文档介绍:Ipv6的新世界
IPv6的安全特性
Michael H. Warfield
英特网安全系统
mhw@
二○○四年六月十六日
IPv6综述
将地址扩展到128比特
地址分类
IP安全性协议(以前是IPv4的一个可选协议)
服务质量分类
支持无状态和有状态两种地址自动配置的方式
动态地址重编
转换隧道和翻译
有效地防止被暴力扫描
没有广播地址
操作系统支持
微软视窗操作系统(MS WINDOWS)
- 支持Windows XP和20003 server系统
- 对于其他版本的Windows系统,可以通过免费的补丁方式获得
Unix
- Linux-最大的分类
- *BSD-BSD/OpenBSD/OSX
- Solaris-Since
- HP/UX
- AI/X
路由器和防火墙
手机
IPv6代码稳定性
IPv6已经出现好多年了
IPv6还在继续被开发
IPv6将会存在IPv4中没有的新漏洞(BUG)
几乎没有来自IP层的程序缺陷(BUG)
几乎没有来自IP层的安全漏洞
许多IPv6和IPv4非常类似
从IPv4学得的东西使得IPv6有着比IPv4更好的开端
最近,OpenBSD发现了一个基于IPv6的DOS bug
转换机构
准备升级到IPv6
准备提供通用性
为IPv4提供兼容性地址
SIT(Six in Tunnel)
6to4 自动SIT隧道
代理服务
协议主体(Protocol Bouncers)
网络地址翻译一协议翻译 NAT-PT
6over4/SIT 隧道
6over4(aka SIT)转换隧道
简易英特网转换/SIT
IPv4中的协议41(IPv6)
IPv4基础结构上的操作
静态SIT隧道使用预配置的终端
隧道代理通过SIT隧道提供IPv6
一些隧道代理适用于动态地址
Teredo/Shipworm
IPv6越过用户数据报协议UDP (默认端口: 3544/udp)
目的是越过IPv4 网络地址转换(NAT)设备,提供IPv6隧道
由于缺少IPv6支持, 通过低端路由/NAT设备,而发展起来
Windows XP自动启用IPv6
在某些域,Windows XP是禁用它的
能够绕过大部分的防火墙(对外的UDP槽)
需要一个使用IPv4并且启用Teredo的服务器
在IETF,还处于设计阶段
IP安全协议(IPsec) NAT-T
IP安全协议越过用户数据报协议UDP (默认端口: 4500/udp)
目的是提供IP安全协议隧道,越过IPv4 网络地址转换(NAT)设备
由于缺少IP安全协议支持, 通过低端路由/NAT设备而发展起来
在Windows XP, Linux和其他操作系统中都可以使用
能够绕过大部分的防火墙(IPv4,IPv6和SIT)
需要启用NAT-T的终端
两个终端都可以是NAT(需要通过)
在IETF,还处于设计阶段
PPP和IPv6
点对点协议(PPP)支持IPv6
点对点协议在许多虚拟个人网络(VPN)中被用来当做传输协议
Pptp
L2tp
PPP tunneled over stunnel
PPP tunneled over ssh
PPP tunneled over UDP (CIPE)
IPv6传输能够附加到PPP/VPN中,而不用改变IPv4的传输
本地与IPv4类似(IPv6越过PPP)
拥有隧道(SIT, 6over4,越过IPv4和PPP的Teredo)