IPv6的优点和局限性

IPv6日的目的

为了鼓励企业,互联网服务提供商、硬件供应商、运营系统供应商和网络公司都准备好了IPv6服务,以保证IPv4网络向IPv6网络的平滑过渡。

IPv6不能解决所有的安全问题。

IPv6解决了IPv4中许多难以解决的安全问题,但同时也带来了新的安全隐患,其中一个经常被质疑的问题是,所有的网络设备都拥有自己的IPv6地址,这些地址可以被路由,这将使这些设备暴露在复杂的Internet环境中。

减少隐私能见度

如果所有的网络设备可以通过互联网访问,个人用户很容易通过网络。这个问题长期以来一直是弗吉尼亚理工大学的研究小组发现,他们在早些时候的一份报告说:如果默认地址系统,第三方将通过简单的命令的情况下在地址自动配置IPv6,这样在目标跟踪和监控用户全球范围内平和路由跟踪。同时,接受方的信息,用户发送的数据也将由第三方监测得到的。

该研究小组还发现,如果默认的IPv6地址方案获得通过,该设备的MAC地址也会暴露在互联网环境下,他们开发了一个防御方案称为运动目标IPv6防御(mt6d)。该方案可以提供以下功能:

当主机通过因特网进行通信时,它保持位置、跟踪和数据流截取的匿名性。

这是一项非常重要的工作。Stephen Groat,Matthew Dunlop,William Urbanski,研究团队的申请程序专利的Randolph Marchany和Joseph Tront,因为这个原因,他们获得了美国国家安全创新竞争2011第三。

为了更好的了解mt6d,它是我们通过团队的成员了解他们的具体工作是必要的。以下是采访团队成员的记录。

问:您的研究报告提到,当IPv6的无状态地址自动配置时,隐私泄露会突出。您能解释一个无状态地址自动配置的原因吗为什么这个功能会影响用户的隐私安全

研究团队:无状态地址自动配置(SLAAC)是一种配置网络地址的IPv6协议的主机,主机的IP地址的配置可以减少网络管理员的管理负担。这是用在IPv4网络环境下DHCP的方法改变。

采用SLAAC的问题是它的地址或接口ID(IID)是否是相同的主机连接到一个子网或不。默认地址系统也是64位扩展的独特身份(eui64)使用的MAC地址为IID。结果是,攻击者具有子网列表主机的MAC地址,并可以从世界任何地方攻击主机。

记者:据说微软在新版本的操作系统中使用了隐私扩展来隐藏主机MAC地址的一部分,这是不够的。

研究小组:隐私扩展技术可以改进,但它只能保护客户端系统,而服务器系统仍然处于威胁之中,因为隐私扩展技术不能频繁更改,地址防止网络攻击。对于网站服务器或企业VPN服务器,需要全天候开放和维护固定IP地址系统,没有保护效果。

此外,隐私扩展技术主要应用于web通信,而其他应用,如VoIP、VPN等,在隐私扩展模式下无法工作。

应用于Windows系统的隐私扩展还需要依赖于另一个IPv6地址来实现邻居发现、本地DNS和其他相关功能,这个地址必须是静态的,并且可以由其他主机获取,如果黑客获得地址,也可以用于进一步攻击目标主机。

记者问:你的团队的计划是通过mt6d提高隐私和安全。在这个系统中,发送者和接收者的IP地址都是动态的。这是如何成真






动态变化的地址的研究团队:可以保护隐私,使双方匿名和安全的通信。我们的技术有点类似于跳频技术。当两主机通讯的IPv6网络,攻击者拦截多个独立的主机地址配对。攻击者不知道地址对是一个真正的通信方并不能简单地攻击一个地址。

记者:mt6d还将加密的信息流,这意味着IPSec应该退休

研究团队:mt6d可以被看作是一个增强的ipsec.ipsec可以加密网络数据流,但是它需要固定的IP地址。如果主机或网关配置IPSec,攻击者可以通过发起拒绝服务攻击的主机或网关攻击。

mt6d提供网络层加密和动态地址。如IPSec,攻击者无法截获的数据包进行封装的mt6d。同时,攻击者无法锁定主机地址,所以没有拒绝服务攻击。

记者问:你的报告指出,mt6d的关键功能是它可以改变地址的线程中进行通信时,在两个主机之间无通信复位或崩溃。这是非常独特的。你改进了TCP的三次握手吗

研究团队:mt6d建立通道,封装了所有的数据流,而不需要修改TCP的三次握手规则。隧道限制TCP线程开销平衡所有4层协议。改变在线程中的地址不中断现有的线程,也不会导致额外的三次握手通信。

记者:提到mt6d旨在阻止特定的网络攻击了。那么这个特定的网络攻击,它使用动态地址,这种攻击的特征吗

研究团队:mt6d可以防止多种网络攻击,如拒绝服务攻击,以及应用层的攻击,这是通过动态模糊的主机的IP地址来实现的。由于IPv6网络地址的数量是相当大的,这是不可能的黑客找到主机的范围扫描。

即使黑客获得目标主机的IP地址,它所攻击的时间也会在主机地址再次更改之前被限制到主机地址。

记者:论文还提到弗吉尼亚理工大学是IPv6应用的最佳场所。为什么这么说

研究团队:弗吉尼亚理工大学是一个在美国,完全支持IPv6协议的几个网络环境。事实上,它是美国最大的IPv6校园网,包含约3万个网络节点。该量表可以支持我们的真实环境测试mt6d。

记者:我听说mt6d也可以用于IPv4网络。可以说,它将首先被应用于IPv6网络。

研究团队:虽然mt6d概念也适用于IPv4网络,还有两个问题。首先,IPv4的子网规模太小,攻击者可以扫描整个子网中的几分钟,这使得黑客锁定目标主机更容易。其次,IPv4已经不够可用的地址的地址转换,并且很容易如果mt6d用有地址冲突。

IPv6的子网是64位,这意味着整个IPv4地址空间可以放在IPv6子网中,占用的地址空间小于总空间的1 4000000000,目前不可能完成如此广泛的子网的详细扫描。

同时,由于IPv6有一个足够大的地址空间,在地址转换地址冲突的可能性很小。所以mt6d更好的应用在IPv6环境下。

总结

鉴于此,尽管在IPv6环境中,我们的电脑将直接面对互联网,但是mt6d可以帮助我们保护隐私,消除被许多潜在风险的袭击。