3 BGP隧道技术安全
BGP隧道技术通过采用三层技术构筑VPN并用BGP协议在MPLS核心交换路由信息,提供了一种IPv6孤岛互连的方法。
BGP隧道技术采用三层技术构筑的VPN具有采用二层技术构筑的VPN的所有安全特性,可以提供安全的隧道,从而防止DoS攻击以及入侵攻击。BGP隧道技术可以使用BGP中的安全特性,以及ISP域中的各种安全策略,不会引入任何新的安全问题。
4 6to4隧道技术安全
6to4技术是一种自动隧道技术,可以使不支持纯IPv6的IPv4网络上的IPv6子网或IPv6站点与其它同类站点在不能获得纯IPv6连接时,IPv6的分组被封装到IPv4的分组中来实现相互之间的通信。
6to4技术使用自动隧道,具有隧道技术所具有的弱点。如果IPv4地址被欺骗,任何人都可以向隧道内想注入多少流量就注入多少流量。
另外,如果已经使用了6to4路由器或中继,还需要注意以下危险的存在:
·对6to4伪接口的攻击。伪接口与实际接口具有同样的属性,必须加以保护。一般需要在伪接口上加载对隧道包的过滤策略,保证不受从外网发来的具有站点本地地址的包的攻击和从站点本地发出到外网的具有错误源地址的包的攻击。
·本地定向广播攻击(只针对中继)。看这样一个例子:假设中继路由器有一个地址为1.1.1.1/24的接口,现在发给中继一个包,中继将它翻译成一个广播地址发送出去,这里是1.1.1.255,这就构成了一个“本地定向广播攻击”。这个问题也可以通过访问列表控制来解决。
·业务盗用。通常情况下,如果提供严格的6to4中继业务,这不是一个大问题,可以通过小心处理路由策略来解决,如果有必要的话,还可以通过访问列表来解决。
5 6over4隧道技术安全
6over4技术把IPv4组播域作为虚拟链路层,通过把组播目的地址映射到相应的IPv4组播地址,使得没有直接与IPv6路由器相连的孤立的IPv6主机形成IPv6互联。使用6over4技术互联的主机并不需要IPv4兼容地址或者是配置的隧道。通过这种机制,IPv6可以独立于底层的链路而且可以跨越IPv4的子网。
对于6over4技术,除了需要考虑可能有IPv6攻击之外,还应该考虑对IPv4攻击的安全防范。出于效率原因方面的考虑,应该避免同时在IPv4和IPv6两个方面使用IP安全。例如,如果IPv6使用了加密,除非是通过流量分析察觉到有威胁存在,否则IPv4加密就是多余的了。如果IPv6要经过认证,IPv4的认证就很少需要了。反过来则不然,一旦IPv6流量离开了IPv6-over-IPv4域,IPv4安全并不再保护它了。因此,即使是有IPv4安全保证,仍然需要有IPv6安全保证。
6over4还有可能受到地址欺骗攻击,外部伪造的6over4包有可能侵入6over4域内。这样,边界路由器必须要丢弃组织本地范围内的源和目的多播地址的IPv4包(如果它们到达这个范围以外的物理接口的话)。为了防止单播6over4包的地址欺骗攻击,边界路由器还必须要丢弃来自于未知源的协议类型为41的IPv4包,也就是IPv6-in-IPv4 隧道必须只接受可信任来源的数据。除非是IPsec认证可用,否则最好将边界路由器配置成只接受来自于可信任范围内的源地址的协议类型为41的包。
五、技术选择策略
在所有这些过渡技术中,几乎每种技术都有自己的侧重点。其中双栈、NAT-PT、TRT、隧道代理、BGP隧道、6to4隧道、6over4隧道等技术可用于运营商网络过渡,而双栈、DSTM、SIIT、BIS、SOCKS64、BIA、ISATAP等技术可用于企业网络和主机过渡。但是,如果考虑到网络安全问题,就需要慎重选择使用那些技术了。
对于运营商网络来讲,
·双栈:不论是用于运营商的骨干网还是接入网,路由器和接入服务器一般都需要具有双栈能力。但需要注意的是,双栈技术不能独立使用,必须与其他技术相结合,而且在使用时还要注意一定在IPv4 和IPv6两个方面都要加载基本过滤功能。
·NAT-PT:对于IPv4/IPv6网络互通是一个较完整的解决方案,可用于接入网络以及纯IPv6网络与IPv4网络之间的互通。它可以严格限制外部主机对内部网络的访问,而且当NAT路由器内进行动态地址分配时,也增加了攻击者侵入NAT域内特定主机的难度,可以使用。但需要注意的是,NAT-PT在采用网络层加密和数据完整性保护的环境下将不能工作,而且在应用层就包含了IP地址的传输层和应用层的安全也同样无法实现。
·TRT:技术特点与NAT-PT类似,可以使用。但由于存在数据被恶意的攻击者中继到一个特定的IPv4目的地的危险,因此需要加载一些访问控制策略。
·隧道代理:虽然可用于独立的小型IPv6站点接入,但是由于隧道自动切断等问题还没有较好的解决方案,使用率呈下降的趋势,所以建议暂时不要使用。
·BGP隧道:采用了三层技术构筑的VPN,具有采用二层技术构筑的VPN的所有安全特性,可以提供安全的隧道,可以使用BGP中的安全特性,以及ISP域中的各种安全策略,不会引入任何新的安全问题,适合用于运营商的骨干网络,推荐使用。
·6to4隧道:虽然在实现IPv4网络中的IPv6网络互联时消耗的IPv4地址很少,但是,由于存在对6to4伪接口的攻击、本地定向广播攻击和业务盗用的危险,在使用时需要加载一系列的安全策略。如果能够进行手工配置隧道或者本地IPv6,建议还是避免使用。
·6over4隧道:6over4隧道可以采用一定的策略来保证网络安全,但是该技术要求IPv4网络支持组播,应用范围有限,建议尽量不要使用。
对于企业网络和主机来讲,
·双栈:不管是企业网络还是主机,都需要与其他技术相结合使用。
·DSTM:虽然DSTM技术可以节省大量的IPv4地址,也不会破坏端到端的网络安全,但是由于它目前还处于IETF草案阶段,而且存在有严重的DTI问题,容易受到DoS攻击,建议在没有引入TSP之前,建议尽量不要使用。
·SIIT:仅是一种翻译算法,而且AH不能通过翻译器,在采用网络层加密和数据完整性保护的环境下不可用,建议尽量不要使用。
·BIS:同种协议之间的通信可以在所有层面上实施安全策略,但是在异种协议之间的通信不能实施网络层的安全,建议尽量不要使用。
·SOCKS64:安全方面的特点与SOCKSv5相一致,可以使用。
·BIA:运行IPv4应用的主机和其他IPv6主机通信时,可以利用网络层的安全策略(例如IPsec),可以使用。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
