NAT路由器可以与防火墙一起来做流量过滤。许多人把传统的NAT路由器看作是单向的流量过滤器,可以严格限制外部主机对内部网络的访问。而且,当NAT路由器内进行动态地址分配时,也增加了攻击者侵入NAT域内特定主机的难度。
由于NAT设备并不检查或修改传输载荷,所以在许多情况下都是对应用透明的,与IP地址无关的应用层安全技术在有NAT时可以正常工作(如TLS、SSL和ssh)。可是,在应用载荷包含IP地址或需要端到端的安全等情况下,NAT设备就不能正常工作了,所以对于传输层安全技术(如IPSec传输模式或TCP MD5签名选项)就无能为力了。
在NAT-PT和ALG协作时,可以解决涉及IP地址的应用问题,但此时安全DNS就无法使用了,而且如果NAT设备和ALG不是在同一个信任范围内,而ALG又不能检查终端用户的流量载荷,这时就会对网络安全造成严重威胁。而对于NAT路由器来说,只有在作为隧道端点时才可以使用隧道模式IPsec。由于UDP应用本来就是不安全的,加上基于UDP的多播进程也是一个安全弱点,所以需要对NAT路由器加载额外的保护措施。
3 TRT技术安全
TRT技术同NAT-PT类似,在纯IPv6主机和纯IPv4主机之间加入一个传输中继转换器,只不过它是在传输层实现IPv4的TCP或UDP与IPv6的TCP或UDP数据的对译。
同NAT-PT类似,IPsec数据包也不能通过TRT中继,TRT中继也无法使用安全DNS。
由于传输中继转换器的存在,恶意的攻击者可能会像利用SMTP一样利用TRT,公开将数据中继到一个特定的IPv4目的地。因此,TRT应当实现一些访问控制机制来预防这类事情。
4 BIA技术安全
BIA技术在双栈主机的Socket API模块与TCP/IP模块之间加入一个API翻译器,API翻译器包含域名解析器、地址映射器和函数映射器三个模块,双栈主机通过这三个模块完成与IPv6主机之间相互通信。
BIA的安全性与NAT-PT的安全性类似。差别在于BIA的地址翻译发生在API层而不是在网络层。由于这种翻译机制发生在socket API层,所以采用这种机制运行IPv4应用的主机和其他IPv6主机通信时,可以利用网络层的安全策略(例如IPsec)。因为不存在NAT-PT中的DNS-ALG,所以也不会和安全DNS产生冲突。
四、隧道机制安全分析
隧道是使用IPv6和向IPv6过渡的最有效的方法。通过在IPv4内打IPv6隧道,可以通过一个纯IPv4网络发送一个包到双栈路由器或主机,由它们去掉IPv4头并向通常一样转发或接收IPv6包。
一般情况下,都需要使用防火墙或边界路由器过滤掉一些流量。如果防火墙或边界路由器不支持IPv6,就需要通过从站点内部的一个路由器到站点外部的某个路由器建立一个隧道来获得IPv6连接了,这样这个内部路由器对于IPv6来说就变成了一个边界路由器,所以对这个路由器也需要加载过滤策略。需要注意的是,当站点内的IPv6使用一个与IPv4不同的边界路由器时,如果使用直接IPv6封装,需要保证两个IPv6隧道端点之间的路径上IP协议类型为41的包不要被滤掉;如果使用GRE封装,需要保证隧道端点之间IP协议类型为47的包不要被滤掉。
1 隧道代理技术安全
隧道代理(TB)技术提供了一种简化的隧道配置方法,它要求隧道的双方都支持双栈。通过TB,用户可以很方便地和IPv6 ISP建立隧道连接,从而访问外部可用的IPv6资源;ISP通过专用的隧道服务器提供了一种非常简捷的接入方式,并自动管理用户发出的隧道请求。
在隧道代理体系中,所有功能单元之间(包括客户和TB之间、TB和隧道服务器之间以及TB和DNS之间)都需要使用安全机制保护。在客户与TB之间,有很多的安全机制可供选择(如可以使用SSL在WEB服务器上对发送和下载进行加密,还可以使用简单的用户名/密码程序来实现访问控制,等等)。在TB与隧道服务器之间可以采用SNMP。在TB与DNS之间,如果使用动态DNS更新程序,安全性与SNMP完全相同;如果使用基于RSH命令的简便方法,也可以使用标准的IPsec。
使用隧道代理也会产生如下一些问题:
·认证问题
如果客户端的配置是通过TB提供的脚本实现的话,在执行这些脚本时就需要实现对一些接口的配置管理,所以必须给这些脚本很高的权限,这种做法显然存在安全漏洞。另外,如果隧道代理是由安装有目录型结构的组织来运作(例如大学为学生运作),就可以使用用户名/口令或组织中已经在别的业务中采用的其他认证方式;如果以前与用户没有关系,典型的做法就是让人们使用名字、e-mail地址等注册,然后用e-mail接收认证口令。这种方法有最终用户真实身份不确定的问题。
·隧道自动切断问题
如果用户使用不是静态IPv4地址的连接(如拨号),就要谨慎地自动切断隧道以防不必要地使用资源。因为用户的连接如果非正常中断了,隧道服务器会继续发送IPv6的隧道包到用户原来的IPv4地址,而这个地址可能已经被分配给另一个主机使用,这样就发生了数据泄露问题。这个问题可以通过用户端发送某类keep-alive消息来解决,但是这样可能需要在用户操作系统中安装专门的软件,用起来比较困难。另外还可以通过使用TSP,使得隧道代理能够检查隧道请求是否来自于正确的主机和路由器,并使得TEP和客户机能够检查隧道数据是否来自于公认的隧道代理,只是TSP技术目前还不完善,需要等待。
·过滤和统计问题
使用隧道代理技术时,还应该对某些IPv6包进行过滤,以防止恶意用户同时申请大量的隧道连接耗尽隧道服务器的资源,但是如果远端是多穴主机时还没有合适的过滤策略。另外还需要统计每个隧道的带宽使用情况等数据,以尽快发现是否遭到DoS攻击。
2 ISATAP技术安全
ISATAP技术使用一个内嵌IPv4地址的IPv6地址通过IPv6-in-IPv4自动隧道为IPv4站点内的双栈节点提供到IPv6路由器的接入,它允许与IPv6路由器不共享同一物理链路的双栈节点通过IPv4自动隧道将数据包送达IPv6下一跳。
由于ISATAP使用隧道,所以一般的隧道问题在这里也适用。IPv6邻居发现信任模型也适用于ISATAP。使用ISATAP技术时必须要考虑过滤问题,站点边界路由器和防火墙必须执行IPv6入口过滤、IPv4入口过滤和协议类型为41的包过滤。
另外,由于站点内的所有ISATAP主机都在同一个IPv6链接上,尽管可以像通常一样在ISATAP路由器处监控流量,但是ISATAP链路上主机之间的包并不经过该路由器,因此没有办法监控和排除出现内部攻击的可能性。所以,路由器需要在ISATAP接口上启用缓解欺诈攻击的安全机制,防止发自ISATAP站点内的源IPv6地址欺诈攻击,至少ISATAP站点的边界网关必须记录欺诈源地址的来源还是有好处的。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
