IPv6的安全性

最新推荐文章于 2024-11-19 01:00:00 发布
最新推荐文章于 2024-11-19 01:00:00 发布
阅读量947 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: IPv6 安全 文章标签: deployment mobile 2010
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ipbaobao/article/details/5358538

 一提到了IPv6的安全性,会出现截然相反的两种态度。支持IPv6的“专家”会说“IPv6强制实现IPSec”,因此比可选实现IPsecIPv4更安全。反对的专家更是态度坚决,IPsec同时兼容于IPv4IPv6,而且虽然在IPv6中的实现是必须的, 但是否使用确实可选的。IPv6到底比IPv4更安全了还是更不安全了,迷糊了吧?

 

2010年2月,美国国家标准化研究所(NIST)发布了一篇长达175页的“安全部署IPv6指南”的研究报告,详细介绍了部署IPv6时可能会遇到的新挑战和新的安全威胁,主要内容包括:

1)IPv6简介,包括发展历史、特点和与IPv4的比较;

2)IPv6的编址、分配、包格式和ICMPv6等详细讨论;

3)IPv6高级特点和安全影响,包括Multihoming, Multicast, QoS, Mobile IPv6, Jumbo包和地址选择;

4)IPv6的一些高级安全特性,包括IPv6私有地址,IPsec, 安全无状态配置和邻居发现;

5)IPv4Ipv6的安全演进过程,包括风险讨论、编址安全、各种演进机制和迁移过程;

 

该报告还包括了一些IPv6资源的地址信息。

报告下载地址:Guidelines for the Secure Deployment of IPv6 (Draft)


IPv6安全浅析
Mlib
03-13 1万+
原文链接 :IPv6安全浅析 - Huawei - 2010.12 第52期 “缺乏安全性是互联网天生的弱点,这与是否采用IPv6关系不大。事实上,IPv6并没有引入新的安全问 题,反而由于IPSec的引入以及发送设备采用永久性IP地址而解决了网络层溯源难题,给网络安全提供了 根本的解决途径,有望实现端到端安全性。”中国电信科技委主任韦乐平这样评价IPv6安全IPv6协议设计的安全考虑 从...
IPV6安全性
积累与分享
12-23 1207
<br />现实Internet上的各种攻击、黑客、网络蠕虫病毒弄得网民人人自危,每天上网开了实时防病毒程序还不够,还要继续使用个人防火墙,打开实时防木马程序才敢上网冲浪。诸多人把这些都归咎于IPv4网络。现在IPv6来了,它设计的时候充分研究了以前IPv4的各种问题,在安全性上得到了大大的提高。但是是不是IPv6就没有安全问题了?答案是否定的。<br />  目前,病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了,因为IPv6的地址空间实在是太大了,如果这些病毒或者
IPv6新形势下的安全解决方案
cpongo011702
03-16 395
2017年底,国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,要求加快IPv6规模部署,在此形势下,网络架构、运维、安全等方面都遇到新的挑战。应用交付网络厂商F5中国总经理张毅强、CTO吴静涛等分享了他们对新形势的判断和解决方案。F5是一家提供应用交付网络服务的厂商,其产品聚焦于负载均衡、安全、应用加速等方面,包括BIG-IP LTM等硬件产品,面向客户包括政府、金融、互联网...
IPv6安全
24965459的博客
07-23 1306
IPv6作为一种IP协议,其继承了IPv6的一些特性,同时也有一些漏洞: 具体的有:应用层的漏洞,由于IP协议在应用层的下面。则其应用层的漏洞也继承                   NDP协议的漏洞,IPv6的NDP继承了很多IPv4的ARP相关的漏洞                  DHCP,由于DHCPv6没有提供认证机制,也存在伪造DHCP的风险
互联网协议第六版(IPv6)安全性分析.pdf
07-15
互联网协议第六版(IPv6)安全性分析.pdf
安全测试】谈IPv6网路之安全威胁.pdf
11-14
- **提高用户意识**:通过培训等方式提高员工对于IPv6安全性的认识,确保他们在日常工作中能够遵循最佳实践。 - **定期审计与更新**:定期对网络系统进行安全审计,及时发现并修复潜在的安全隐患;同时保持软件和...
通信与网络中的一种IPv4/IPv6安全网关的设计和实现
10-22
IPv4/IPv6安全网关设计和实现的关键在于有效连接两种协议环境,解决IPv4地址枯竭问题,同时确保网络安全。通过模块化设计和强大的管理功能,这种网关能够适应不断增长的网络需求,促进IPv6的广泛部署,为未来的...
IPv6身份验证和安全性
09-26
.。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
运营探讨--ipv6安全浅析
01-19
“缺乏安全性是互联网天生的弱点,这与是否采用IPv6关系不大。事实上,IPv6并没有引入新的安全问题,反而由于IPSec的引入以及发送设备采用永久性IP地址而解决了网络层溯源难题,给网络安全提供了根本的解决途径,有望实现端到端安全性。”中国电信科技委主任韦乐平这样评价IPv6安全IPv6协议设计的安全考虑   从协议的角度,IPv6作为IPv4的下一代,与IPv4同属于网络层的传输协议。然而,协议上最核心、最本质的差别就是地址空间的扩大,由IPv4下的32位地址空间变为128位的地址空间,这正是IPv6被选作新网络的承载协议并逐渐商用部署的根本驱动力。   IPv6拥有如此巨大的地址空间,甚至可以为每一粒沙子都分配一个IP地址。而IPv4网络的地址分配是不规则的,并且很多时候是一个地址被多台主机共用。使用IPv6之后,我们能够将每个地址指定给一个责任体,就像给每个人一个身份证号,每辆车一个车牌号一样,每个地址都是唯一的;IPv6的地址分配采用逐级、层次化的结构,这就使得追踪定位、攻击溯源有了很大的改善。   另外,IPv6提出了新的地址生成方式——密码生成地址。密码生成地址与公私钥对绑定,保证地址不能被他人伪造。这如同汽车的车牌印上了指纹,别人不可能伪造这样的车牌,因为指纹造不了假。   在IPv6协议设计之初,IPSec(IP Security)协议族中的AH(Authentication Header,报文认证头)和ESP(Encapsulation Security Payload,报文封装安全载荷)就内嵌到协议栈中,作为IPv6的扩展头出现在IP报文中,提供完整性、保密性和源认证保护,这无疑是从协议上较大地提升安全性。   整体上看,IPv4协议的设计没有任何的安全考虑,特别是报文地址的伪造与欺骗使得无法对网络进行有效的监管和控制。因此,当出现网络攻击与安全威胁时,我们只能围绕攻击事件做好事前、事中和事后的防范、检测和过滤防御,缺乏有效的技术支撑手段,无法对攻击者形成真正的打击和管控。   而在IPv6网络的安全体系下,用户、报文和攻击可以一一对应,用户对自己的任何行为都必须负责,具有不可否认性,所以IPv6建立起严密的围绕攻击者的管控机制,实现对用户行为的安全监控。 IPv6能减缓现有攻击   扫描几乎是任何攻击手段的必需前提。攻击者利用扫描收集目标网络的数据,据此分析、推断目标网络的拓扑结构、开放的服务、知名端口等有用信息,以作为真正攻击的基础。扫描的主要目的是通过ping每个地址,找到作为潜在攻击目标的在线主机或设备。   在IPv6时代,每个地址为128位,协议中规定的默认网络前缀为64位。换句话说,就是一个网段内有264个地址,假设攻击者以10M/s的速度来扫描,也得需要大约5万年的时间才能遍历。IPv6大大增大了扫描难度,由此增加了网络攻击的成本和代价。此时,黑客如果想侵占一定数量的主机发起DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,那么其将会付出更多的代价,这在一定程度上减少了DDoS攻击发生的可能性。   IPv6协议定义了多播地址类型,而取消了IPv4下的广播地址,有效避免IPv4网络中的利用广播地址发起的广播风暴攻击和DDoS攻击。同时,IPv6协议规定了不允许向使用多播地址的报文回复ICMPv6(Internet Control Management Protocol Version 6)差错消息,因此也能防止ICMPv6报文造成的放大攻击。   IPv6下的密码生成地址是新的地址生成方式,将公私钥对中的公钥与IPv6地址进行绑定。使用此类地址,能够保证报文的源地址不被他人伪造。在这样的安全机制保护下,在网络中传输的每一个报文均对应于一台主机,如果发生任何的攻击或者违法犯罪行为,都能够根据攻击报文追踪到发出此报文的主机,进而追查到攻击者。这种可靠的追踪溯源机制,使得黑客和攻击者容易被发现,这样就减少了网络攻击发生的可能。 IPv6面临的新威胁   IPv6协议对IPv4协议的根本改变是发生在IP层,因此针对IPv6协议所定义的包头及扩展头的、容易发生的安全威胁,我们需要进行充分的准备。常见的针对IPv6扩展头的攻击,主要包括利用分片扩展头发起分片攻击,逃避防火墙/IDS(Intrusion Detection System,入侵检测系统)的检查或者发动DDoS攻击;利用路由扩展头的type 0类型,在网络中发起放大攻击。   在IPv4向IPv6的演进过程中,我们还需要考虑各种过渡技术与方案的安全隐患。由于在共存时期,IPv4网络与IPv6网络同时存在,且有互通需求,这就要求来自两
IPV6安全吗?
程序员记事本
04-03 824
疫情原因宅在家里,经过一通折腾以后联通可以分配IPV6地址了,随后想到一个问题,内网手机,平板,甚至电视等都分配IPv6地址以后相当于都有了互联网IP地址,那岂不是从外部可以直接远程攻击这些设备了吗? 找了台VPS服务器,用IPV6地址远程ping我的内网笔记本ipv6地址,可以ping通,随后尝试telnet 我的笔记本端口一下子就连上来了,乖乖,这也太不安全了吧。吓得我赶紧把路由上面的IPv6给关掉了。 ...
IPv6对网络安全的影响性分析
最新发布
S0linteeH's Blog
11-19 2199
攻击者可通过拦截类型为消息绑定更新的数据包,修改绑定关系中的转交地址。同时,翻译设备还可能遭遇地址池耗尽攻击,若IPv6攻击者向IPv4服务器发送互通请求,但每条请求都具有不同的IPv6地址,则每条请求都将消耗一个地址池中的IPv4地址,当出现大量该类请求时,便会将地址池耗尽,使得翻译设备不再接受进一步的请求。攻击者可向节点发送大量不完整的分段集合,强迫节点等待片段集合的最后片段,节点在超时时间内由于只接收到部分IPv6片段进而无法完成重组,最终只能将数据包丢弃,在超时等待期间,会造成存储资源的消耗。
关于IPv6安全网络的架构分析问题(出处:赛迪网)
van150
01-23 1412
IPv6首先解决了IP地址数量短缺的问题,其次,对于IPv4协议中诸多不完善之处进行了较大更改。其中最为显著的就是将IPSec(IPSecurity)集成到协议内部,从此IPSec将不单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分。   IPv6安全机制  IPv6安全机制主要表现在以下几个方面:(1)将原先独立于IPv4协议族之外的报头认证和安全信息封装作为IPv
IPV6安全计划
weixin_34008933的博客
02-14 394
第6章IPV6安全计划 如果计划在你的网络中引进一个新的网络层协议,必然会引起安全团队的重视。事实上,在你的网络中可能早已拥有了一些试图连接网络资源的IPv6寻址设备。因此,作为引进IPv6计划的重要组成部分,更新你的安全策略就非常关健了。本章主要从安全的视角来探讨IPv4和IPv6之间的差异,并突出了在更新安全策略时需要考虑的一些关键点。 6.1好消息:IP依然是IP 如同IPv4,IP6是...
IPv6:不发展才是最大的不安全
王以山的专栏
10-15 1727
关于IPv6安全性,业界一直存在诸多质疑,甚至在某种程度上阻碍了IPv6 的部署。IPv6 真的很不安全吗?或者,IPv6 真的比IPv4 更不安全吗?围绕这一问题,记者走访了有关专家。   “ 互联网的安全问题永远存在,魔高一尺、道高一丈,所以只能在发展中求安全。”邬贺铨
十分钟了解IPv6升级改造安全优势
HUANGXIN9898的博客
10-17 719
相信的地址数量优势已为大家熟知,丰沛的地址存量是IPv6被选作新一代网络承载协议并逐渐商用部署的根本驱动力。然而IPv6协议相比于IPv4,不仅地址数量接近无限,还在网络安全性方面更胜一筹。本文将为您集中介绍。IPv6的地址空间巨大,当下为了节省IPv6公网地址而被运营商广泛使用的NAT技术将不再是必须。IPv6终端之间可以直接建立点对点连接,无需地址转换,因此IPv6地址非常容易溯源。IPv6地址分为64位的网络前缀和64位的接口地址。
IPv4和IPv6网络协议的比较及其对网络安全的影响
YtyVerilog的博客
09-23 540
IPv4是互联网最早的协议,而IPv6是IPv4的升级版。IPv6相比IPv4具有更高的可扩展性、更高的安全性和更好的QoS(Quality of Service)等特点。IPv6地址长度远远超过IPv4地址长度,因此IPv6地址空间可以提供更多的IP地址,这是IPv6相对于IPv4的一个重要优势。IPv6地址的长度也增加了地址的复杂度,这使得IPv6地址更难以遭受攻击。IPv6相比IPv4具有更高的可扩展性、更高的安全性和更好的QoS等特点,但也有一些可能会增加网络安全风险的因素。
IPv6安全威胁与缓解策略
这份'IPv6 Security.pdf'资料是理解IPv6安全性的宝贵资源,它涵盖了从基础到进阶的各种主题,对于网络管理员、安全专家和任何关注网络基础设施安全的人来说都具有很高的价值。通过这份文档,读者可以更好地了解IPv6...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值