论文部分内容阅读
摘要:隧道技术是IPv4网络向IPv6网络过渡初期三项重要技术之一。该文主要介绍IPv6自动隧道技术的几种实现机制,且对其安全性进行了分析,并提出了合理的解决策略。
关键词:IPv6;隧道技术;实现机制;安全性
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2011)09-2010-02
IPv6协议的报头较为简化,扩展也较为灵活,地址结构层次化较为清晰,使用联网方便快捷,网络层拥有更为严谨的认证与加密,能够为移动通讯提供更好的支持。该协议为IPv4协议中地址严重不足、即时应用性能差和安全性能不稳定等问题。所以解决两个协议的过渡成为如今的热点,目前双栈技术、网络地址/协议转换技术和基于IPv4网络的IPv6隧道技术是解决该问题的主要技术。隧道技术以较完善的IPv4协议的主干网络作为隧道,通过该隧道将孤岛式的IPv6网络连接起来,是最易于采用的技术。其中的自动隧道应用起来也较为方便,其网络安全性作为衡量网络健壮程度的重要指标更加值得分析。
1 隧道技术概念及其工作机制
隧道技术指将一种协议报文对另一种协议报文进行封装,并通过借助该协议进行通信的技术。IPv6隧道技术即是IPv4报文将IPv6报文封装在其中,使得IPv6通过IPv4网络进行通信的技术。
IPv6隧道技术工作机制如下:在隧道的入口处(起始端),将IPv6的数据报文封装进IPv4中,并且将隧道入口和出口的IPv4地址作为IPv4报文的源地址和目的地址;当到达隧道出口时,根据指令将IPv6报文取出转发给目的站点。
2 隧道技术的分类
根据隧道在IPv6数据报传输路径上所处位置的不同,可分为以下四种类型:1)主机至主机隧道;2)主机至路由器隧道;3)路由器至主机隧道;4)路由器至路由器隧道。
根据实现方式可将隧道分为手工配置隧道和自动隧道。手工配置隧道由处在隧道端点的网络管理员对于两端的IPv4源地址和目标地址进行手工配置,隧道起点必须存储和维护每一个隧道终点的IPv4地址信息,常用于经常通信的站点之间;自动配置隧道是动态地建立和拆除,并且根据分组的目的地址来确定端点地址,常用于单独的主机或者不经常通信的站点之间。自动隧道通常有隧道代理、6 to 4、ISATAP、6 over 4等方式。
3 自动隧道技术的实现机制及安全性分析
自动隧道技术实现的关键在于如何确定隧道起点和终点IPv4地址,一般需通过如下方式确定。
3.1 隧道代理
1)隧道代理原理
隧道代理(Tunnel Broker)的特点是灵活、可操作性强,针对性强,其主要目的是简化配置流程。通俗地讲,TB可看作是虚拟的IPv6服务提供商,借助Web网络将IPv6地址分配给用户,隧道即被建立,通过它IPv6节点之间即能通信。隧道代理的工作流程为:TB为客户端提供注册,客户在网络注册后,隧道代理将隧道服务器、前缀等配置信息提供给客户,并最后通知用户。
2)隧道代理技术安全
在隧道代理体系中,TB和DNS之间、TB和隧道服务器之间以及TB和客户之间均需要使用安全机制。使用隧道代理会产生认证问题、隧道自动切断问题及过滤和统计问题。
3.2 6 to 4隧道
1)6 to 4隧道原理
6 to 4隧道是点到多点的自动隧道,主要用于在没有Internet提供商提供IPv6服务的情况下,借助IPv4主干网络连接多个孤立的IPv6网络。6 to 4隧道利用IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。这种隧道中有一台中继路由器作为网关实现该隧道的中继功能,使得6 to 4即使在更加复杂的IPv6路由环境下仍可以完成通信。
2)6 to 4隧道技术安全
6 to 4技术属于自动隧道技术,也自然存在隧道技术的所有弱点。一旦隧道中的IPv4地址被欺骗,则任何人都可以将冗余流量注入隧道内。除此之外,使用6 to 4中继路由器,还会存在针对中继器的本地定向广播攻击、对6 to 4伪接口的攻击和盗用业务等危险。
3.3 ISATAP隧道
1)ISATAP隧道原理
ISATAP隧道通过嵌入在IPv6报文目的地址中的IPv4地址,可自动获取隧道终端。ISATAP隧道使用时,要采用特殊的ISATAP地址格式对隧道接口的IPv6地址和IPv6报文的目的地址进行表征。该隧道不要求隧道节点的IPv4地址具有全球唯一性,所以,可用在局域网络中各双栈主机之间进行IPv6通信。使用
ISATAP隧道时,要求必须有主机的IPv4地址。该隧道的优点在于对主机的配置简便、易操作,只要确定隧道对端路由器接口的IPv4地址即可。
2)ISATAP技术安全
ISATAP隧道技术最容易受到地址欺骗的攻击。如防范不当,则可以很容易地将大量的协议类型为41的数据包,通过地址欺的骗攻击方式肆意注入至ISATAP链路中。同时,由于该隧道站点内在同一个IPv6链接上连接了所有ISATAP主机,主机之间通过ISATAP链路传输的包又不经过处于站点边缘的ISATAP路由器,因此,即使可以监控流量,但是根本无法监控和排除出现内部攻击的可能性。
3.4 6 over 4隧道
1)6 over 4隧道原理
6 over 4是一种采用邻居发现的方法确定隧道端点的IPv4地址的隧道机制。采用这种机制的前提是IPv4网络基础设施能够支持IPv4多播,并且多播的范围可以是具有全球唯一性的的IPv4地址网络,也可以选取一个私有IPv4网络的一部分。该隧道优点是IPv6站点不需要手工配置,也不需要采用嵌入IPv4兼容地址即可实现连接,这种隧道适用于物理链路上没有直接与IPv6路由器连接的孤立的IPv6主机,使得它们能够通过作为虚拟链路的IPv4广播域,成功完成IPv6站点间的连接。
2)6 over 4隧道技术安全
6 over 4技术与前几种机制比较,除了需要考虑防范IPv6攻击的可能性之外,还应该考虑防范IPv4的攻击性。为了节省资源提高利用率,应该避免同时在IPv4和IPv6两个方面使用IP安全保证。如果在IPv6使用时加了密,除非是通过流量分析察觉到威胁存在,否则不必对IPv4进行加密,反过来则不然,因为,即使对IPv4加了密,有了安全保证,但仍然需要有IPv6安全保证。另外,该机制也同样有可能受到地址欺骗攻击,外部伪造的6 over 4包有可能侵入6 over 4域内。为了防止6over4包的地址欺骗攻击,除非是IPSec认证可用, 否则边界路由器必须要丢弃来自于未知源的协议类型为41的IPv4包,只接受来自可信任范围的数据包。
4 隧道机制的安全威胁及解决方法
隧道技术作为IPv4向IPv6过渡的最重要技术之一,其安全性直接关系到网络的安全,也是能否保证网络正常运行的根本,实践证明可以采用以下措施来解决以上机制中的安全威胁:
1)制定安全的组网方案
坚持“防胜于治”的理念,在进行网络组织设计时要尽量考虑周全,尤其将安全性问题重点商榷。通常为了防止IPv4网络中的双栈主机对隧道站点中的IPv6网络造成攻击,可以将IPv4网络与IPv6网络进行有效隔离。
2)融安全技术于一体
尽管目前IPv6网络安全维护的专业设备已经被开发并使用,但是仅仅将设备堆砌起来是不能解决根源问题的。安全应该是实体的网络基础架构与网络安全技术的融合体,通过专业的IPv6网络安全设备,将二者结合起来,形成更加牢固更加安全的有机整体。只有基础架构、专业安全设备和安全技术三者之间密切配合、融合才能有效地解决安全问题。
3)重视安全管理
在好的组网方案和安全架构有机体基础上,要加强安全管理和维护,制定日常维护安全规则,普及安全意识,及时进行安全漏洞监测,并做好安全事件应急准备工作,为网络安全提供进一步的保证。
5 结束语
IPv6隧道技术的各种具体实现机制在适用范围和安全特性等方面不尽相同,各有优劣。因此,为了保障网络的安全性,应该根据实际的情况进行实现机制的选择,随着网络技术的不断更新,IPv6隧道技术也将有更进一步的发展。
参考文献:
[1] 付爱英,曾勍炜,徐知海,等.IPv6隧道技术及其安全性分析[J].计算机与现代化,2006(03):76-79.
[2] 戴彬,钱德沛,刘铁,等.IPv4/IPv6协议过渡機制的实验研究[J].微电子学与计算机,2004(09):21-24.
[3] 刘伟杰,张娟.基于IPv4/IPv6隧道技术的NAT研究[J].计算机与数字工程,2008,36(08):177-179.
关键词:IPv6;隧道技术;实现机制;安全性
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2011)09-2010-02
IPv6协议的报头较为简化,扩展也较为灵活,地址结构层次化较为清晰,使用联网方便快捷,网络层拥有更为严谨的认证与加密,能够为移动通讯提供更好的支持。该协议为IPv4协议中地址严重不足、即时应用性能差和安全性能不稳定等问题。所以解决两个协议的过渡成为如今的热点,目前双栈技术、网络地址/协议转换技术和基于IPv4网络的IPv6隧道技术是解决该问题的主要技术。隧道技术以较完善的IPv4协议的主干网络作为隧道,通过该隧道将孤岛式的IPv6网络连接起来,是最易于采用的技术。其中的自动隧道应用起来也较为方便,其网络安全性作为衡量网络健壮程度的重要指标更加值得分析。
1 隧道技术概念及其工作机制
隧道技术指将一种协议报文对另一种协议报文进行封装,并通过借助该协议进行通信的技术。IPv6隧道技术即是IPv4报文将IPv6报文封装在其中,使得IPv6通过IPv4网络进行通信的技术。
IPv6隧道技术工作机制如下:在隧道的入口处(起始端),将IPv6的数据报文封装进IPv4中,并且将隧道入口和出口的IPv4地址作为IPv4报文的源地址和目的地址;当到达隧道出口时,根据指令将IPv6报文取出转发给目的站点。
2 隧道技术的分类
根据隧道在IPv6数据报传输路径上所处位置的不同,可分为以下四种类型:1)主机至主机隧道;2)主机至路由器隧道;3)路由器至主机隧道;4)路由器至路由器隧道。
根据实现方式可将隧道分为手工配置隧道和自动隧道。手工配置隧道由处在隧道端点的网络管理员对于两端的IPv4源地址和目标地址进行手工配置,隧道起点必须存储和维护每一个隧道终点的IPv4地址信息,常用于经常通信的站点之间;自动配置隧道是动态地建立和拆除,并且根据分组的目的地址来确定端点地址,常用于单独的主机或者不经常通信的站点之间。自动隧道通常有隧道代理、6 to 4、ISATAP、6 over 4等方式。
3 自动隧道技术的实现机制及安全性分析
自动隧道技术实现的关键在于如何确定隧道起点和终点IPv4地址,一般需通过如下方式确定。
3.1 隧道代理
1)隧道代理原理
隧道代理(Tunnel Broker)的特点是灵活、可操作性强,针对性强,其主要目的是简化配置流程。通俗地讲,TB可看作是虚拟的IPv6服务提供商,借助Web网络将IPv6地址分配给用户,隧道即被建立,通过它IPv6节点之间即能通信。隧道代理的工作流程为:TB为客户端提供注册,客户在网络注册后,隧道代理将隧道服务器、前缀等配置信息提供给客户,并最后通知用户。
2)隧道代理技术安全
在隧道代理体系中,TB和DNS之间、TB和隧道服务器之间以及TB和客户之间均需要使用安全机制。使用隧道代理会产生认证问题、隧道自动切断问题及过滤和统计问题。
3.2 6 to 4隧道
1)6 to 4隧道原理
6 to 4隧道是点到多点的自动隧道,主要用于在没有Internet提供商提供IPv6服务的情况下,借助IPv4主干网络连接多个孤立的IPv6网络。6 to 4隧道利用IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。这种隧道中有一台中继路由器作为网关实现该隧道的中继功能,使得6 to 4即使在更加复杂的IPv6路由环境下仍可以完成通信。
2)6 to 4隧道技术安全
6 to 4技术属于自动隧道技术,也自然存在隧道技术的所有弱点。一旦隧道中的IPv4地址被欺骗,则任何人都可以将冗余流量注入隧道内。除此之外,使用6 to 4中继路由器,还会存在针对中继器的本地定向广播攻击、对6 to 4伪接口的攻击和盗用业务等危险。
3.3 ISATAP隧道
1)ISATAP隧道原理
ISATAP隧道通过嵌入在IPv6报文目的地址中的IPv4地址,可自动获取隧道终端。ISATAP隧道使用时,要采用特殊的ISATAP地址格式对隧道接口的IPv6地址和IPv6报文的目的地址进行表征。该隧道不要求隧道节点的IPv4地址具有全球唯一性,所以,可用在局域网络中各双栈主机之间进行IPv6通信。使用
ISATAP隧道时,要求必须有主机的IPv4地址。该隧道的优点在于对主机的配置简便、易操作,只要确定隧道对端路由器接口的IPv4地址即可。
2)ISATAP技术安全
ISATAP隧道技术最容易受到地址欺骗的攻击。如防范不当,则可以很容易地将大量的协议类型为41的数据包,通过地址欺的骗攻击方式肆意注入至ISATAP链路中。同时,由于该隧道站点内在同一个IPv6链接上连接了所有ISATAP主机,主机之间通过ISATAP链路传输的包又不经过处于站点边缘的ISATAP路由器,因此,即使可以监控流量,但是根本无法监控和排除出现内部攻击的可能性。
3.4 6 over 4隧道
1)6 over 4隧道原理
6 over 4是一种采用邻居发现的方法确定隧道端点的IPv4地址的隧道机制。采用这种机制的前提是IPv4网络基础设施能够支持IPv4多播,并且多播的范围可以是具有全球唯一性的的IPv4地址网络,也可以选取一个私有IPv4网络的一部分。该隧道优点是IPv6站点不需要手工配置,也不需要采用嵌入IPv4兼容地址即可实现连接,这种隧道适用于物理链路上没有直接与IPv6路由器连接的孤立的IPv6主机,使得它们能够通过作为虚拟链路的IPv4广播域,成功完成IPv6站点间的连接。
2)6 over 4隧道技术安全
6 over 4技术与前几种机制比较,除了需要考虑防范IPv6攻击的可能性之外,还应该考虑防范IPv4的攻击性。为了节省资源提高利用率,应该避免同时在IPv4和IPv6两个方面使用IP安全保证。如果在IPv6使用时加了密,除非是通过流量分析察觉到威胁存在,否则不必对IPv4进行加密,反过来则不然,因为,即使对IPv4加了密,有了安全保证,但仍然需要有IPv6安全保证。另外,该机制也同样有可能受到地址欺骗攻击,外部伪造的6 over 4包有可能侵入6 over 4域内。为了防止6over4包的地址欺骗攻击,除非是IPSec认证可用, 否则边界路由器必须要丢弃来自于未知源的协议类型为41的IPv4包,只接受来自可信任范围的数据包。
4 隧道机制的安全威胁及解决方法
隧道技术作为IPv4向IPv6过渡的最重要技术之一,其安全性直接关系到网络的安全,也是能否保证网络正常运行的根本,实践证明可以采用以下措施来解决以上机制中的安全威胁:
1)制定安全的组网方案
坚持“防胜于治”的理念,在进行网络组织设计时要尽量考虑周全,尤其将安全性问题重点商榷。通常为了防止IPv4网络中的双栈主机对隧道站点中的IPv6网络造成攻击,可以将IPv4网络与IPv6网络进行有效隔离。
2)融安全技术于一体
尽管目前IPv6网络安全维护的专业设备已经被开发并使用,但是仅仅将设备堆砌起来是不能解决根源问题的。安全应该是实体的网络基础架构与网络安全技术的融合体,通过专业的IPv6网络安全设备,将二者结合起来,形成更加牢固更加安全的有机整体。只有基础架构、专业安全设备和安全技术三者之间密切配合、融合才能有效地解决安全问题。
3)重视安全管理
在好的组网方案和安全架构有机体基础上,要加强安全管理和维护,制定日常维护安全规则,普及安全意识,及时进行安全漏洞监测,并做好安全事件应急准备工作,为网络安全提供进一步的保证。
5 结束语
IPv6隧道技术的各种具体实现机制在适用范围和安全特性等方面不尽相同,各有优劣。因此,为了保障网络的安全性,应该根据实际的情况进行实现机制的选择,随着网络技术的不断更新,IPv6隧道技术也将有更进一步的发展。
参考文献:
[1] 付爱英,曾勍炜,徐知海,等.IPv6隧道技术及其安全性分析[J].计算机与现代化,2006(03):76-79.
[2] 戴彬,钱德沛,刘铁,等.IPv4/IPv6协议过渡機制的实验研究[J].微电子学与计算机,2004(09):21-24.
[3] 刘伟杰,张娟.基于IPv4/IPv6隧道技术的NAT研究[J].计算机与数字工程,2008,36(08):177-179.