购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.2 传统威胁防护方法的优缺点

1.2.1 传统网络所面临的威胁

1.传统网络的主要威胁

传统IPv4网络所面临的威胁主要有对网络中信息的威胁和对网络中设备的威胁两种,其中,部分威胁种类由于IPv6下一代互联网协议的改进已经得到抑制或缓解,但与此同时,IPv6协议新建立的通信机制也会产生新的威胁。影响传统计算机网络的安全因素有很多,其所面临的威胁也就来自多个方面。

(1)人为失误:如操作员安全配置不当造成的安全漏洞;用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享,都会对网络安全带来威胁。IPv6下一代互联网络同样面临类似的安全威胁。

(2)信息截取:通过信道进行信息的截取,获取机密信息,或通过信息的流量分析,以及通信频度、长度分析,推导出有用信息,这种方式不破坏信息的内容,不易被发现。这种方式是在过去军事对抗、政治对抗和当今经济对抗中最常用的,也是最有效的方式之一。IPv6下一代互联网由于采取了 IPSec 加密技术,通过AH、ESP实现载荷加密传输,因此,虽然传输过程中的信息截取变得更为困难,但并不比IPv4传统网络安全。黑客利用过渡技术,通过欺骗的方式加入双栈、协议转换类型的网关,将可以实现对传输信息的截取,类似地,利用社会工程、伪造身份等攻击方式,黑客可以通过伪造的用户身份和数字证书解密所传输的数据,还可以通过攻击网络中需要获得数据内容的应用层网关或防火墙、防病毒网关等设备获取信息。

(3)内部窃密和破坏:内部或本系统的人员通过网络窃取机密、泄露或更改信息及破坏信息系统。美国联邦调查局的一项调查显示,70%的攻击是从内部发动的,只有30%是从外部攻进来的。如上所述,利用伪装的双栈、协议转换网关等设备、伪造的用户身份及攻击需要解析传输数据的网关或网络安全设备,在IPv6网络中,攻击者仍然可以在内部网络主机上实现窃密和数据破坏。

(4)黑客攻击:黑客已经成为网络安全的最大隐患。近年来,特别是2000年2月7~9日,美国著名的雅虎、亚马逊等八大顶级网站接连遭受来历不明的电子攻击,导致服务系统中断,这次攻击给这些网站造成的直接经济损失达12亿美元,间接经济损失高达10亿美元。在IPv6网络中,实际上面临着更严峻的黑客攻击。

(5)技术缺陷:由于认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,由此可造成网络的安全隐患。另外,网络硬件、软件产品多数依靠进口,如全球90%的计算机都装微软的Windows操作系统,许多网络黑客就是通过微软操作系统的漏洞和后门而进入网络的,这方面的报道经常见诸报端。在IPv6网络中,由于引进了海量的智能移动设备、工业智能化装备及各类物联网设备,这些设备的软/硬件类型更为复杂,操作系统类型远超传统网络的Windows、Linux和UNIX等类型,任何环节的设计漏洞都可能成为网络的安全隐患。

(6)病毒:1988年报道第一例病毒(蠕虫病毒)侵入美国军方互联网,导致8500台计算机染毒和6500台停机,造成直接经济损失近1亿美元,此后这类事情此起彼伏,从2001年红色代码到2012年的冲击波和震荡波等病毒发作情况看,计算机病毒感染方式已从单机被动传播变成了利用网络的主动传播,不仅带来了网络的破坏,而且造成网上信息的泄露,特别是在专用网络上,病毒感染已成为网络安全的严重威胁。另外,对网络安全的威胁还包括自然灾害等不可抗力因素。

2.网络攻击的主要方式

目前主流网络攻击技术分类层次结构如图1-5所示。

如图1-5所示,从攻击者的角度出发,攻击的步骤可分为探测(Probe)、攻击(Exploit)和隐藏(Conceal)。攻击技术分类方法据此分为探测技术、攻击技术和隐藏技术三大类,并在每类中对各种不同的攻击技术进行细分。

1)探测(Probe)技术

探测是黑客在攻击开始前必需的情报收集工作,攻击者通过这个过程需要尽可能多地了解攻击目标安全相关方面的信息,以便能够攻击。探测又可以分为三个基本步骤:踩点、扫描和查点。

踩点指攻击者结合各种工具和技巧,以正常、合法的途径对攻击目标进行窥探,对其安全情况建立完整的剖析图。常用的方法有通过搜索引擎对开放信息源进行搜索、域名查询、DNS 查询、网络勘察等。

图1-5 网络攻击技术分类层次结构

扫描则是攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术。扫描技术包括 Ping 扫描(确定哪些主机正在活动)、端口扫描(确定有哪些开放服务)、操作系统辨识(确定目标主机的操作系统类型)和安全漏洞扫描(获得目标上存在着哪些可利用的安全漏洞)。著名的扫描工具包括nmap、netcat 等,知名的安全漏洞扫描工具包括开源的 nessus 及一些商业漏洞扫描产品,如ISS的Scanner系列产品。

查点是攻击者常采用的从目标系统中抽取有效账号或导出资源名的技术,查点的信息类型大体可以归纳为网络资源和共享资源、用户和用户组、服务器程序等三类。

2)攻击(Exploit)技术

在攻击阶段,攻击者通过探测阶段掌握的有关攻击目标的安全情况选择不同的攻击方法来达成其攻击目的。攻击方法层出不穷,但可以将其归为以下四类,即窃听技术、欺骗技术、拒绝服务和数据驱动攻击。

① 窃听技术指攻击者通过非法手段对系统活动进行监视从而获得一些安全关键信息。目前属于窃听技术的流行攻击方法有键击记录器、网络监听、非法访问数据和攫取密码文件。键击记录器是植入操作系统内核的隐蔽软件,通常实现为一个键盘设备驱动程序,能够把每次键击都记录下来,存放到攻击者指定的隐藏的本地文件中。著名的有Win32平台下适用的IKS等。

攻击者一旦在目标网络上获得一个立足点,网络监听则是刺探网络情报的最有效方法,通过设置网卡的混杂(promiscuous)模式获得网络上所有的数据包,并从中抽取安全关键信息,如明文方式传输的口令。UNIX 平台下提供了libpcap网络监听工具库和tcpdump、dsniff 等著名监听工具,而在Win32平台下也拥有WinPcap监听工具库和windump、dsniff forWin32、sniffer等免费工具,还拥有大量简单易用的商业监听产品,如Sniffer Pro。

非法访问数据指攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。攫取密码文件是攻击者进行口令破解、获取特权用户或其他用户口令的必要前提,关键的密码文件如Win9x下的PWL文件、WinNT/2000下的SAM文件和UNIX平台下的/etc/password和/etc/shadow文件。

② 欺骗技术是攻击者通过冒充正常用户以获取对攻击目标的访问权或获取关键信息的攻击方法,属于此类的有获取口令、恶意代码、网络欺骗等攻击手法。

获取口令有通过默认口令、口令猜测和口令破解三种途径。某些软件和网络设备在初始化时会设置默认的用户名和密码,意在允许厂家有能力绕过被锁闭或遗忘的管理员账号,但这些默认口令也给攻击者提供了最容易利用的脆弱点。口令猜测则是历史最为悠久的攻击手段,由于用户普遍缺乏安全意识,不设密码或使用弱密码的情况随处可见,这也为攻击者进行口令猜测提供了可能。口令破解技术则提供了进行口令猜测的自动化工具,通常需要攻击者首先获取密码文件,然后遍历字典或高频密码列表,从而找到正确的口令。著名的工具有John the Ripple、Crack和适用于Win32平台的L0phtcrack等。

恶意代码包括特洛伊木马应用程序、邮件病毒、网页病毒等,通常冒充有用的软件工具、重要的信息等,诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制,在启动后暗地里安装邪恶的程序或破坏性软件,通常为攻击者给出能够完全控制该主机的远程连接。

网络欺骗指攻击者通过向攻击目标发送冒充其信任主机的网络数据包达到获取访问权或执行命令的攻击方法。具体的有IP 欺骗、会话劫持、ARP(地址解析协议)重定向和RIP(路由信息协议)路由欺骗等。

IP 欺骗是攻击者将其发送的网络数据包的源 IP 地址篡改为攻击目标所信任的某台主机的IP 地址,从而骗取攻击目标信任的一种网络欺骗攻击方法。通用应用于攻击UNIX平台下通过IP 地址进行认证的一些远程服务(如rlogin、rsh等),也常应用于穿透防火墙。

会话劫持指攻击者冒充网络正常会话中的某一方,从而欺骗另一方执行其所要的操作。目前较知名的如 TCP 会话劫持,通过监听和猜测 TCP 会话双方的 ACK,插入包含期待 ACK 的数据包,能够冒充会话一方,达到在远程主机上执行命令的目的。支持TCP会话劫持的工具有最初的Juggernaut产品和著名的开源工具Hunt。

ARP提供将IP地址动态映射到MAC地址的机制,但ARP机制很容易被欺骗,攻击主机可以发送假冒的ARP回答给目标主机发起的ARP查询,从而使其错误地将网络数据包都发往攻击主机,导致拒绝服务或中间人攻击。

RIP由于其v1没有身份认证机制,v2使用16字节的明文密码,因此攻击者很容易发送冒充的数据包欺骗 RIP 路由器,使之将网络流量路由到指定的主机而不是真正希望的主机,达到攻击的目标。

③ 拒绝服务攻击指中断或完全拒绝对合法用户、网络、系统和其他资源服务的攻击方法,被认为是最邪恶的攻击,其意图就是彻底地破坏,而这往往比真正取得它们的访问权要容易得多,所需的工具在网络上也唾手可得。因此拒绝服务攻击,特别是分布式拒绝服务攻击,对目前的互联网络构成了严重的威胁,造成的经济损失也极为巨大。

拒绝服务攻击按其攻击形式划分为导致异常型拒绝服务攻击、资源耗尽型拒绝服务攻击、欺骗型拒绝服务攻击。另外,分布式拒绝服务攻击(DDoS)采用资源耗尽型攻击方式,但由于其特殊性,我们将其另归为一类。

导致异常型拒绝服务攻击利用软/硬件实现上的编程缺陷导致其出现异常,从而使其拒绝服务。例如著名的Ping of Death攻击和利用IP协议栈对IP分片重叠处理异常的Treadrop攻击。

资源耗尽型拒绝服务攻击则通过大量消耗资源使得攻击目标由于资源耗尽而不能提供正常的服务。视资源类型的不同可分为带宽耗尽攻击和系统资源耗尽攻击两类。带宽耗尽攻击的本质是攻击者通过放大等技巧消耗目标网络的所有可用带宽,如著名的Smurf攻击,冒充目标网络向多个广播地址发送ping包,造成数量庞大的ping响应湮没攻击目标网络。

系统资源耗尽攻击指对系统内存、CPU或程序中的其他资源进行消耗,使其无法满足正常提供服务的需求。著名的Syn Flood攻击即是通过向目标服务发送大量的 syn 包,造成服务的连接队列耗尽,无法再为其他正常的连接请求提供服务。

分布式拒绝服务攻击则通过控制多台傀儡主机,利用它们的带宽资源集中向攻击目标发动总攻,从而耗尽其带宽或系统资源的攻击形式。如图1-6所示,DDoS攻击的第一步是瞄准并获得尽可能多的傀儡主机的系统管理员访问权,然后上传DDoS攻击并运行,大多数DDoS守护进程运行方式的监听发起攻击指令,收到后并向指定的目标网络发动flood攻击。目前著名的DDoS工具有TFN(Tribe FloodNetwork)、TFN2K、Trinoo、WinTrinoo和Stacheldraht等。

图1-6 DDOS攻击原理

④ 数据驱动攻击是通过向某个程序发送数据以产生非预期结果的攻击,通常为攻击者给出访问目标系统的权限。数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击和信任漏洞攻击等。

缓冲区溢出攻击可追溯到1988年臭名昭著的Morris蠕虫,但其真正为众人所知是在1996年11月Aleph One发表经典文章“Smashing The Stack For Fun and Profit” [5] 之后。缓冲区溢出攻击的原理是通过往程序的缓冲区写入超出其边界的内容,造成缓冲区溢出,使得程序转而执行其他攻击者指定的代码(通常是为攻击者打开远程连接的 ShellCode),以达到攻击目标。最初的缓冲区溢出攻击仅限于 UNIX 平台,大量缓冲区溢出漏洞被发掘并给出攻击脚本,著名的服务程序如Apache、Wuftpd、Sendmail、OpenSSH等都曾被发掘出缓冲区溢出漏洞。而Win32平台由于内存地址含有空字节造成缓冲区截断、操作系统会修改废弃的缓冲区等,给缓冲区溢出攻击造成了一些困难,但1999年IIS4.0远程攻击代码的作者darkspyrit AKA Barnaby Jack在Phrack Magzine(第55期)上提出了使用系统核心DLL中的“jmpesp”指令来完成到Shellcode跳转的天才想法,从此开创了Win32平台下缓冲区溢出的新思路,大量Windows平台下的缓冲区溢出漏洞也被利用,近年来著名的蠕虫如Code-Red、SQL.Slammer、Blaster和Sasser都是通过缓冲区溢出攻击来获得系统管理员权限并进行传播的。

格式化字符串攻击主要利用由于格式化函数的微妙程序设计错误造成的安全漏洞,通过传递精心编制的含有格式化指令的文本字符串,以使目标程序执行任意命令。

输入验证攻击针对程序未能对输入进行有效的验证的安全漏洞,使得攻击者能够让程序执行指定的命令。最为著名的是1996 年的PHF 攻击,PHF 是早期Apache Web 服务器的一个标准CGI 脚本,由于其没有确切地分析并验证输入的有效性,导致其会以运行Web 服务器程序的用户ID 的特权执行攻击者指定的任何命令。

同步漏洞攻击利用程序在处理同步操作时的缺陷,如竞争状态、信号处理等问题,以获取更高权限的访问。

信任漏洞攻击是利用程序滥设的信任关系获取访问权的一种方法,著名的有 Win32平台下互为映像的本地和域 Administrator 凭证、LSA 密码(Local Security Authority)和UNIX平台下SUID权限的滥用和XWindows系统的xhost认证机制等。

3)隐藏(Conceal)技术

攻击者在实现其攻击目标(如获得root权限)后,通常会采取隐藏技术来消除攻击留下的蛛丝马迹,避免被系统管理员发现,同时还会尽量保留隐蔽的通道,使其以后还能轻易地重新进入目标系统。隐藏技术主要包括日志清理、安装后门和内核套件等。

日志清理主要对系统日志中攻击者留下的访问记录进行清除,从而有效地抹除自己的行动踪迹。UNIX平台下较常用的日志清理工具包括zap、wzap、wted和remove。攻击者通常在获得特权用户访问权后会安装一些后门工具,以便轻易地重新进入或远程控制该主机,著名的后门工具包括BO(Back Orifice)、netbus和称为“TCP/IP瑞士军刀”的netcat等;攻击者还可以对系统程序进行特洛伊木马化,使其隐藏攻击者留下的程序、运行的服务等。内核套件则直接控制操作系统内核,给攻击者提供一个完整的隐藏自身的工具包,著名的有 knarkfor Linux、Linux Root Kit及Win32平台下的NT/2000 rootkit。

目前复杂的攻击工具往往融合了多种不同的攻击技术,特别是计算机蠕虫等能够自动运行、传播并造成破坏的Agent。蠕虫指的是能够在网络上完全地复制自身的独立可执行代码,而病毒则需要宿主程序通过某种方式将其激活。蠕虫技术融合了自复制技术、扫描技术及缓冲区溢出等攻击技术。著名的蠕虫有1988年的Morris蠕虫、2001年的Code-Red蠕虫、2003年的SQL Slammer蠕虫和Blaster蠕虫、2004年的Sasser蠕虫等。目前的病毒也逐渐融入一些网络攻击技术,如著名的Nimda病毒通过电子邮件、共享目录及主动攻击IIS缓冲区溢出漏洞等方式达到广泛传播的效果。

3.下一代互联网产生的新安全威胁

1)下一代互联网IPSec安全机制

IPv6基本头部报文格式如表1-1所示。IPv6报文格式基本头部的固定长度:IPv6的基本报文头长度固定为40字节,选项和填充从基本报文头中去除了。

版本(4位):IP版本,设置为6。

流量类型(8位):执行与IPv4头部中的服务类型相同的功能。

流标签(20位):用于标识一个流,其目的是:不需要在分组中进行深度搜索,路由器就能识别应该以类似方式处理的分组。字段由源设置,在转发路由上不应该被修改。

净荷长度(16位):因为头部长度固定为40字节,所以指明净荷长度就能确定这个分组的长度。

下一个头部(8位):本字段扩展了IPv4头部中协议号的功能。

跳数限制(8位):该字段类似于IPv4的TTL。它定义了IP数据报文所能经过的最大跳数。

源IPv6地址(128位)。

目的IPv6地址(128位)。

表1-1 IPv6基本头部报文格式

IPv6扩展报文头是跟在 IPv6基本报文头后面的可选报文头。由于在 IPv4的报文头中包含了所有的选项,因此每个中间路由器都必须检查这些选项是否存在。在IPv6中,相关选项被移到了扩展报文头中。中间路由器不必处理每一个可能出现的选项(在IPv6中,每个中间路由器必须处理的扩展报文头只有逐跳选项报头)。这种处理方式提高了路由器处理数据报文的速度,也提高了其转发性能。扩展报文头有以下几类:

● 逐跳选项报头(Hop-by-Hop Options Header);

● 目的选项报头(Destination Options Header);

● 路由报头(Routing Header);

● 分段报头(Fragment Header);

● 认证报头(Authentication Header);

● 封装安全有效载荷报头(Encapsulating Security Payload Header)。

IPSec的安全主要由IP的认证报头AH(Authentication Header,RFC 2402中描述)、封装安全载荷ESP(Encapsulating Security Payload,RFC 2406中描述)、安全连接SA(Security Associations,RFC 2401中描述)和密钥管理协议IKMP(Internet Key Management Protocol,RFC 2408中描述)四部分来实现。它能够为IPv6提供可交互操作的、高质量的基于加密的安全服务,这种安全服务包括访问控制、无连接的完整性、数据源认证、抗重播(replay)保护(序列完整性(sequence integrity)的一个组成部分)、保密性和有限传输流保密性在内的服务。

IPv6/IPSec安全机制框架如图1-7所示。

图1-7 IPv6/IPSec安全机制框架

认证报头是IPv6的一个安全扩展报头,IPv6的认证主要由认证报头AH来完成(认证报头AH为IP数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况)。认证报头AH通过在所有数据包头加入一个密钥,对用户进行认证。这种认证是IP数据包通过一定加密算法得出的编码结果,相当于对IP数据包进行数字签名,利用只有密钥持有人才知道的“数字签名”来对用户进行认证。同时这种签名还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。

认证报头AH可被独立使用,或与IP封装安全载荷 ESP 相结合使用,或通过使用隧道模式的嵌套方式使用。在应用中,它经常和无连接完整性服务结合,这为IP数据包提供完整性和数据来源验证,防止反重放攻击,避免IP欺骗攻击。IPv6通过认证报头AH使数据包的接收者可以验证数据是否真的是从它的源地址发出的,并提供密码验证或完整性测试。为IP数据报头和上层协议提供足够多的无连接的完整性验证、数据源认证、选择性抗重播服务。

IPsec 由四部分构成(见图1-8):负责密钥管理的 Internet 密钥交换协议(IKEP,Internet Key Exchange Protocol)、负责将安全服务与使用该服务的通信流相联系的安全关联(SA,Security Associations)、直接操作数据包的认证头协议(AH,IP Authentication Header)和安全载荷协议(ESP,Encapsulating Security Payload),以及若干用于加密和认证的算法。

图1-8 IPSec安全处理流程

(1)IKE安全机制与处理流程。

IKE属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式。

IKE使用了两个阶段的ISAKMP:第一阶段,协商创建一个通信信道(IKE SA),并对该信道进行验证,为双方进一步的 IKE 通信提供机密性、消息完整性及消息源验证服务;第二阶段,使用已建立的IKE SA建立IPsec SA(V2版本中称为Child SA)。

IKE共定义了5种交换方式。阶段1有两种模式的交换:对身份进行保护的“主模式”交换及根据基本ISAKMP文档制订的“野蛮模式”交换。阶段2交换使用“快速模式”交换。IKE自己定义了两种交换:1为通信各方间协商一个新的Diffie-Hellman组类型的“新组模式”交换;2在IKE通信双方间传送错误及状态消息的ISAKMP信息交换,如图1-9所示。

图1-9 IKE交换机制与流程

ISAKMP报文一般利用UDP协议传输,端口号为500。ISAKMP报头(见表1-2)有固定格式,需要添加在每个IKE报文上进行交换;提供对会话的验证和版本信息、交换类型等的说明。

表1-2 ISAKMP报头格式

ISAKMP报头之后是各类载荷头,载荷头的格式见表1-3。

表1-3 ISAKMP载荷头格式

载荷头之后是载荷内容。载荷的类型见表1-4。

表1-4 ISAKMP载荷类型值

续表

① IKE第一阶段。

主模式交换工作步骤如下。

(A)策略协商,在这一步中,就四个强制性参数值进行协商。

● 加密算法:选择DES或3DES。

● hash算法:选择MD5或SHA。

● 认证方法:选择证书认证、预置共享密钥认证或Kerberos v5认证。

● Diffie-Hellman组的选择。

(B)DH交换。

在彼此交换过密钥生成“材料”后,两端主机可以各自生成完全一样的共享“主密钥”,保护紧接其后的认证过程。

(C)认证。

DH交换需要得到进一步认证,如果认证不成功,通信将无法继续下去。“主密钥”结合在第一步中确定的协商算法,对通信实体和通信信道进行认证。在这一步中,整个待认证的实体载荷,包括实体类型、端口号和协议,均由前一步生成的“主密钥”提供机密性和完整性保证。

野蛮模式交换工作步骤如下。

野蛮模式交换也分为三个步骤,但只交换三条消息:头两条消息协商策略,交换Diffie Hellman公开值必需的辅助数据及身份信息;第二条消息认证响应方;第三条消息认证发起方,并为发起方提供在场的证据。

② IKE第二阶段。

第二阶段协商消息受第一阶段SA保护,任何没有第一阶段SA保护的消息将被拒收,步骤如下。

(A)策略协商,双方交换保护需求如下。

● 使用哪种IPSec协议:AH或ESP。

● 使用哪种HASH算法:MD5或SHA。

● 是否要求加密,若是,选择加密算法:3DES或DES。在上述三方面达成一致后,将建立起两个SA,分别用于入站和出站通信。

(B)会话密钥“材料”刷新或交换。

在这一步中,将生成加密 IP 数据包的“会话密钥”。生成“会话密钥”所使用的“材料”可以和生成第一阶段SA中“主密钥”的相同,也可以不同。如果不做特殊要求,只需要刷新“材料”后生成新密钥即可。若要求使用不同的“材料”,则在密钥生成之前,先进行第二轮的DH交换。(新组交换:通信双方通过新组模式交换协商新的 Diffie-Hellman 组。新组模式交换属于一种请求/响应交换。发送方发送提议的组的标识符及其特征,如果响应方能够接收提议,就用完全一样的消息应答。)

(C)SA和密钥连同SPI,递交给IPSec驱动程序。

第二阶段协商过程与第一阶段协商过程类似,不同之处在于:在第二阶段,如果响应超时,则自动尝试重新进行第一阶段SA协商。

第一阶段SA建立起安全通信信道后保存在高速缓存中,在此基础上可以建立多个第二阶段SA协商,从而提高建立SA的速度。只要第一阶段SA不超时,就不必重复第一阶段的协商和认证。允许建立的第二阶段SA的个数由IPSec策略属性决定。

(2)AH的实现。

AH报文格式见表1-5,其具体结构如下。

● Next Header(下一个报头):识别下一个使用IP协议号的报头,如Next Header值等于“6”,表示紧接其后的是TCP报头。

● Length(长度):AH报头长度。

● Security Parameters Index(SPI,安全参数索引):这是一个为数据报识别安全关联的32位伪随机值。SPI值0被保留来表明“没有安全关联存在”。

● Sequence Number(序列号):从1开始的32位单增序列号不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。检查接收端校验序列号为该字段值的数据包是否已经被接收过,若是,则拒收该数据包。

● Authentication Data(AD,认证数据):包含完整性检查和。接收端接收数据包后,首先执行 HASH 计算,再与发送端所计算的该字段值比较,若两者相等,表示数据完整,若在传输过程中数据遭修改,两个计算结果不一致,则丢弃该数据包。

表1-5 AH报文格式

AH报头插在IP报头之后,在TCP、UDP或ICMP等上层协议报头之前。一般AH为整个数据包提供完整性检查,但如果IP报头中包含“生存期(Time To Live)”或“服务类型(Type of Service)”等值可变字段,则在进行完整性检查时应将这些值可变字段去除。

IPv6通过AH使数据包的接收者可以验证数据是否真的是从它的源地址发出的,并提供密码验证或完整性测试。默认它使用了一个加密的MD5算法,但是由于检验的机制与所使用的具体算法无关,任何实现都可以根据需要选用任何算法,如Sun公司将发布的v6.0 IPv6 Prototype就采用了MD5验证报头。

AH的安全作用如下。

● 为IP数据包提供强大的完整性服务,这意味着AH可用于对IP数据包所承载的数据进行验证。

● 为IP数据包提供强大的身份验证,这意味着AH可用于将实体与数据包的内容相关联。

● 如果在完整性服务中使用了公钥数字签名算法,AH可以为IP数据包提供不可抵赖服务。

● 通过使用顺序号字段来防止重放攻击。

AH可以在隧道模式和传输模式下使用,这意味着它既可用于为两个节点间的简单直接的数据包传送提供身份验证和保护,又可用于对发给安全性网关或由安全性网关发出的整个数据包流进行封装。在传输模式中,AH 保护初始 IP数据包的数据,也保护在逐跳转发中不变化的部分IP报头,如跳转极限字段或选路扩展报头。当 AH 用于隧道模式中时,初始的目的 IP 地址与整个初始 IP数据包一起封装在全新的IP数据包中,该数据包再被发送到安全性网关。因此,整个初始IP数据包及传送中不变的封装IP报头部分都得到了保护。

(3)ESP的实现。

ESP包含报头和报尾两部分。

① ESP报头(96b)。

● Security Parameters Index(SPI,安全参数索引,32b):为数据包识别安全关联。

● Sequence Number(序列号,32b):从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过,若是,则拒收该数据包。

● 初始化向量(IV,32b):某些加密算法需要使用IV,这种特殊加密算法必须定义IV的位置,IV是受保护数据的第一个8位组。

② ESP报尾。

● Padding(填充项):0~255字节。DH算法要求数据长度(以位为单位)模512为448,若应用数据长度不足,则用扩展位填充。

● Padding Length(填充项长度,8b):接收端根据该字段长度去除数据中的扩展位。

● Next Header(下一个报头,8b):如果在通道模式下使用 ESP,这个值就会是4,表示IP-in-IP。如果在传送模式下使用ESP,这个值表示的就是它背后的上一级协议的类型,如TCP对应的就是6。

● 验证数据:验证数据字段用于容纳数据完整性的检验结果—通常是一个经过密钥处理的散列函数。

表1-6 ESP报文格式

ESP为IP数据包提供完整性检查、认证和加密,可以看作“超级AH”,因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联(SA)是可选的。然而,也有一些限制:完整性检查和认证一起进行;仅当与完整性检查和认证一起时,“重播(Replay)”保护才是可选的;重播保护只能由接收方选择。ESP加密服务是可选的。ESP报头插在IP报头之后,在TCP或UDP等传输层协议报头之前。

● 认证。ESP认证报尾的完整性检查部分包括ESP报头、传输层协议报头、应用数据和ESP报尾,但不包括IP报头,因此ESP不能保证IP报头不被篡改。

● 加密。ESP加密部分包括上层传输协议信息、数据和ESP报尾。

注意 :虽然机密性和验证两者都是可选的,但是不能两者都被不选,必须选择它们其中之一。

由于协议分析仪或“sniffer”的大量使用,恶意的用户可以截取网络上的数据包并可以从中窃取数据。所以,除了认证之外,IPv6还提供了一个标准的扩展头—封装化安全净荷(ESP),在网络层实现端到端的数据加密,以对付网络上的监听。

ESP报头提供了几种不同的服务,其中某些服务与AH有所重叠:

● 通过加密提供数据包的机密性;

● 通过使用公共密钥加密对数据来源进行身份验证;

● 通过由AH提供的序列号机制提供对抗重放服务;

● 通过使用IPSec安全网关来提供有限的业务流机密性。

ESP使用的默认密码算法是密码分组链接方式的数据加密标准(DES-CBC)。任何其他适当的算法(如各种RSA算法等)也可以使用。它可以在主机之间或安全网关之间使用,以保证更多的安全。与AH类似,ESP既可用于隧道模式,又可用于传输模式。使用隧道模式时,ESP报头对整个IP数据包进行封装,并作为IP报头的扩展将数据包定向到安全性网关。在传输模式中,ESP加密传输层协议报头(如TCP、UDP或ICMP等)和数据部分。

ESP报头可以和AH结合使用。实际上,如果ESP报头不使用身份验证机制,建议将AH和ESP报头一起使用。在传输模式中,如果有AH,则IP报头及选路扩展报头或分段扩展报头都在AH之前,其后跟随ESP报头,这样,首先进行身份验证,然后对ESP解密。任何目的地选项报头可以在ESP报头之前,也可以在ESP报头之后,或者ESP报头前后都有,而ESP报头之后的扩展头将被加密。

通过对IPv6所提供的新的安全机制的介绍,可以看出,IPv6可以进行身份认证,并且可以保证数据包的完整性和机密性,所以在安全性方面IPv6有了质的飞跃。

2)基于IPv6的下一互联网存在的安全威胁

从IPv6的主要技术特点和 IPsec 安全机制来看,基于IPv6的下一代互联网的有了长足的进步,可以说在网络层安全机制是相当完善的。但是,并不能说IPv6已经可以确保网络系统的安全了。这里面有很多原因,最重要的是,安全问题包含着各个层次、各个方面的问题,不是仅由一个安全的网络层就可以解决得了的。如果黑客从网络层以上的应用层发动进攻,如利用系统缓冲区溢出或木马,纵使再安全的网络层也于事无补。即使仅从网络层来看,IPv6也不是十全十美的。它毕竟同IPv4有着极深的渊源。与IPv4协议相比,IPv6提供了更大的地址空间、集成的安全性、简易的配置和更简洁的报头结构。在 IPv6中IPSec是一个必需的组成部分,使得网络层的安全性得到了增强,但IPv6并未要求强制实施IPSec协议,而且IPSec对PKI基础设施的依赖、可扩展问题和效率问题,使得IPSec在实际IPv6 网络环境中极少部署。

由于IP网络根本的数据传输机制没有改变,IPv6网络面临着许多与IPv4 网络相同的攻击,如报头处理和分片攻击、地址欺骗、地址解释和 DHCP 攻击、蠕虫和病毒攻击等。同时,由于协议自身的特性,IPv6还存在许多新的安全威胁,如IPv6的网络侦察、第三层地址欺骗与地址的隐私扩展、ICMPv6相关安全攻击、IPv6扩展头部的安全、隧道的安全等。随着IPv6在校园网中的广泛部署,IPv6 网络的安全问题日益突出。因此,IPv6并没有解决所有的网络安全问题,各种网络威胁仍然存在,如网络攻击病毒和蠕虫攻击,这种看起来简单的的网络攻击行为,在IPv6的网络中仍将存在。另外,一些攻击方法仍然无法有效防止,如拒绝服务攻击、针对协议本身的SYN flood攻击、口令攻击、利用缓冲区溢出的攻击等。同时,一些网络资源滥用,信息审计滞后。网络内部用户恶意行为和管理上的漏洞都将严重威胁下一代互联网的安全。

IPv6网络安全新威胁主要分为两类:一类是IPv6协议栈实现上的漏洞产生的威胁,如苹果Mac OS X操作系统的IPv6套接字选项拒绝服务攻击漏洞(CVE-2010-1132)、Linux 内核 IPv6分片标识远程拒绝服务攻击漏洞(CVE-2011-2699),攻击者可以利用这些漏洞发起攻击,针对这类安全威胁,用户应及时升级和更新系统;另一类是IPv6协议特有的新威胁,如IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等。下面介绍几种典型的IPv6 网络安全威胁。

(1)IPv6的网络侦查。

网络侦察往往是攻击的第一步,但是巨大的IPv6地址空间使得传统的网络地址段ping扫描在IPv6网络中是非常困难的。然而这并不能说明在IPv6 网络中无法进行扫描攻击,攻击者可以通过利用安全性较差路由器上的ND 缓冲、DNS、易于记忆的地址(如::1、::IPv4等)和采集数据包分析等方式实施攻击。另外,IPv6组播机制使得某些扫描变得更容易,如所有路由器、所有DHCP服务器。典型的IPv6网络扫描技术包括以下几种。

① 搜集IPv6前缀信息。

攻击者通过观察路由信息,如捕获路由器定期发送的 RA 报文或伪造一个RS报文发送给所有路由器,然后观察路由器回复的RA报文;或者利用互联网注册机构分配地址空间的信息学习到一些IPv6 前缀信息。

② DNS查询。

通过DNS公告的服务器可以很容易通过DNS查询得到对应的IPv6地址。而且如果管理者使用顺序的方式为主机分配地址,那么只发布一个服务器地址就可能威胁到其他主机。

③ 应用日志文件分析。

攻击者通过分析日志文件可以获得IPv6地址,如Web站点的日志文件、P2P连接的日志文件。

④ 隧道地址分析。

攻击者通过分析网络使用的过渡方法(如6to4 隧道、ISATAP隧道、Teredo隧道或其他技术)确定目标节点的地址。例如,有些操作系统的6to4实现默认使用的地址为2002:V4ADDR::V4ADDR,如果攻击者发现目标机的IPv4地址,就有可能分析对应的IPv6地址。

⑤ 虚假路由通告。

攻击机通过向目标网络发送目标地址为节点组播地址(FF02::1)的虚假路由通告报文,攻击者通过分析地址重复检测(DAD)的组播报文,可获得目标网络活动主机的IPv6地址。

(2)IPv6的邻接点欺骗攻击。

IPv6的邻居发现协议(ND)使ND协议集成了IPv4中一些协议的功能,如IPv4地址解释协议(ARP)、ICMP路由发现功能和ICMP重定向功能,并增加了一些新的功能,如网络前缀地址发现、链路参数发现和地址自动配置等。ND 协议主要的安全威胁可以分为以下三种类型:拒绝服务攻击(DoS)、地址欺骗攻击和路由器欺骗攻击。ND协议安全威胁主要有以下几种。

① 邻居请求和通告欺骗。攻击者可以通过发送包含虚假MAC地址的邻居请求(NS)报文或邻居通告(NA)报文更新被攻击者的邻居缓存,导致被攻击者将报文转发到虚假MAC地址。

② 地址重复检测的拒绝服务攻击。攻击者通过发送虚假的NA消息响应子网内所有的重复地址发现的NS请求报文,使被攻击节点无法获得地址,进而实现重复地址发现的拒绝服务攻击。

③ 邻居不可达发现欺骗。攻击者持续发送虚假的NA邻居通告报文来响应目标节点的邻居探测NS报文。

④ 路由器通告欺骗。攻击者发送虚假的路由器通告报文响应目标节点的路由器请求报文,以欺骗目标节点选择虚假的路由器作为默认路由器。

⑤ 虚假路由参数欺骗。攻击者通过发送包含恶意参数的虚假路由器报文来控制或破坏目标节点的通信。

⑥ 虚假的重定向消息。攻击者假冒链路上的路由器做源地址发送虚假的重定向消息给目标节点。

(3)IPv6隧道的攻击。

在IPv4和IPv6共存的过渡阶段,提出了多种隧道机制,各种各样隧道机制的引入为网络环境增添了新的复杂性,也带来了新的安全隐患。因隧道机制的加入而产生安全的威胁主要有以下几种。

① 通过隧道避开安全检测。隧道机制的加入给很多已存在的安全措施带来了新的挑战,包括绕过访问控制列表及基于网络的源路由控制等。

② 隧道机制新特性带来的新威胁。例如Teredo隧道会在NAT设备上开放一个端口以方便远程访问隧道客户端,但也为攻击者提供了可以利用的入口;来自ISATAP网络外部的欺骗攻击,攻击者可将大量的协议类型为41的虚假数据包注入ISATAP网络;6to4机制本身设计成会接受和试图解封装所有的IPv4包,这让欺骗攻击更容易发生。

③ 隧道地址带来的新威胁。由于很多隧道机制使用一组固定范围的地址,如6to4隧道有自己特殊的地址前缀,这使得猜测隧道地址变得相对容易。

④ 针对隧道端点服务器的攻击。隧道端点服务器是隧道机制中的重要安全环节,如果攻击者修改隧道服务器的配置或进行DOS 攻击,将带来一系列安全问题。

(4)IPv4/v6双协议栈的安全威胁。

双协议栈是一种重要的 IPv6过渡方法,许多操作系统默认支持双协议栈,这也使得双协议栈主机不但同时面临IPv4和IPv6两个逻辑通道的安全威胁,也面临双协议的混合攻击。在没有部署IPv6的IPv4网络中,由于部分操作系统默认启动了IPv6自动地址配置功能,使得IPv4子网内也存在隐蔽的IPv6链路,攻击者可以利用此IPv6链路在子网内实施各种攻击。

IPv6虽然增强了网络的安全特性,但由于实施复杂等原因,IPSec在当前的IPv6网络中并未得到广泛使用,IPv6的网络安全问题日益突出,这里针对IPv6的新特性,介绍了IPv6的网络侦察、邻接点欺骗攻击、IPv6隧道攻击等典型的IPv6 网络安全新威胁,以便人们在设计、部署和维护 IPv6 网络中,运用正确的网络安全配置和策略,提高IPv6 网络的安全。

(5)IPv6编址机制的安全威胁。

IPv6中流量窃听将成为攻击者安全分析的主要途径,面对庞大的地址空间,漏洞扫描、恶意主机检测等安全机制的部署难度将激增。IPv6引入了IPv4兼容地址、本地链路地址、全局聚合单播地址和随机生成地址等全新的编址机制。其中,本地链路地址可自动根据网络接口标识符生成而无须DHCP自动配置协议等外部机制干预,实现不可路由的本地链路级端对端通信,因此移动的恶意主机可以随时连入本地链路,非法访问甚至是攻击相邻的主机和网关。

(6)IPv6中PKI管理的安全隐患。

IPv6网络管理中的PKI管理是一个悬而未决的问题,必须首先考虑PKI系统本身的安全性。在应用上存在一些需要解决的主要问题:必须解决数字设备证书与密钥管理问题;IPv6网络中用户数量庞大,设备规模巨大,证书注册、更新、存储、查询等操作频繁,于是要求PKI能够满足高访问量的快速响应并提供及时的状态查询服务;IPv6中认证实体规模巨大,单纯依靠管理员手工管理将不能适应现实需求,同时为了保障企业中其他服务器的安全,要制定严格而合理的访问控制策略,来掌控各类用户对PKI系统和其他服务器的访问。

(7)IPv6组播技术缺陷的安全隐患。

组播报文是通过UDP(用户数据报协议)进行传输的,所以它缺乏TCP(传输控制协议)所提供的可靠传输的功能。组播的开放性使通信数据缺乏机密性和完整性的安全保护,而IPv6组播所需的MLD等组播维护协议不能满足安全的需要。IP 组播使用UDP,任何主机都可以向某个组播地址发送UDP包,并且低层组播机构将传送这些UDP包到所有组成员。由于在IPv6组播通信中,任何成员都可以利用MLD报文请求临近的路由加入组播群组,组播加入成员的约束机制很匮乏,无法保证通信的机密性,因此,对机密数据的窃听将非常容易。

在下一代互联网中其他普遍存在的安全问题大致如下。

(1)最普及的网络攻击行为是病毒和蠕虫,尽管IPv6的地址空间很大,以致病毒或蠕虫无法通过扫描地址段的方式来找到有可乘之机的其他主机。然而,IPv6网络中的关键主机仍将存在,如一些DHCP服务器、DNS,路由器的IPv6地址仍将容易被周知,从而这些关键主机容易被攻击,它们的安全问题仍然存在。所以,对于关键主机的安全需要特别重视,不然黑客就会从这里入手从而进入整个网络。另外,基于应用层的病毒和蠕虫仍将存在,电子邮件的病毒还会继续传播。

(2)拒绝服务攻击(Distributed Denial of Service)。它的攻击目的不在于窃取信息,而是要使攻击对象(设备或网络)无法正常动作。在IPv6网中,由于组发地址定义方式给攻击者带来了更多机会。例如,IPv6地址 FF01::1是所有的DHCP服务器,也就是说,如果向这个地址发布一个IPv6报文,这个报文可以到达网络中所有的 DHCP 服务器,所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。

(3)因为IPv6的地址是128位的,很不好记,网络管理员可能会常常使用好记的IPv6地址,这些好记的IPv6地址可能会被编辑成一个类似字典的东西,病毒找到IPv6主机的可能性小,但猜到IPv6主机的可能性会大一些。而且由于IPv6和IPv4要共存相当长一段时间,很多网络管理员会把IPv4的地址放到IPv6地址的后32位中,黑客也可能按照这个方法来猜测可能的在线IPv6地址。

(4)由于IPv6引进了加密和认证,从而需要一定的计算量。为了安全,密钥需达到一定的长度(如128bit),密钥越长,加密的计算量越大,尤其是公钥系统更需要巨大的计算量。这可能又为攻击者人为创造了新的攻击方式。就目前来看,网络发展的趋势是带宽的增长速度远远大于CPU主频的增长速度。如果黑客向目标发送大量貌似正确而实际上随意填充的加密数据包,被害者就有可能由于消耗了大量的CPU时间用于检验错误的数据包而不能响应其他用户的请求,造成拒绝服务。

(5)针对TCP协议本身的攻击,如SYN Flood攻击。在SYN Flood攻击中,黑客机器向受害主机发送大量伪造源地址的TCP SYN报文,受害主机分配必要的资源,然后向源地址返回SYN+ACK包,并等待源地址端返回ACK包。由于源地址是伪造的,所以源地址端永远都不会返回ACK报文,受害主机继续发送SYN+ACK 包,并将半连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认重传次数,但是由于端口的半连接队列的长度是有限的,如果不断地向受害主机发送大量的TCP SYN报文,半连接队列就会很快填满,服务器拒绝新的连接,将导致该端口无法响应其他机器的连接请求,最终使受害主机的资源耗尽。这基于TCP协议本身的机制漏洞,IPv6并不能解决这方面的攻击。

(6)由于IPv6主要在IP层引入重要的加密机制,尽管在一定程度上能为传输层、应用层加密、身份认证提供方便,但是IPv6并不能根本上解决所有的安全问题。因而在基于IPv6的下一代互联网仍存在许多攻击。显而易见,任何针对应用层(如web服务器、数据库服务器等)的攻击都将仍然有效。

(7)以下这些网络攻击技术,不管是在IPv4网络中还是在IPv6网络中都存在,需要引起高度重视。

● 报文侦听:虽然IPv6提供了IPSec作为保护报文的工具,但由于公钥和密钥的问题,在没有配置 IPsec 的情况下,偷看 IPv6的报文仍然是可能的。

● 应用层的攻击:显而易见,任何针对应用层(如Web服务器、数据库服务器等)的攻击都将仍然有效。

● 中间人攻击:虽然IPv6提供了IPsec,还是有可能遭到中间人的攻击,所以应尽量使用正常的模式来交换密钥。

● 洪水攻击:不论是在IPv4还是在IPv6网络中,向被攻击的主机发布大量的网络流量的攻击将一直存在,虽然在IPv6中,追溯攻击的源头要比在IPv4中容易一些。

● DDoS攻击:IPv6互联网相对于当前的IPv4互联网更易受到分布式拒绝服务(DDoS)攻击。

1.2.2 传统的网络威胁防护方法的缺陷

很多人认为“安全性”就是下一代互联网和IPv6的一大优势。的确,IPv6解决了很多IPv4难以解决的安全问题,但它又引进了新的安全风险。

首先,从IPv6和IPv4各自提供的服务对比中就能够发现,IPv4的设备并不具备一些 IPv6“新防护”的特性与功能,这就造成了网络迁移过程中的安全隐患。

其次,IPv6点对点的加密和数据包天生具备的灵活性会使得传统防火墙无从应对,从而使得互联网监管和审计工作深陷泥潭。此外,在 IPv6地址无限、接入终端无限的特殊环境下,超大流量洪峰也会冲击传统防火墙吞吐设计的极限。

最后,有关IPv4的漏洞补丁众多并且不断更新,但针对IPv6漏洞的补丁很少见,这一现象并不意味着 IPv6真的在安全上“天衣无缝”,恰恰相反,由于掌握操作系统和芯片核心技术的欧美国家在IPv6的应用需求上放缓,即使有漏洞也并不着急“打补丁”,加剧了下一代互联网的安全问题。

当前的网络安全体系是基于现行的IPv4协议的。当前防范黑客的主要工具有防火墙、网络扫描、系统扫描、Web安全保护、入侵检测系统等。IPv6的安全机制对它们的冲击可能是巨大的,甚至是致命的。

1.传统防火墙技术的防护缺陷

当前的防火墙有三种类型:包过滤型防火墙、应用代理型防火墙和地址转换型防火墙。除了应用代理型防火墙工作在应用层,受到IPv6的影响比较小之外,其他两种都受到了几乎致命的冲击。

地址转换型防火墙:它可以使局域网外面的机器看不到被保护的主机的 IP地址,从而使防火墙内部的机器免受攻击。但由于地址转换技术(NAT)和IPSec在功能上不匹配,很难穿越地址转换型防火墙利用IPSec进行通信。当采用AH进行地址认证时,IP报头也是认证的对象,因此不能做地址转换。当只用ESP对分组认证/加密时,因为IP报头不在认证范围内,乍一看地址转换不会出现问题,但即使在这种情况下也只能作一对一的地址转换,而不能由多个对话共用一个IP地址。这是因为ESP既不是TCP又不是UDP,不能根据端口号的不同进行区分的缘故。此外,在用UDP实现ESP的情况下,因为双方都要求源端口号和目的端口号为500(如进行地址转换就要变换端口号),所以不能正常工作。

包过滤型防火墙:基于IPv4的包过滤型防火墙是依据数据包中源端和目的端的IP地址和TCP/UDP端口号进行过滤的。在IPv4中,IP报头和TCP报头是紧连在一起的,而且其长度基本固定,所以防火墙很容易找到报头,并使用相应的过滤规则。然而在 IPv6下 TCP/UDP 报头的位置有了变化,IP 报头与TCP/UDP报头之间常常存在其他扩展报头,如路由选项报头、AH/ESP报头等。防火墙必须逐个找到下一个报头,直到TCP/UDP报头为止,才能进行过滤,这对防火墙的处理性能有很大影响。在带宽很高的情况下,防火墙的处理能力将成为整个网络的瓶颈。

使用了IPv6加密选项后,数据是加密传输的,由于IPsec的加密功能提供的是端到端的保护,并且可以任选加密算法,密钥是不公开的。防火墙根本就不能解密。因此防火墙无从知道TCP/UDP端口号。如果防火墙把所有的加密包都放行,其实也就为黑客穿越防火墙提供了一条思路:防火墙不再限制外部的用户所能访问的端口号了,也就是不能禁止外部用户访问某些本不应该对外提供的服务了。

2.传统入侵检测技术的防护缺陷

一般来说,入侵检测(IDS)是防火墙后的第二道安全屏障。按照审计数据来源的不同,IDS分为基于网络的IDS(NIDS)和基于主机的IDS(HIDS)。

NIDS直接从网络数据流中截获所需的审计数据并从中搜索可疑行为。它能够实时得到目标系统与外界交互的所有信息,包括一些很隐蔽的端口扫描和没有成功的入侵尝试;此外,由于 NIDS 不在被监视的系统中运行,并且使用被动监听的工作方式,所以它不容易被入侵者发觉,因此它所收集的审计数据被篡改的可能性很小,并且它不影响被保护的系统的性能。但是在对待被加密的IPv6数据方面,NIDS有着和包过滤防火墙同样的问题。所以,如果有黑客使用加密之后的数据包进行攻击,NIDS就很难抓到蛛丝马迹了。

HIDS 运行于被保护的主机系统中,监视文件系统或操作系统(OS)及各种服务生成的日志文件,以便发现入侵踪迹。它通常作为用户进程运行,其正常运行依赖于操作系统底层的支持,与系统的体系结构有关,所以,熟练的入侵者能够篡改这些进程的输出、关闭进程,修改系统日志,甚至更换系统核心以逃避检测。

除此之外,基于主机的HIDS只能知道它所保护的主机的信息,却很难收集到其他主机的信息,甚至由于它运行在应用层而很难得到底层的网络信息。并且,HIDS自身的安全直接依赖于它所在的主机的安全,如果主机被攻破了,HIDS报警的正确性就很值得怀疑。

3.传统取证技术的安全缺陷

在网络遭到入侵后,取证和查找原因也是相当关键的。但是,对于使用了带有加密选项的IPv6协议进行通信的主机几乎无证可取、无据可查。防火墙和基于网络的入侵检测系统不明白受害机器在做什么,所有保护主机的工作几乎都交给了 HIDS,而被攻破的主机上还能留下多少可信的证据,没有人能知道。保护用户的秘密和保护主机的安全之间变成了一对矛盾。

4.传统流媒体技术的安全缺陷

1)SIP协议传输层协议(TLS)安全缺陷

当SIP采用TLS的时候,最大的问题是不能基于UDP。TLS要求面向连接的底层通信协议。对于TLS来说,在本地外发proxy服务器或注册服务器上的大量UA,维持很多并发TLS长连接是一件费力的事情。维持冗余的TLS长连接,特别是当UA独立负责连接时,会很耗资源,容易出现容量问题。

2)SIP协议REGISTER信令的拒绝服务攻击缺陷

SIP 中的 REGISTER 请求用来增加、删除、查询绑定资料。注册服务器一定需要按照接收到的REGISTER请求顺序进行处理。这为REGISTER的拒绝服务提供了条件。另外,SIP 中没有强制规定发送 REGISTER 请求的等待时间,这样会提高网络的负载,为REGISTER洪水攻击提供了条件。

3)SIP协议SUBSCRIBE信令的拒绝服务攻击缺陷

对一个SUBSCRIBE发出一个SUBSCRIBE应答,以及一个或多个NOTIFY请求的工作模式是一个典型的用于拒绝服务的放大器节点的工作模式。另外,中间人(man-in-the-middle)攻击可以使用SUBSCRIBE来设置任意的订阅信息,挟持现存的订阅信息,终止订阅信息,或者修改订阅信息中的资源地址。

4)SIP消息支持扩展的安全威胁

SIP 消息支持扩展,且在 SIP 扩展中允许使用更复杂的 SDP(Session Description Protocol,会话描述格式),必然带来扩展方面的脆弱性。

5)H.323的开放性安全威胁

H.323从总体上讲是一套开放的协议体系。设备厂家都有独立的组件来承载包括m终端登录注册、关守和信令接续。这些产品之上的操作系统都可能受到病毒和恶意攻击的影响。尤其是某些设备需要提供基于 Web 的管理界面时,会有机会采用Microsoft IIS或Apache来提供服务,而这些应用都存在安全漏洞。

6)ASN.1编码造成的安全威胁

在网络中,协议解码漏洞是比较普遍的一个安全脆弱性。在 H.323协议栈中,H.225.0协议和H.245协议中都采用了ASN.1描述语言来进行描述,由于描述的复杂性,很容易造成协议实现的漏洞。例如,在很多ASN.1的函数库中存在多次释放内存空间的可能,一个恶意的攻击者可以构造特殊的代码,导致系统拒绝服务等各种不可预测的后果。

7)端口开放的安全威胁

在H.323的会话信道建立之后,语音信号通过RTP流进行传送,采用动态端口(>1024)。动态端口不利于防火墙的穿越,而防火墙端口的开放又为其他攻击制造了更多的可能性。

而H.225中的呼叫控制信令(即Q.931)是在TCP之上的,端口El固定是1720;H.225中的RAS消息是在UDP之上的,通常端口固定为1719。由于端口的固定性,为攻击者提供了一定的便利。只要是攻击者的PC和这些应用端1:3在同一网段,就可以通过简单的扫描工具来获得更详细的信息。而向这些端口发送恶意服务请求或畸形包的请求,都有可能造成严重的后果。

1.2.3 采用下一代互联网安全隔离与信息交换技术的必要性

传统网络存在着众多安全隐患,出于安全考虑,国内外都开始考虑从根本上切断传统网络的体系架构,以牺牲实际应用的连续性、网络不连通为代价换得更高的安全保证。物理隔离技术、安全隔离与信息交换技术也随之产生。其中,安全隔离与信息交换技术因为能够提供数据交换能力,其发展势头最为活跃和持久。安全隔离与信息交换技术作为一种新兴的网络安全技术,其优良的网络安全性能越来越受到人们的关注。

如图1-10所示,下一代互联网安全隔离与信息交换技术同样采用2+1架构设计(即内网安全处理系统、外网安全处理系统和隔离交换系统),但是,在原有IPv4网络协议的基础上,增加了下一代互联网安全隔离与信息交换技术,重点提升了高性能数据交换能力、IPv6协议适应性、IPv4/IPv6协议剥离/封装能力、IPv4/IPv6安全访问控制能力、IPv4/IPv6过渡能力及IPSec数据解包/封装能力。

图1-10 安全隔离与信息交换系统数据处理架构图

由于IPv6属于TCP/IP中IP网络层协议,因此,下一代互联网安全隔离与信息交换技术具备以下安全特性。

● 通过 IPv4/IPv6双栈协议剥离/重组技术,工作在应用层进行应用协议安全检查和内容安全过滤的下一代互联网安全隔离与信息交换技术天然具备了抵御IPv6协议带来的各种新安全威胁的能力。能够有效防御跨网络边界的 IPv6网络侦查、IPv6邻接点欺骗、IPv6无状态地址自动配置安全威胁和IPv6隧道攻击。

● 通过IPv4/IPv6协议栈(包括IPv6协议、ICMPv6、)实现IPv6适应性,有效抵御IPv6编址的安全威胁。

● 通过 IPSec 安全代理实现对 IPSec 加密报文的解包/封装,能够对启用IPSec 安全机制的 IPv6报文进行内容安全过滤,解决传统防火墙、IDS技术在进入IPSec加密技术后无法检查IPSec加密载荷的技术难题。

● 通过独特的2+1安全架构实现强大抗攻击能力的双协议栈代理、NAT-PT代理,有效抵御双协议栈安全风险、IPv6组播安全风险和IPv6组播安全风险,大幅提高 NAT-PT 代理服务的安全性,实现对协议地址的安全转换和IPv4/IPv6网络间的安全通信。

● 通过应用层 ALG 实现对各类应用协议的解析和安全检查,能够有效防止SIP、H.323等流媒体应用协议、CoAP(Constrained Application Protocol)物联网传感器接入协议等下一代互联网应用的支持和安全检查,有效防御协议漏洞、端口开放安全风险、信令拒绝服务攻击等安全威胁。

由于安全隔离与信息交换技术采用了独特的安全架构、协议报文处理机制和IPv4/IPv6过渡方式,因此,安全隔离与信息交换技术在IPv4/IPv6环境下具备强大的网络边界隔离、广播/攻击风暴抑制、安全访问控制、应用协议安全检查、内容过滤及抗攻击能力,能够很好地解决防火墙、IDS 等安全技术在 IPv6网络环境下的安全防护缺陷,弥补 IPv6协议脆弱性导致的新安全威胁。同时,提供高性能的数据吞吐能力,支持丰富的包括 Web、智能终端、物联网传感节点及流媒体等各类下一代互联网应用。因此,采用下一代互联网安全隔离与信息交换系统是构建IPv6网络安全防护体系、实现IPv4/IPv6混合网络环境下安全域隔离的重要技术手段,具有非常大的必要性。 zozr2lEw37CVIgvuid0vI+OnF+IkLWlq/43wYI92rooVTsDPgWq7n5W/8eBl791e

点击中间区域
呼出菜单
上一章
目录
下一章
×