基于IPv4IPv6共存网络环境IPS研究.docVIP

基于IPv4IPv6共存网络环境IPS研究 　　摘要:入侵防御技术是一种用于识别潜在威胁并快速做出回应的抢先式网络安全方法,可以弥补传统的防火墙和入侵检测的不足。IPv4向IPv6的过渡需要相当长的时间才能完成。在IPv6完全取代IPv4之前,两种协议不可避免地有很长一段共存期。伴随着IPv4向IPv6的过渡,网络攻击事件的特征也将会有新的特点。这必然要求原来基于IPv4环境下的入侵防御技术做出相应改变。本文先对IPv6环境下所引入的安全问题进行探讨,然后着重介绍了如何在IPv4/IPv6共存网络环境下实现入侵防御系统(IPS)。 　　关键词:IPv6;入侵防御;网络安全;IPS 　　引言 　　经过20多年的发展和完善,基于IPv4的Internet已被证明是技术成熟、容易实现且具有良好互操作性的网络协议,取得了巨大的成功。然而随着快速增长的Internet连接要求和语音、数据、图像、视频、多媒体等不断增加新业务,原有的IPv4网越来越显得力不从心,当前的IPv4网络的固有缺陷已经造成了地址空间缺乏、路由表急剧膨胀、缺乏对移动和网络服务质量的支持等一系列问题。IP网络正在向下一代网络演进。而IPv6无疑将是下一代网络(NGN)的核心,除了带来地址空间的增大,还有许多优良的特性,比如在安全性、服务质量、移动性等方面,其优势更加明显。 　　同时,由于IPv4的广泛应用,决定了从IPv4向IPv6的过渡将是长期的,渐进的。IPv6完全取代IPv4之前,两种协议不可避免地有很长一段共存期。在过渡期间网络上的数据流量将呈现出复杂化的趋势,其中不仅包括IPv4的流量还包括IPv6的流量,以及IPv6 over IPv4或者IPv4 over IPv6的隧道包流量。 　　在这种新的网络环境中网络攻击必然呈现新的特征,也对我们的安全技术和产品提出了新的挑战。特别是对于近两年新兴的入侵防御技术,该技术使IDS入侵检测系统联动防火墙,与传统单一的防火墙相比,入侵防御系统IPS(Intrusion Prevention System)对数据包的控制能力检测也得到大大加强,对应用层和高层协议的检测能力有了质的飞跃。同时入侵检测技术能实时、有效的和防火墙的阻断功能结合,在发现网络入侵的同时,联动防火墙采取行动阻止攻击,大大简化了系统管理员的工作,提高了系统的安全性。 　　IPv6协议需考虑的安全问题 　　从IPv4到IPv6网络地址空间由32位增加到128位,IPv6的地址空间远远超过IPv4,这些病毒或蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机,就犹如大海捞针。但是可以预见,扫描攻击在IPv6环境下肯定依然存在,只是在新的网络环境下,IPS对扫描行为的检测会重点集中到针对某些主机或某个主机的扫描行为上。 　　传统的IPv4协议对网络的安全性考虑不足,而IPv6协议将IPSec协议作为IPv6的组成部分,大大的增加了安全性。由于IPSec协议可以提供数据源认证和通信数据的加密保护,攻击者将无法使用IP地址欺骗,TCP序列号欺骗等手段对系统实施攻击。因此IPv6环境下的IPS可以认为受到IPSec保护的数据流是可信的,省略对该类型数据包的检测,从而提高IPS的检测效率。 　　IPv6下数据包分片也和IPV4不同,数据包只由信源节点进行分片,中间路由器不进行分段,因此在报文传输过程中分段长度不会发生变化。这可以为IPv6下检测“利用分片来逃避规则匹配的攻击”提供新的方法――如果发现同属一个原始分组的分段数据包中分片(除最后一个分片)的大小不一致时,即可认为该数据包存在异常,这样就不必等到将所有分片重组成为一个包含完整信息的包以后,再传给检测引擎进行规则匹配。 　　IPv6下攻击者可以利用IPv6基本报头的跳数限制字段(类似于IPv4报头中的TTL),试探从本地到达攻击目标的路径,方法是发出跳数字段值逐次递增的数据包(TCP/UDP),然后根据目的不可到达报文的信源地址,依次重构出路径。因此IPS需要能够检测出可能的路径试探数据包。如果到达受保护网络的数据包的跳数限制字段值是1时,可能的是潜在的路径试探。所以可以通过设立针对跳数限制字段的检测规则,发现IPv6下的路径试探。 　　在IPv4到IPv6的过渡环境里,将会存在大量的隧道包,包括IPv6 over IPv4和IPv4 over IPv6,攻击者可以构造隧道攻击,向受攻击主机发送攻击数据包。因此IPv6下的入侵检测必须具备分析检测隧道数据包的能力。 　　系统设计说明 　　本文着重研究IPv4/IPv6共存网络环境下的各种网络入侵、高速网络数据采集技术,设计和开发在发现入侵后的主动响应和入侵防御功能。在设计上充分考虑到上述所提到的IPv6所引入的新的安全问题,系