IPv6安全

IPv6安全

《IPv6安全》是人民郵電出版社出版的圖書。

內容簡介

《IPv6安全》綜述IPv6網路所面臨的威脅,並提供應對這些威脅的解決方案,內容涵蓋這些問題和當前的最佳實踐。書中首先講述安全威脅,然後描述應對這些威脅的方式,列出所有的風險,並針對每種威脅指明存在的解決方案。通過《IPv6安全》,讀者將學習到攻擊者可能用以攻破你的網路的技術以及如何使用Cisco的產品保護你的網路。《IPv6安全》的目的是較深入地研究協定,並從一名安全實踐人員的角度討論協定細節。書中涵蓋理論知識,也同時給出實踐例子。

《IPv6安全》適合負責網路安全的IT工作人員和在校學生閱讀,另外,也可以作為從事網路安全的研究人員和學者的參考書。

目錄

目 錄

第1章 IPv6安全引言 1

1.1 重溫IPv6 1

1.2 IPv6知識更新 4

1.3 IPv6弱點 5

1.4 黑客經驗 7

1.5 IPv6安全緩解技術 8

1.6 小結 11

1.7 推薦讀物和資料 11

第2章 IPv6協定安全弱點 15

2.1 IPv6協定首部 15

2.1.1 ICMPv6 17

2.1.2 多播安全 22

2.2 擴展首部威脅 24

2.2.1 擴展首部綜述 24

2.2.2 擴展首部的弱點 27

2.2.3 逐跳選項首部和目的地選項首部 29

2.2.4 路由首部 35

2.2.5 分段首部 42

2.2.6 未知的選項首部 51

2.2.7 上層首部 53

2.3 IPv6網路勘察 54

2.3.1 掃描並評估目標 54

2.3.2 加速掃描過程 56

2.3.3 應對勘察攻擊 62

2.4 三層和四層欺騙 63

2.5 小結 67

2.6 參考文獻 68

第3章 IPv6 Internet安全 71

3.1 大型Internet威脅 72

3.1.1 數據包泛洪 72

3.1.2 Internet蠕蟲 75

3.1.3 分散式拒絕服務和機撲網(Botnets) 78

3.2 進/出過濾 82

3.2.1 過濾IPv6流量 83

3.2.2 對被分配地址的過濾 83

3.2.3 虛假地址過濾 84

3.2.4 虛假地址過濾挑戰和過濾自動化 87

3.3 保障BGP會話安全 88

3.3.1 顯式配置的BGP對端 90

3.3.2 使用BGP會話共享秘密 90

3.3.3 利用一條IPSec隧道 91

3.3.4 在BGP對端上使用環回地址 91

3.3.5 在BGP數據包上控制存活時間(TTL) 92

3.3.6 在對端關係接口上實施過濾 95

3.3.7 使用鏈路本地對端關係 95

3.3.8 防止長的AS路徑 100

3.3.9 限制接收到的前綴數量 100

3.3.10 防止包含私有AS號碼的BGP更新 101

3.3.11 最大化BGP對端的可用性 101

3.3.12 對BGP鄰居活動記錄日誌 104

3.3.13 保障IGP安全 104

3.3.14 保障BGP對端之間通信安全的極端措施 104

3.4 MPLS上的IPv6安全 105

3.4.1 在PE路由器之間IPv4隧道上使用靜態IPv6 106

3.4.2 使用6PE 106

3.4.3 使用6VPE產生支持IPv6的VRF 107

3.5 客戶前端設備 108

3.6 前綴委派威脅 111

3.6.1 SLAAC 112

3.6.2 DHCPv6 112

3.7 多宿問題 116

3.8 小結 119

3.9 參考文獻 120

第4章 IPv6邊緣安全 123

4.1 IPv6防火牆 124

4.1.1 過濾IPv6未分配地址 124

4.1.2 其他的過濾考慮 128

4.1.3 防火牆和NAT 132

4.2 Cisco IOS路由器ACL 134

4.2.1 隱式IPv6 ACL規則 138

4.2.2 Internet ACL範例 139

4.2.3 IPv6反射性的ACL 143

4.3 Cisco IOS防火牆 144

4.3.1 配置IOS防火牆 146

4.3.2 IOS防火牆範例 148

4.3.3 IOS防火牆的IPv6連線埠到套用映射 153

4.4 Cisco PIX/ASA/FWSM防火牆 154

4.4.1 配置防火牆接口 154

4.4.2 管理接入許可權 156

4.4.3 配置路由 158

4.4.4 安全策略配置 159

4.4.5 對象組策略配置 164

4.4.6 分段保護 167

4.4.7 檢查流量統計信息 168

4.4.8 鄰居發現協定保護 169

4.5 小結 172

4.6 參考文獻 172

第5章 區域網路安全 175

5.1 二層是重要的原因 175

5.2 IPv6的ICMPv6二層弱點 176

5.2.1 無狀態地址自動配置問題 177

5.2.2 鄰居發現的問題 181

5.2.3 重複地址檢測問題 184

5.2.4 重定向問題 186

5.3 ICMPv6協定保護 189

5.3.1 安全鄰居發現 189

5.3.2 在Cisco IOS中實現CGA地址 191

5.3.3 理解採用SEND的挑戰 192

5.4 ICMPv6攻擊的網路檢測 192

5.4.1 檢測偽造的RA訊息 192

5.4.2 檢測NDP攻擊 194

5.5 針對ICMPv6攻擊的網路應對措施 194

5.5.1 Rafixd 195

5.5.2 降低目標範圍 196

5.5.3 IETF工作 196

5.5.4 擴展IPv4交換機的IPv6安全 197

5.6 私有擴展地址的優劣 197

5.7 DHCPv6的威脅和應對 201

5.7.1 針對DHCPv6的威脅 203

5.7.2 應對DHCPv6攻擊 204

5.8 點到點鏈路 206

5.9 端點安全 208

5.10 小結 208

5.11 參考文獻 209

第6章 加固IPv6網路設備 213

6.1 針對網路設備的威脅 214

6.2 Cisco IOS版本 214

6.3 禁止不必要的網路服務 217

6.4 限制路由器訪問 218

6.4.1 物理訪問安全 218

6.4.2 保障控制台訪問的安全 219

6.4.3 保障口令的安全 219

6.4.4 VTY連線埠訪問控制 220

6.4.5 路由器的AAA 223

6.4.6 HTTP訪問 225

6.5 IPv6設備管理 227

6.5.1 環回和Null接口 227

6.5.2 管理接口 228

6.5.3 保障SNMP通信的安全 229

6.6 針對內部路由協定的威脅 233

6.6.1 RIPng安全 235

6.6.2 EIGRPv6安全 236

6.6.3 IS-IS安全 238

6.6.4 OSPF版本3安全 241

6.7 第一跳冗餘協定安全 249

6.7.1 鄰居不可達性檢測 249

6.7.2 HSRPv6 251

6.7.3 GLBPv6 253

6.8 控制資源 256

6.8.1 基礎設施ACL 257

6.8.2 接收ACL 258

6.8.3 控制平面監控 259

6.9 QoS威脅 263

6.10 小結 270

6.11 參考文獻 271

第7章 伺服器和主機安全 275

7.1 IPv6主機安全 275

7.1.1 ICMPv6的主機處理 276

7.1.2 偵聽連線埠的服務 278

7.1.3 檢查鄰居快取 279

7.1.4 檢測不希望出現的隧道 281

7.1.5 IPv6轉發 286

7.1.6 地址選擇問題 289

7.2 主機防火牆 292

7.2.1 Microsoft Windows防火牆 292

7.2.2 Linux防火牆 295

7.2.3 BSD防火牆 297

7.2.4 Sun Solaris 306

7.3 採用Cisco安全代理6.0保障主機的安全 307

7.4 小結 310

7.5 參考文獻 311

第8章 IPSec和SSL虛擬專網 313

8.1 IPv6的IP安全 314

8.1.1 IPSec擴展首部 314

8.1.2 IPSec操作模式 316

8.1.3 Internet密鑰交換(IKE) 317

8.1.4 IPsec和網路地址轉換一起使用 319

8.1.5 IPv6和IPSec 320

8.2 主機到主機的IPSec 320

8.3 站點到站點的IPSec配置 322

8.3.1 IPv4之上的IPv6 IPSec例 323

8.3.2 IPv6 IPSec示例 333

8.3.3 動態多點VPN 343

8.4 採用IPSec的遠端訪問 354

8.5 SSL VPN 361

8.6 小結 366

8.7 參考文獻 366

第9章 IPv6移動性安全 369

9.1 移動IPv6操作 370

9.2 MIPv6訊息 371

9.2.1 間接模式 373

9.2.2 家鄉代理地址確定 373

9.2.3 直接模式 374

9.3 與MIPv6有關的威脅 377

9.3.1 保護移動設備軟體 378

9.3.2 偽造的家鄉代理 378

9.3.3 移動媒介安全 378

9.3.4 中間人威脅 379

9.3.5 連線截獲 380

9.3.6 偽造MN到CN綁定 381

9.3.7 DoS攻擊 381

9.4 在MIPv6中使用IPSec 382

9.5 針對MIPv6的過濾 383

9.5.1 CN處的過濾器 387

9.5.2 在MN/異地鏈路處實施過濾 390

9.5.3 在HA處實施過濾 393

9.6 其他IPv6移動性協定 398

9.6.1 其他IETF移動IPv6協定 398

9.6.2 網路移動性(NEMO) 401

9.6.3 IEEE 802.16e 402

9.6.4 移動Ad-Hoc網路 403

9.7 小結 405

9.8 參考文獻 405

第10章 保障遷移機制的安全 409

10.1 理解IPv4到IPv6的遷移技術 409

10.1.1 雙棧 409

10.1.2 隧道 411

10.1.3 協定轉換 429

10.2 實現雙棧安全 431

10.2.1 利用雙棧環境 431

10.2.2 保護雙棧主機 434

10.3 對隧道實施破壞 435

10.3.1 安全的靜態隧道 438

10.3.2 保障動態隧道的安全 440

10.3.3 保障6VPE的安全 450

10.4 攻擊NAT-PT 450

10.5 針對IPv4網路的IPv6潛在威脅 451

10.6 小結 453

10.7 參考文獻 455

第11章 安全監視 459

11.1 管理和監視IPv6網路 459

11.1.1 路由器接口性能 460

11.1.2 設備性能監視 461

11.1.3 路由器Syslog訊息 470

11.1.4 準確時間的益處 473

11.2 管理IPv6隧道 474

11.3 使用法醫證據方法 475

11.4 使用入侵檢測和防禦系統 477

11.4.1 Cisco IPS版本6.1 477

11.4.2 測試IPS簽名 479

11.5 採用CS-MARS管理安全信息 481

11.6 管理安全配置 484

11.7 小結 486

11.8 參考文獻 487

第12章 IPv6安全結論 489

12.1 比較IPv4和IPv6安全 489

12.1.1 IPv4和IPv6之間的相似性 489

12.1.2 IPv4和IPv6之間的差異 490

12.2 變化的安全邊緣 491

12.3 生成一項IPv6安全策略 493

12.3.1 網路邊緣 494

12.3.2 擴展首部 494

12.3.3 LAN威脅 495

12.3.4 主機和設備安全加固 495

12.3.5 遷移機制 496

12.3.6 IPSec 496

12.3.7 安全管理 496

12.4 保持警醒狀態(On the Horizon) 496

12.5 建議的合併列表 498

12.6 小結 501

12.7 參考文獻 502

相關詞條

相關搜尋

熱門詞條

聯絡我們