Ipv6的新世界讲义.ppt

他甚至不知道它是启用Ipv6的… * Thank you! Ipv6的新世界 IPv6的安全特性 Michael H. Warfield 英特网安全系统 mhw@ 二○○四年六月十六日 IPv6综述 将地址扩展到128比特 地址分类 IP安全性协议（以前是IPv4的一个可选协议） 服务质量分类 支持无状态和有状态两种地址自动配置的方式 动态地址重编 转换隧道和翻译 有效地防止被暴力扫描 没有广播地址 操作系统支持 微软视窗操作系统（MS WINDOWS） － 支持Windows XP和20003 server系统 － 对于其他版本的Windows系统，可以通过免费的补丁方式获得 Unix － Linux-最大的分类 － *BSD-FreeBSD/NetBSD/OpenBSD/OSX － Solaris-Since 2.8 － HP/UX － AI/X 路由器和防火墙 手机 IPv6代码稳定性 IPv6已经出现好多年了 IPv6还在继续被开发 IPv6将会存在IPv4中没有的新漏洞（BUG） 几乎没有来自IP层的程序缺陷（BUG） 几乎没有来自IP层的安全漏洞 许多IPv6和IPv4非常类似 从IPv4学得的东西使得IPv6有着比IPv4更好的开端 最近，OpenBSD发现了一个基于IPv6的DOS bug 转换机构 准备升级到IPv6 准备提供通用性 为IPv4提供兼容性地址 SIT（Six in Tunnel） 6to4 自动SIT隧道 代理服务 协议主体（Protocol Bouncers） 网络地址翻译一协议翻译 NAT-PT 6over4/SIT 隧道 6over4（aka SIT）转换隧道 简易英特网转换/SIT IPv4中的协议41（IPv6） IPv4基础结构上的操作 静态SIT隧道使用预配置的终端 隧道代理通过SIT隧道提供IPv6 一些隧道代理适用于动态地址 Teredo/Shipworm IPv6越过用户数据报协议UDP (默认端口: 3544/udp) 目的是越过IPv4 网络地址转换(NAT)设备，提供IPv6隧道 由于缺少IPv6支持, 通过低端路由/NAT设备,而发展起来 Windows XP自动启用IPv6 在某些域,Windows XP是禁用它的 能够绕过大部分的防火墙(对外的UDP槽) 需要一个使用IPv4并且启用Teredo的服务器 在IETF,还处于设计阶段 IP安全协议(IPsec) NAT-T IP安全协议越过用户数据报协议UDP (默认端口: 4500/udp) 目的是提供IP安全协议隧道,越过IPv4 网络地址转换(NAT)设备 由于缺少IP安全协议支持, 通过低端路由/NAT设备而发展起来 在Windows XP, Linux和其他操作系统中都可以使用 能够绕过大部分的防火墙(IPv4,IPv6和SIT) 需要启用NAT-T的终端 两个终端都可以是NAT(需要通过) 在IETF,还处于设计阶段 PPP和IPv6 点对点协议(PPP)支持IPv6 点对点协议在许多虚拟个人网络(VPN)中被用来当做传输协议 Pptp L2tp PPP tunneled over stunnel PPP tunneled over ssh PPP tunneled over UDP (CIPE) IPv6传输能够附加到PPP/VPN中,而不用改变IPv4的传输 本地与IPv4类似(IPv6越过PPP) 拥有隧道(SIT, 6over4,越过IPv4和PPP的Teredo) 英特网的秘密 精英们早已经开始关注IPv6了 适用于在线聊天的IPv6 适用于FTP站点的IPv6 适用于Web站点的IPv6 许多在线聊天工具拥有IPv6补丁 IPv6已经被用来当做通讯通道 IPv6可以用来隐藏后门 IPv6可以用来绕过防火墙 Ipv6全局地址 Ipv4 兼容： ::n.n.n.n 在Ipv4隧道上从一个Ipv6节点通向另外一个Ipv6节点（6over4协议41） Ipv4映射： ::FFFF:n.n.n.n 在Ipv4上从一个Ipv4节点通向另外一个Ipv6节点 全域单点： 2000::/3 (0200:-3fff) V6 英特网： 2001::/16 APNIC： 2001:0200::/23(Initial Sub-TLA) ARIN： 2001:0400::/23(Initial Sub-TLA) PIPE： 2001:0600::/23(Initial Sub-TLA) 6to4 ： 2002::/16(6over4 协议41) 6 bone： 3FFE::/16(试验的) 6 Bone 3FFE::/16前缀