP提供的地址。这样有效
9、地控制了路由信息,避免路由爆 炸现象的出现。IPv6通过执行严格聚合来保持因特网全球的IPv6路由表尽可能小,但是当一个组织改 变它的上游IPv6提供商时,必须对网络重新编址。IPv6协议的优势是改变一个新的前缀时, 它能提供完全透明的网络重新编址能力。前缀重新编址由本地公告路由器执行。首先,站点 中所有的路由器继续公告原来的前缀,但是它的有效生存期被减少。然后由本地路由器公告 新的前缀地址。在需要重新编址的本地链路上,同时存在两个不同的前缀。收到这些路由器 公告后,节点发现有效生存期小的IPv6前缀就停止使用这个,转而使用新的前缀。在这个 转换期间,重新编址的所有节点同时有两个单播地址。当旧
10、的前缀生存期过期时,就会被停 止使用。IPv6 中,路由器不能由自动配置方式来配置它的网络接口,路由器上的接口地址必须 手工配置。路中器上的接口地址被本地链路上的主机和服务器看成是本地链路地址。所以, 即使在重新编址期间,路由器还是能够被访问。但是在转换的时候,不能保证主机和服务器 之间的TCP和UDP会话不丢失。地址管理方案中还包括地址解析协议(ARP)和可达性检测。IPv4中ARP是独立的协议, 负责IP地址到链路层地址的转换,对不同的链路层协议要定义不同的ARP协议。可达性检 测的目的是确认相应IP地址代表的主机或路由器是否还能收发报文,IPv4没有统一的解决 方案。IPv6定义 邻居发
11、现协议(NDP),把ARP纳入NDP并运行于因特网控制报文协议(ICMP) 上,使ARP更具有一般性,包括更多的内容,而且不用为每种链路层协议定义一种ARP。NDP中还定义了可达性检测过程,保证IP报文不会发送给“黑洞”3IPv6 地址解析IPv6不再执行地址解析协议(ARP )或反向地址解析协议(R ARP )。在IPv4中,这些 协议用于计算IP地址与本地链路网络地址的关联,换言之,以以太网为例,这些协议将节 点的以太网MAC地址链接到I P地址。这些协议的必要性在于,节点要计算出将I P包使 用链路层发往同一本地子网的哪一个节点。ARP简单易行,它可在以太网和任一使用4 8位MAC地址的
12、网络媒体上执行,也可用于 任意长度的MAC地址。在IPv6中没有继续使用ARP有如下原因:首先,ARP依赖于IPv6和使用组播的ICMP v6报文。这意味着,没有必要为使用ARP的每 个不同类型网络都重新构造ARP,任一支持IPv6和组播的节点应该也支持邻居发现。对组 播的支持很重要,在链路层更是如此。和广播一样,组播在诸如以太网之类的支持多路同时 访问同一媒体的网络上很容易实现。但是,对于所谓的非广播多址接入(NBMA )网络,例如 ATM和帧中继,组播则很难处理。这些NBMA网络依赖于电路而非包,要求为将接收组播信 息的每个节点都建立一条单独的电路,这导致组播更加复杂。但是只要有机制能提供
13、组播功 能,这些网络上的节点也能够支持邻居发现,而无需显式建立ARP之类的服务。3.1地址解析(Address Resolu tion )中的邻居发现协议除多播地址以年,节点在仅仅知道邻居节点IP地址的情况下,通过邻居请求报文和邻 居公告报文,得到邻居的链路层地址的过程,就是地址解析。节点的地址解析由发送多播邻 居请求报文开始,该邻居请求报文要求目标路由器返回它的链路层地址。源路由器在邻居请 求报文中包含了它自己的链路层地址,并将邻居请求报文以多播的方式发送到目标地址相关 的多播地址上;目标路由器在单播邻居公告报文中返回它自己的链路层地址。大致过程如图:被请求节点多播地址被请求节点多播地址。分
14、配给接口的一系列地址随时都可以增加、删除和修改,所以节点也必须能够随时加入新的多播地址或者离开原来的多播地址。要注意的是,多个多播地址可能 映射为同一个多播地址。但是,直到与一个多播地址相关联的同一个节点拥有的所有地址都 离开,该节点才会离开这个多播组。当一个节点要发送一个单播数据报给它的邻居节点,但又不知道其链路层地址时,就要 进行地址解析。对于具有多播能力的接口,在这种情况下,就要创建一个“不完全”状态(INCOMPLETE)邻居缓存条目,给邻居节点发送邻居请求报文,该报文被送给与目标地址相关联的被请求节点多播地址。如果发出请求的源地址与分配给输出接口的地址在的一个是同一个地址,那么地址应
15、该加入到输出请求的IP源地址之中。然而,任何一个分配给接口的 地址都应该被使用。3.2 邻居发现协议的安全问题IPv6使用邻居发现协议(Neighbor Discovery Pro toco l)来发现同一链路上的其他节 点,进行地址解析,发现链路上的路由器,维持到活跃邻居的可达信息等。邻居发现协议是 IPv6 中的一个重要协议,但同样存在很多安全隐患。利用邻居发现协议,通过发送错误的 路由器宣告、错误的重定向消息等可以让IP数据报流向不确定的地方,进而可以达到拒绝 服务、拦截和修改数据报的目的。如下图中的攻击者位于网络内部,它通过伪造的路由宣告 消息使得链路上的其他节点以它作为默认网关,数据
16、流到达攻击者后,攻击者可以查看敏感伪造路由宣告错误数据流正确数据流消息,篡改后再将数据报发往目的节点,或者直接将数据报丢弃。攻击者邻居发现协议在没有认证保护时,规定跳限制域(Hop Limit field)最大值必须是255, 这可以防止来自链路外的攻击。但这种措施对链路内发起的攻击却无能为力,而IPv6的无 状态地址自动配置恰恰为链路内攻击提供了便利。因为攻击者可以利用无状态地址自动配置 很方便地接入到同一链路上,在无线环境中尤其如此。IETF在2002年成立了安全邻居发现 协议工作组SEND(Secure Neighbor Discovery)来研究和解决邻居发现协议中的安全问题, 并于2005年3月通过了 RFC3971安全邻居发现协议协议SEND。4IPv6 的迁移由于在IPv4网络下产生的诸如IP地址资源即将枯竭及其缺乏安全保证等问题,为了彻 底解决IPv4存在的问题,IETF从19
