IPv6安全

《IPv6安全》綜述IPv6網路所面臨的威脅，並提供應對這些威脅的解決方案，內容涵蓋這些問題和當前的最佳實踐。書中首先講述安全威脅，然後描述應對這些威脅的方式，列出所有的風險，並針對每種威脅指明存在的解決方案。通過《IPv6安全》，讀者將學習到攻擊者可能用以攻破你的網路的技術以及如何使用Cisco的產品保護你的網路。《IPv6安全》的目的是較深入地研究協定，並從一名安全實踐人員的角度討論協定細節。書中涵蓋理論知識，也同時給出實踐例子。

《IPv6安全》適合負責網路安全的IT工作人員和在校學生閱讀，另外，也可以作為從事網路安全的研究人員和學者的參考書。

目　錄

第1章　IPv6安全引言　1

1.1　重溫IPv6　1

1.2　IPv6知識更新　4

1.3　IPv6弱點　5

1.4　黑客經驗　7

1.5　IPv6安全緩解技術　8

1.6　小結　11

1.7　推薦讀物和資料　11

第2章　IPv6協定安全弱點　15

2.1　IPv6協定首部　15

2.1.1　ICMPv6　17

2.1.2　多播安全　22

2.2　擴展首部威脅　24

2.2.1　擴展首部綜述　24

2.2.2　擴展首部的弱點　27

2.2.3　逐跳選項首部和目的地選項首部　29

2.2.4　路由首部　35

2.2.5　分段首部　42

2.2.6　未知的選項首部　51

2.2.7　上層首部　53

2.3　IPv6網路勘察　54

2.3.1　掃描並評估目標　54

2.3.2　加速掃描過程　56

2.3.3　應對勘察攻擊　62

2.4　三層和四層欺騙　63

2.5　小結　67

2.6　參考文獻　68

第3章　IPv6 Internet安全　71

3.1　大型Internet威脅　72

3.1.1　數據包泛洪　72

3.1.2　Internet蠕蟲　75

3.1.3　分散式拒絕服務和機撲網(Botnets)　78

3.2　進/出過濾　82

3.2.1　過濾IPv6流量　83

3.2.2　對被分配地址的過濾　83

3.2.3　虛假地址過濾　84

3.2.4　虛假地址過濾挑戰和過濾自動化　87

3.3　保障BGP會話安全　88

3.3.1　顯式配置的BGP對端　90

3.3.2　使用BGP會話共享秘密　90

3.3.3　利用一條IPSec隧道　91

3.3.4　在BGP對端上使用環回地址　91

3.3.5　在BGP數據包上控制存活時間(TTL)　92

3.3.6　在對端關係接口上實施過濾　95

3.3.7　使用鏈路本地對端關係　95

3.3.8　防止長的AS路徑　100

3.3.9　限制接收到的前綴數量　100

3.3.10　防止包含私有AS號碼的BGP更新　101

3.3.11　最大化BGP對端的可用性　101

3.3.12　對BGP鄰居活動記錄日誌　104

3.3.13　保障IGP安全　104

3.3.14　保障BGP對端之間通信安全的極端措施　104

3.4　MPLS上的IPv6安全　105

3.4.1　在PE路由器之間IPv4隧道上使用靜態IPv6　106

3.4.2　使用6PE　106

3.4.3　使用6VPE產生支持IPv6的VRF　107

3.5　客戶前端設備　108

3.6　前綴委派威脅　111

3.6.1　SLAAC　112

3.6.2　DHCPv6　112

3.7　多宿問題　116

3.8　小結　119

3.9　參考文獻　120

第4章　IPv6邊緣安全　123

4.1　IPv6防火牆　124

4.1.1　過濾IPv6未分配地址　124

4.1.2　其他的過濾考慮　128

4.1.3　防火牆和NAT　132

4.2　Cisco IOS路由器ACL　134

4.2.1　隱式IPv6 ACL規則　138

4.2.2　Internet ACL範例　139

4.2.3　IPv6反射性的ACL　143

4.3　Cisco IOS防火牆　144

4.3.1　配置IOS防火牆　146

4.3.2　IOS防火牆範例　148

4.3.3　IOS防火牆的IPv6連線埠到套用映射　153

4.4　Cisco PIX/ASA/FWSM防火牆　154

4.4.1　配置防火牆接口　154

4.4.2　管理接入許可權　156

4.4.3　配置路由　158

4.4.4　安全策略配置　159

4.4.5　對象組策略配置　164

4.4.6　分段保護　167

4.4.7　檢查流量統計信息　168

4.4.8　鄰居發現協定保護　169

4.5　小結　172

4.6　參考文獻　172

第5章　區域網路安全　175

5.1　二層是重要的原因　175

5.2　IPv6的ICMPv6二層弱點　176

5.2.1　無狀態地址自動配置問題　177

5.2.2　鄰居發現的問題　181

5.2.3　重複地址檢測問題　184

5.2.4　重定向問題　186

5.3　ICMPv6協定保護　189

5.3.1　安全鄰居發現　189

5.3.2　在Cisco IOS中實現CGA地址　191

5.3.3　理解採用SEND的挑戰　192

5.4　ICMPv6攻擊的網路檢測　192

5.4.1　檢測偽造的RA訊息　192

5.4.2　檢測NDP攻擊　194

5.5　針對ICMPv6攻擊的網路應對措施　194

5.5.1　Rafixd　195

5.5.2　降低目標範圍　196

5.5.3　IETF工作　196

5.5.4　擴展IPv4交換機的IPv6安全　197

5.6　私有擴展地址的優劣　197

5.7　DHCPv6的威脅和應對　201

5.7.1　針對DHCPv6的威脅　203

5.7.2　應對DHCPv6攻擊　204

5.8　點到點鏈路　206

5.9　端點安全　208

5.10　小結　208

5.11　參考文獻　209

第6章　加固IPv6網路設備　213

6.1　針對網路設備的威脅　214

6.2　Cisco IOS版本　214

6.3　禁止不必要的網路服務　217

6.4　限制路由器訪問　218

6.4.1　物理訪問安全　218

6.4.2　保障控制台訪問的安全　219

6.4.3　保障口令的安全　219

6.4.4　VTY連線埠訪問控制　220

6.4.5　路由器的AAA　223

6.4.6　HTTP訪問　225

6.5　IPv6設備管理　227

6.5.1　環回和Null接口　227

6.5.2　管理接口　228

6.5.3　保障SNMP通信的安全　229

6.6　針對內部路由協定的威脅　233

6.6.1　RIPng安全　235

6.6.2　EIGRPv6安全　236

6.6.3　IS-IS安全　238

6.6.4　OSPF版本3安全　241

6.7　第一跳冗餘協定安全　249

6.7.1　鄰居不可達性檢測　249

6.7.2　HSRPv6　251

6.7.3　GLBPv6　253

6.8　控制資源　256

6.8.1　基礎設施ACL　257

6.8.2　接收ACL　258

6.8.3　控制平面監控　259

6.9　QoS威脅　263

6.10　小結　270

6.11　參考文獻　271

第7章　伺服器和主機安全　275

7.1　IPv6主機安全　275

7.1.1　ICMPv6的主機處理　276

7.1.2　偵聽連線埠的服務　278

7.1.3　檢查鄰居快取　279

7.1.4　檢測不希望出現的隧道　281

7.1.5　IPv6轉發　286

7.1.6　地址選擇問題　289

7.2　主機防火牆　292

7.2.1　Microsoft Windows防火牆　292

7.2.2　Linux防火牆　295

7.2.3　BSD防火牆　297

7.2.4　Sun Solaris　306

7.3　採用Cisco安全代理6.0保障主機的安全　307

7.4　小結　310

7.5　參考文獻　311

第8章　IPSec和SSL虛擬專網　313

8.1　IPv6的IP安全　314

8.1.1　IPSec擴展首部　314

8.1.2　IPSec操作模式　316

8.1.3　Internet密鑰交換(IKE)　317

8.1.4　IPsec和網路地址轉換一起使用　319

8.1.5　IPv6和IPSec　320

8.2　主機到主機的IPSec　320

8.3　站點到站點的IPSec配置　322

8.3.1　IPv4之上的IPv6 IPSec例　323

8.3.2　IPv6 IPSec示例　333

8.3.3　動態多點VPN　343

8.4　採用IPSec的遠端訪問　354

8.5　SSL VPN　361

8.6　小結　366

8.7　參考文獻　366

第9章　IPv6移動性安全　369

9.1　移動IPv6操作　370

9.2　MIPv6訊息　371

9.2.1　間接模式　373

9.2.2　家鄉代理地址確定　373

9.2.3　直接模式　374

9.3　與MIPv6有關的威脅　377

9.3.1　保護移動設備軟體　378

9.3.2　偽造的家鄉代理　378

9.3.3　移動媒介安全　378

9.3.4　中間人威脅　379

9.3.5　連線截獲　380

9.3.6　偽造MN到CN綁定　381

9.3.7　DoS攻擊　381

9.4　在MIPv6中使用IPSec　382

9.5　針對MIPv6的過濾　383

9.5.1　CN處的過濾器　387

9.5.2　在MN/異地鏈路處實施過濾　390

9.5.3　在HA處實施過濾　393

9.6　其他IPv6移動性協定　398

9.6.1　其他IETF移動IPv6協定　398

9.6.2　網路移動性(NEMO)　401

9.6.3　IEEE 802.16e　402

9.6.4　移動Ad-Hoc網路　403

9.7　小結　405

9.8　參考文獻　405

第10章　保障遷移機制的安全　409

10.1　理解IPv4到IPv6的遷移技術　409

10.1.1　雙棧　409

10.1.2　隧道　411

10.1.3　協定轉換　429

10.2　實現雙棧安全　431

10.2.1　利用雙棧環境　431

10.2.2　保護雙棧主機　434

10.3　對隧道實施破壞　435

10.3.1　安全的靜態隧道　438

10.3.2　保障動態隧道的安全　440

10.3.3　保障6VPE的安全　450

10.4　攻擊NAT-PT　450

10.5　針對IPv4網路的IPv6潛在威脅　451

10.6　小結　453

10.7　參考文獻　455

第11章　安全監視　459

11.1　管理和監視IPv6網路　459

11.1.1　路由器接口性能　460

11.1.2　設備性能監視　461

11.1.3　路由器Syslog訊息　470

11.1.4　準確時間的益處　473

11.2　管理IPv6隧道　474

11.3　使用法醫證據方法　475

11.4　使用入侵檢測和防禦系統　477

11.4.1　Cisco IPS版本6.1　477

11.4.2　測試IPS簽名　479

11.5　採用CS-MARS管理安全信息　481

11.6　管理安全配置　484

11.7　小結　486

11.8　參考文獻　487

第12章　IPv6安全結論　489

12.1　比較IPv4和IPv6安全　489

12.1.1　IPv4和IPv6之間的相似性　489

12.1.2　IPv4和IPv6之間的差異　490

12.2　變化的安全邊緣　491

12.3　生成一項IPv6安全策略　493

12.3.1　網路邊緣　494

12.3.2　擴展首部　494

12.3.3　LAN威脅　495

12.3.4　主機和設備安全加固　495

12.3.5　遷移機制　496

12.3.6　IPSec　496

12.3.7　安全管理　496

12.4　保持警醒狀態(On the Horizon)　496

12.5　建議的合併列表　498

12.6　小結　501

12.7　參考文獻　502