基於IPv6網路安全的管理系統設計論文
基於IPv6網路安全的管理系統設計論文
0引言
當前資訊科技快速發展,網路惡意攻擊行為更為頻繁,攻擊形式也日趨多樣化,如病毒、木馬、蠕蟲等,網路安全問題更加突出,網際網路正面臨著新的安全形勢。實踐證明,實時分析並檢測網路流是加強網路安全的有效方法。入侵檢測系統(IDS)正是在這個背景下應運而生的。其可以對網路環境狀況進行積極主動、實時動態的檢測,作為一種新型網路安全防範技術,在保障網路安全方面發揮著重要的作用。入侵檢測系統主要透過判斷網路系統中關鍵點是否正常運轉以實現對網路環境的檢測,其不但能夠有效地打擊網路攻擊,還能夠保證資訊保安基礎結構完整,實施保護網際網路的安全。目前網路安全機制正在從IPV4向IPV6過渡,網路的安全性也在不斷增強,深入分析IPV6安全機制具有重要意義。
1IPv4向IPv6過渡中存在的問題
IPv6安全機制是IPv4安全機制的強化,與IPv4相比,IPv6安全機制的網路結構更為複雜,應用範圍更為廣闊,但是IPv4向IPv6的過渡不是一蹴而就的,在這個過渡過程中會出現一些嚴重的問題,這就要求我們必須充分認識IPv4向IPv6過渡中的問題,儘量減小對網路安全的不良影響。
1.1翻譯過渡技術
採用翻譯過渡技術,必須關注翻譯對資料包傳輸終端的破壞情況與網路層安全技術不匹配這兩個問題。保護網路正常資料傳送是網路層安全協議的主要職能,網路層協議中的地址翻譯技術主要用於變更傳送資料的協議與地址,這就容易使網路層協儀的地址翻譯與網路安全協議出現衝突,使網路環境的安全面臨威脅。
1.2隧道過渡技術
隧道過渡技術並不重視網路安全,其自身特點也使網路易遭受攻擊,安裝安全裝置的網路應用隧道技術後,會影響原有的安全裝置運作,並且在資料經過隧道時,隧道也不會檢查資料,這就給惡意的資料提供了進入正常網路的機會,嚴重威脅網路安全。
1.3雙棧過渡技術
雙棧過渡技術是網路層協議的一種,兩個網路層協議在一臺主機上同時執行是其特點。但是同時執行的兩個網路層協議在技術上並無聯絡,而且容易出現運作不協調的問題,導致網路安全存在漏洞,易被攻擊者利用。但是與翻譯過渡技術和隧道過渡技術比較,雙棧過渡技術的安全效能要優於上邊的兩種技術,網路安全性相對較高,有其自身優勢。
2IPv6的特點
IPv6是一種新型網際網路協議,是IPv4網際網路協議的革新。IPv6可以有效解決IPv4中存在的漏洞與缺陷,其改進方面主要體現在地址空間、IPSec協議、資料報頭結構、服務質量(QoS)方面。其中資料報頭結構和IPSec協議是影響入侵檢測系統的主要方面。
2.1資料報頭結構的更新
與IPv4資料報頭結構相比,IPv6簡化了IPv4的資料報頭結構,IPv6的40節資料報頭結構極大的提高了資料處理效率。此外,IPv6還增加了選項報頭、分段報頭、認證報頭等多個擴充套件報頭,入侵檢測系統必須首先解析IPv6報頭才能進行協議分析。
2.2IPSec協議
與IPv4相比,IPv6中還應用了IPSec協議,其可以有效實現網路層端到端的安全服務,並且IPSec協議中的兩個安全封裝載荷和認證頭協議可以自由組合。IPSec協議實質上是對IPv6傳輸資料包的加密,這有利於提高資料傳輸過程的安全性,但是由於其對IPv6的報頭也進行封裝,入侵檢測系統在進行檢測時必須瞭解IPv6報頭的源地址和目的地址,否則難以進行檢測行為,這嚴重影響了入侵檢測系統的正常執行。
3IPv4、IPv6入侵檢測技術特點
以往技術多采用模式匹配技術,針對資料包和攻擊資料庫進行匹配對應是該模式的典型特點,這種模式特點是以資料庫對應的情況來依次判斷是否存在網路攻擊。而現在,檢測系統入侵的技術手段為BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配演算法。被定義為識別並處理那些以IPv6網路協議惡意使用網路資源的攻擊者的技術,為IPv6入侵檢測技術。IPv6與IPv4有很大的區別,兩者在程式上不相容,因此在這種情況下入侵技術的檢測變得問題繁多。首先,兩種協議在資料報頭上變動明顯,以往在IPv4上能用的檢測產品在IPv6上無法直接使用。在使用IPv4協議的情況下,TCP頭部緊緊連線著IP頭部,不僅如此,他們的長度還是確定不變的。這樣的連線模式和設定使得檢測工作的開展變得更加簡便。然而,另一種協議方式即IPv6卻與此有很大的不同,它的這兩個頭部並不緊接,長度也不固定,在其中間還往往會有別的擴充套件頭部等。經常見到的有路由選項頭部等。儘管該協議下,資料包對應顯得很複雜,若是防火牆沒有完全讀懂資料包則會發生不能過濾的情況,這在某些時候使得入侵的檢測工作變得更加複雜。科研攻關人員目前已經針對IPv6協議下的介面函式做出了相應的'科學的新改動。其次,在進行端到端的傳輸工作時,若為IPv6則IDS會由於無法解密而直接導致解讀不了資料,此時的IDS不能有效的繼續工作。雖然採取IDS資料包解密能夠較為有效的解決這一問題,但這種解密情況下的安全又成了新的問題,對其是否可靠,時間會給予準確的答案。
3.1雙棧入侵檢測系統的實現
IPv6協議解碼功能是實現雙棧入侵檢測的關鍵性因素。協議解碼分析通常分為第二層、第三層。第二層主要是乙太網,然而第三層的則大為不同,它不僅包含IPv4包型別,還同時兼有IPv6包型別,甚至還具有隧道方式。協議解碼在資料結構、屬性的基礎上,注重資料包對號入座,一一對應。IPv6協議解碼功能如圖1所示。進行協議解碼的首要步驟是抓包並解包,並且在解包時完善對應資訊包。分析各個模組,以此判斷是何種包,區分資料包是屬於IPv4還是屬於IPv6是至關重要的。在此之後,存檔乙太網的源地址和目的地址,並在接下來的工作中進行下一層解析,在第三層資料解析時包頭結構是著重分析的物件。
3.2在IPv6環境中的NIDS模組設計
資料採集、分析,然後是結果輸出,這三個方面組成了整個NIDS系統。對科學要求的CIDF規範完全符合。這個系統由資料包捕獲的各種模組結合而成。
3.3NIDS模組功能
(1)資料包捕獲模組資料包捕獲模組在整個系統中居於關鍵地位,它是系統的基礎,也是其重要組成部分。該模組的具體作用在於從乙太網上獲取資料包,根據實際情況和不同的系統,有相對性的捕獲,相比之下,捕獲方式會根據具體情況而有所不同。(2)協議解析模組協議解析是該模組的核心作用,該模組對資料層層分析最終得到解析目的,在此基礎上分析是否有入侵情況以便進行制止防禦。(3)規則處理模組提前制定的入侵規則存入庫中,它的多少直接影響著整個入侵系統的效能。規則設定的越多越完善,對於入侵行為的檢測就越精準。(4)分析檢測模組查證是否有入侵行為發生是該模組兒的重要作用,該模組和規則庫若匹配成功則證明系統正在遭受入侵。(5)儲存模組儲存資訊和資料包是該模組的具體功能。有效儲存資訊對於系統對入侵行為的分析具有極強的幫助作用,儲存的資料可供事後分析等。(6)響應模組響應模組是入侵行為的響應處理,它的響應能使防火牆及時對入侵行為進行制止和防禦,是系統防禦不可或缺的盾牌。
引用:
[1]鄧生君,沈鑫,葉昭輝.一種基於IPv4/IPv6網路入侵檢測系統的框架設計[J].電子世界,2012.
[2]肖長水,謝曉堯.基於IPv6的網路入侵檢測系統的設計與實現[J].計算機工程與設計,2007.